Bij zorgaanbieders die van meer dan 10.000 patiënten gegevens in één informatiesysteem verwerken is er sprake van grootschalige verwerking en gelden er verschillende verplichtingen van de Algemene verordening gegevensverwerking (AVG). Dat laat de Autoriteit Persoonsgegevens weten.

De privacytoezichthouder beschouwt de verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen altijd als grootschalig, ongeacht het aantal patiënten. Bij grootschalige verwerking vereist de AVG dat de betreffende organisatie over een privacyfunctionaris beschikt, ook wel een Functionaris voor de gegevensbescherming genoemd. Dit is iemand die binnen de organisatie toeziet op de toepassing en naleving van de AVG. Verder moet er in bepaalde gevallen een data protection impact assessment (DPIA) worden uitgevoerd, waarmee de privacyrisico’s van gegevensverwerking in kaart worden gebracht.

Eind mei van dit jaar kwam de Autoriteit Persoonsgegevens met een uitleg over grootschalige gegevensverwerking in de zorg. De toezichthouder heeft die uitleg nu verder verduidelijkt. Naast ziekenhuizen, huisartsenposten en zorggroepen is er bij andere zorgaanbieders sprake van grootschalige verwerking als de praktijk meer dan 10.000 patiënten heeft of gemiddeld meer dan 10.000 patiënten per jaar behandelt én de gegevens van deze patiënten in één informatiesysteem staan.

De toezichthouder stelt dat voor organisaties die niet op grote schaal gegevens verwerken het nog steeds nuttig kan zijn om een privacyfunctionaris aan te stellen. Zo kan een Functionaris voor de gegevensbescherming bijvoorbeeld worden ‘gedeeld’ met andere zorgaanbieders of als externe kracht voor een beperkt aantal uren worden ingehuurd.