Vooraf
OZOverbindzorg biedt een communicatieplatform (OZO) aan, waarin het formele en informele netwerk van een cliënt met elkaar kan communiceren. Daarmee biedt OZO een hoog-beveiligd alternatief voor bijvoorbeeld telefonische, digitale of papieren communicatie. OZO heeft ervoor gekozen om één samenwerkingsovereenkomst te maken, zodat we transparant kunnen zijn en blijven voor de cliënt. Onderdelen die niet van toepassing zijn, kunnen worden overgeslagen door organisaties.
Client in regie
In de samenwerkingsovereenkomst kunnen partijen hun onderlinge verplichtingen op onderdelen omschrijven zodat het ook transparant blijft voor de cliënt welke partij, waarvoor verantwoordelijk is.
In de meeste gevallen is er dus sprake van een initiator in het netwerk van de cliënt; de organisatie die het account voor de cliënt heeft aangemaakt in OZO. In deze gevallen zal OZOverbindzorg alleen de werkzaamheden van een verwerker verrichten.
Vanuit OZOverbindzorg dragen wij echter de missie, dat de cliënt in de regie is.
Dit houdt in dat het mogelijk is dat de cliënt de initiator uit diens eigen netwerk verwijdert. Of het komt voor dat de initiator niet meer betrokken is bij een cliënt (bijvoorbeeld een thuiszorgorganisatie die het account aangemaakt heeft van een cliënt die na verloop van tijd wordt opgenomen in een verzorgingshuis). In dergelijke situaties kan niet volgehouden worden dat de organisatie die het initiatief genomen heeft ook altijd verwerkingsverantwoordelijke blijft. In zo’n geval vervalt feitelijk ook de opdracht tot verwerken naar OZOverbindzorg, terwijl het account van de cliënt wel blijft bestaan, zij het met andere organisaties die nog in het netwerk betrokken zijn. In deze gevallen trekt OZOverbindzorg de verantwoordelijkheid van verwerkingsverantwoordelijke naar zich toe.
Juridisch
OZO biedt het platform aan en draagt zorg voor de technische zijde van het platform: voor de “vorm” zogezegd. De organisaties die gebruik maken van OZO dragen zorg voor de “inhoud” van berichten. Juridisch is dus met de samenwerkingsovereenkomst geborgd welke partij, welke verantwoordelijkheid draagt op welk moment. Nu dit niet in detail omschreven kan worden is de samenwerkingsovereenkomst zo pragmatisch mogelijk opgesteld.
De samenwerkingsovereenkomst regelt de basis voor de civielrechtelijke zijde van de samenwerking tussen OZO en alle andere organisaties. De samenwerkingsovereenkomst heeft hierbij te gelden als raamdocument, waarbij de algemene voorwaarden van OZO als verdere specificatie gelden. Daarbij geeft de samenwerkingsovereenkomst uiting aan de Onderlinge Regeling die partijen volgens de privacyregelgeving verplicht zijn om overeen te komen.
Privacy
Deze toelichting gaat vooral verder in op de privacyrechtelijke zijde van de samenwerkingsovereenkomst.
Gezondheidsgegevens
In veel gevallen worden er bijzondere persoonsgegevens verwerkt via het platform. In de meeste gevallen betreft het gezondheidsgegevens. Een aantal partijen zijn gebonden aan het gezondheidsrechtelijke kader (WGBO). Andere partijen zijn bijvoorbeeld gebonden aan de WMO of Participatiewet. OZO is als regulier rechtspersoon gebonden aan het civiele recht. Alle partijen zijn gebonden aan de (U)AVG. Deze juridische dynamiek wordt zo goed als mogelijk weerspiegeld in de samenwerkingsovereenkomst.
Toegang en grondslag
Om toegang te krijgen tot het netwerk van een cliënt, dient de cliënt (of diens vertegenwoordiger) toestemming te geven. Voor OZO geldt uitdrukkelijke toestemming ook als grondslag voor de verwerking van (bijzondere) persoonsgegevens. Elke andere professionele partij dient zelf een grondslag voor toegang en verwerking vast te stellen.
Er kunnen 3 soorten accounts aangemaakt worden in OZO;
- een account voor een cliënt,
- een account voor iemand uit het persoonlijk netwerk of
- een account voor een professional.
Een account is altijd persoonsgebonden en toegankelijk via een persoonlijke gebruikersnaam en wachtwoord.
Daarbij is het wel zo geregeld, dat zeker niet iedereen in het netwerk van een cliënt alles kan zien. Wanneer een deelnemer van het netwerk bijvoorbeeld een bericht aanmaakt, dan selecteert diegene de personen die bij dit bericht betrokken moeten worden. Alleen zij zien vervolgens dit bericht, overige deelnemers in het netwerk zien dit niet.
Rollen[1] en Onderlinge Regeling
OZOverbindzorg is zelfstandig verantwoordelijk voor het (technisch) inrichten, instandhouden en verbeteren van het platform. Daarnaast is OZOverbindzorg voor supportvragen geautoriseerd om op inhoud mee te kunnen kijken in accounts. De professionele organisatie is verantwoordelijk voor de gegevens die haar medewerkers in OZO zetten. Op het moment dat het account van de initiator ophoudt te bestaan, blijft OZO altijd als verwerkingsverantwoordelijke over. Al deze aspecten maken, dat OZOverbindzorg in de meeste gevallen meer is dan een reguliere verwerker. OZO heeft ervoor gekozen om zich als medeverantwoordelijke te duiden. In de samenwerkingsovereenkomst maken we afspraken over de gedeelde verantwoordelijkheid. De AVG spreekt in dit geval over een “onderlinge regeling[2]”. De samenwerkingsovereenkomst is geschikt voor alle bovenstaande rollen.
Initiator of niet?
In de samenwerkingsovereenkomst wordt een aantal keer gesproken over “initiator”. Binnen OZO zijn, zoals gezegd, meerdere organisaties betrokken rondom een cliënt. Er is wel altijd één organisatie die het initiatief neemt tot het gebruik van OZO bij een specifieke cliënt (de initiator en daarmee verwerkingsverantwoordelijke) en daarnaast zijn er (medewerkers van) diverse andere organisaties die een inhoudelijke bijdrage leveren aan het platform. Eén organisatie verantwoordelijk maken voor het totaal aan communicatie zou niet logisch zijn. Iedere organisatie heeft een eigen verantwoordelijkheid voor die bijdrage die zij zelf levert. Vanuit transparantie accordeert wel elke organisatie dezelfde samenwerkingsovereenkomst. Júist voor die organisaties die geen initiator zijn, is deze samenwerkingsovereenkomst overigens van belang. Dat zijn namelijk bij uitstek de organisaties die wel gezondheidsgegevens plaatsen in een account, terwijl zij volgens de samenwerkingsovereenkomst niet als initiator worden geduid. De samenwerkingsovereenkomst is dus een professioneel document voor elke organisatie die aantoonbaar zorgvuldig met persoonsgegevens wil omgaan.
Verwerkersovereenkomst
Er zijn situaties denkbaar waarin OZO puur en alleen op basis van schriftelijke instructie persoonsgegevens verwerkt. Wanneer blijkt dat OZO alleen als verwerker te gelden heeft, dan is het mogelijk om de samenwerkingsovereenkomst aan te vullen met een verwerkersovereenkomst. OZO gebruikt daarvoor het BOZ-format[3].
Met het samen afsluiten van de samenwerkingsovereenkomst voldoen we aan de eisen die er vanuit de AVG gesteld worden voor het verwerken van persoonsgegevens.
[1] Er bestaan verschillende rollen bij het verwerken van persoonsgegevens:
• Verwerkingsverantwoordelijke; de organisatie die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In de samenwerkingsovereenkomst wordt gesproken over “initiator”. Dit is de organisatie die het account voor de cliënt aangemaakt heeft.
Met andere woorden; zodra een organisatie een cliënt in OZO zet, heeft deze bepaald dat OZO als middel wordt gebruikt om de persoonsgegevens van de cliënt te verwerken. Daarbij heeft OZOverbindzorg de opdracht gekregen tot verwerken.
• Verwerker; de organisatie die gegevens verwerkt in opdracht van de verwerkingsverantwoordelijke; de organisatie OZOverbindzorg in dit geval.
• Gezamenlijk verwerkingsverantwoordelijk: partijen die samen doel en middelen bepalen, waarbij dit ook op detailonderdelen of gedeeltes van het werkproces kan gelden “convergerend zeggenschap”.
[2] Zoals bedoeld in artikel 26 AVG.
[3] https://www.brancheorganisatieszorg.nl/nieuws_list/boz-modelverwerkersovereenkomst-vernieuwd/