Moeten wij met de komst van de Algemene verordening gegevensbescherming (Avg) wel of geen functionaris voor de gegevensbescherming (FG) aanwijzen? Deze vraag hebben zorgaanbieders de laatste tijd vaak aan ons gesteld. De AVG verplicht zorgaanbieders die hoofdzakelijk belast zijn met grootschalige verwerking van gezondheidsgegevens een FG aan te stellen. Maar wanneer is dan sprake van een dergelijke ‘grootschalige verwerking’? Gisteren heeft de Autoriteit Persoonsgegevens (AP) hier via een nieuwsbericht op haar website deels duidelijkheid over gegeven.

Wat zegt de privacywetgeving ook alweer?

Het zal u waarschijnlijk niet zijn ontgaan dat de AVG vorige week vrijdag (25 mei 2018) van toepassing is geworden. De AVG verplicht zorgaanbieders om een FG aan te stellen bij een grootschalige verwerking van bijzondere persoonsgegevens (waaronder gezondheidsgegevens). Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) sluit zich hierbij aan. Wanneer precies sprake is van een ‘grootschalige verwerking’ licht de AVG (en ook het Begz) echter niet toe.

De artikel 29-werkgroep, een samenwerkingsverband van de Europese privacytoezichthouders, heeft eerder in haar ‘Richtlijnen voor functionarissen voor gegevensbescherming’ een viertal factoren genoemd die zorgaanbieder in aanmerking moet nemen bij het bepalen of zij persoonsgegevens al dan niet op grote schaal verwerkt (en dus een FG moet aanstellen):

  1. het aantal betrokkenen waarover het gaat (het aantal patiënten van wie persoonsgegevens worden verwerkt);
  2. de hoeveelheid persoonsgegevens die worden verwerkt;
  3. de duur of permanentie van de gegevensverwerking; en
  4. de geografische omvang van de verwerkingsactiviteit.

Volgens artikel 29-werkgroep verwerkt een ziekenhuis in ieder geval wél grootschalig gegevens en een solistisch werkzame arts in ieder geval niet. Een ziekenhuis moet dus wel een FG aanstellen en een solistisch werkende arts niet. Wat geldt voor de rest van de zorgaanbieders, is echter een grijs gebied. Zij moeten aan de hand van de vier factoren zelf een inschatting maken of zij wel of geen FG moeten aanstellen. Veel zorgaanbieders blijken het in de praktijk echter lastig te vinden om op basis van deze nog altijd vage criteria zelf een inschatting te maken.

De uitleg van de AP

De AP heeft de onduidelijkheid over het begrip ‘grootschalige verwerking’ gisteren via een nieuwbericht op haar website willen wegnemen. In dit nieuwsbericht vult de AP de Richtlijnen van de artikel 29-werkgroep voor een aantal categorieën zorgaanbieders nader in:

Volgens de AP is de verwerking van patiënten altijd grootschalig bij de volgende zorgaanbieders:

  • Ziekenhuizen;
  • Zorggroepen;
  • Huisartsenposten; en
  • Apotheken (tenzij sprake is van een solistisch werkende zorgverlener).

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg (niet zijnde ziekenhuis) geldt dat een verwerking grootschalig is als voldaan is aan twee cumulatieve voorwaarden:

  1. de praktijk of instelling heeft meer dan 10.000 patiënten ingeschreven óf behandelt meer dan 10.000 patiënten per jaar; en
  2. de gegevens van deze patiënten staan in één informatiesysteem.

Voor deze categorieën zorgaanbieders geldt dus dat zij verplicht zijn om een FG aan te stellen.

Dan blijft er nog een hele grote groep zorgaanbieders over die niet onder de bovenstaande categorieën vallen. Zij moeten vooralsnog aan de hand van de vier factoren van de artikel 29-werkgroep zelf blijven beoordelen of zij wel of niet grootschalig gegevens verwerken. Voor deze groep zorgaanbieders blijft de onduidelijkheid ‘wel of geen FG?’ dus bestaan. De AP heeft wel laten weten op korte termijn ook voor deze groep zorgaanbieders ‘nadere duiding’ te geven. Wanneer deze ‘nader duiding’ verwacht kan worden, is niet bekend.

Tot slot

Het nieuwsbericht van de AP heeft voor een deel van de zorgaanbieders duidelijk gemaakt dat zij (inderdaad) verplicht zijn om een FG aan te stellen. Een groot deel van de zorgaanbieders blijft echter nog in het ongewisse. Wij zijn echter van mening dat het voor zorgaanbieders altijd raadzaam is om een FG aan te stellen. Of een FG nu verplicht is of niet. Een FG kan uw organisatie namelijk goed bijstaan om ‘AVG-proof’ te worden en erop toezien dat uw organisatie dat ook blijft. Alle zorgaanbieders werken immers met gegevens van patiënten en met al deze gevoelige gegevens moet zorgvuldig worden omgegaan. Het naleven van de privacywetgeving is bij deze gegevensverwerkingen extra belangrijk.

Wilt u meer weten over de (privacy)maatregelen die zorgaanbieders onder de AVG verplicht zijn te nemen? Neem dan contact op met Luuk Arends, Lidewij Bergsma of Marloes Hulshof

 

Source: Wel of geen FG in de zorg: meer duidelijkheid door de AP?