Veel zorgverleners bewaren hun database met patiëntgegevens op de server van een externe dienstverlener, een zogeheten Application Service Provider (ASP) en raadplegen de patiëntgegevens op afstand via internet.
Deze uitbesteding van de verwerking van patiëntgegevens -zonder dat de patiënt daarvoor om toestemming wordt gevraagd- heeft inmiddels een hoge vlucht genomen. De praktijk is niet normvast en de mate waarin bij uitbesteding aandacht wordt geschonken aan de bescherming van persoonsgegevens loopt dusdanig uiteen, dat naar het oordeel van het CBP nadere regulering -zelfregulering of wetgeving- is geboden. Vanwege het medisch beroepsgeheim dienen daarbij hoge eisen te worden gesteld aan de uitbestede gegevensverwerking. Er zullen stevige waarborgen moeten worden geboden voor een veilige en discrete verwerking bij de dienstverlener. Uitbesteding mag er nooit toe leiden dat op ongerechtvaardigde wijze gegevens aan personen of instellingen buiten de gezondheidszorg worden gebracht.
Z2009-00765