Duidelijkheid rondom aanstelling FG voor zorgaanbieders
Recent heeft de Autoriteit Persoonsgegevens (AP) specifiek voor zorgaanbieders verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Dit biedt duidelijkheid aan onder meer huisartsen.
Functionaris gegevensbescherming
Op grond van de AVG zijn alle overheidsinstanties en overheidsorganen (behalve rechtbanken) verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Ook voor sommige andere typen organisaties is dit inmiddels een verplichting. Wanneer je als organisatie gegevens verwerkt waarvan de aard van de verwerking (zoals het soort gegevens, het doel, de reikwijdte, grootschalige en stelselmatige monitoring van betrokkenen) hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens, moet je een FG aanstellen.
Grootschalige verwerking
De AVG geeft geen verdere definitie van wat er onder ‘op grote schaal’ moet worden verstaan. De Article 29 Working Party (WP29), het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders waaronder de Autoriteit Persoonsgegevens, geeft in een van haar adviezen een aantal handvatten hiervoor. De verwerking van patiëntgegevens in het kader van de regelmatige bedrijfsvoering van een ziekenhuis valt in elk geval onder verweking op grote schaal, zo stelt de WP29 in haar advies. Dit gegeven wordt aangevuld met de opmerking dat de verwerking van patiëntgegevens door een individuele arts niet als grootschalig wordt gekenmerkt.
Huisartsen en tandartsen
Recent heeft de Autoriteit Persoonsgegevens (AP) specifiek voor zorgaanbieders verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg (ziekenhuizen buiten beschouwing latend) beschouwt de AP een verwerking als een grootschalig bij meer dan 10.000 ingeschreven patiënten of wanneer er gemiddeld meer dan 10.000 patiënten per jaar worden behandeld en de gegevens van deze patiënten in een centraal systeem zijn vastgelegd. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig, zo geeft de AP aan.
Deze benadering sluit op hoofdlijnen aan bij het advies dat de Landelijke Huisartsen Vereniging (LHV) eerder dit jaar hieromtrent hebben gegeven. De LHV heeft de AP verzocht om ook duidelijkheid te geven over de apotheekhoudende huisartsen. De LHV wil weten of deze groep huisartsen onder de norm valt voor huisartsenpraktijken of voor apothekers.
De Koninklijke Nederlandse Maatschappij tot bevordering der Tandheelkunde (KNMT) gaat in haar advies aan de AP nog verder en is van mening dat een mondzorgpraktijk pas een FG hoeft aan te stellen vanaf vijftienduizend ingeschreven patiënten of als er gemiddeld meer dan vijftienduizend patiënten per jaar worden behandeld.
Aannemen of inhuren
Tenzij het duidelijk is dat een organisatie niet verplicht is om een FG aan te wijzen, raadt de Artikel 29-werkgroep verantwoordelijken en verwerkers aan om een interne analyse vast te leggen om te bepalen of er al of niet een FG aangewezen moet worden. Dit om aan te kunnen tonen dat met de betreffende factoren goed rekening is gehouden. Een FG kan een werknemer in loondienst zijn maar dit is geen vereiste. Een FG kan ook worden aangesteld op grond van een dienstverleningsovereenkomst. Afhankelijk van de omvang en complexiteit kan ook een team van specialisten worden ingezet. Hierbij is het raadzaam dat er één contactpersoon de leiding neemt en als FG wordt benoemd.