Selecteer een pagina

FG’s ziekenhuizen krijgen tips van Autoriteit Persoonsgegevens (AP) om nog beter te functioneren

Functionarissen voor de gegevensbescherming (FG’s) in ziekenhuizen zijn volgens de Autoriteit Gegevensbescherming (AP) goed op weg om zich een volwaardige positie te verwerven.

“De FG’s opereren goed en geven een goede invulling aan de taken die zij hebben op grond van de privacywetgeving”, meldt de AP. “Wel kunnen voornamelijk kleinere ziekenhuizen zich nog verbeteren door meer schriftelijke waarborgen door te voeren.”

Deze conclusie trekt de Autoriteit Persoonsgegevens (AP) na een verkennend onderzoek naar het functioneren van FG’s in elf ziekenhuizen.

Monique Verdier, bestuurslid bij de AP: “Als de functie van een FG goed ingebed is in een organisatie, kan dat iets zeggen over hoe goed een organisatie de privacywet naleeft. Voor de AP is een goed functionerende FG waardevol: hij of zij helpt ons om adequaat toezicht te houden.”

Aanbevelingen voor een effectieve FG

Op basis van het verkennend onderzoek komt de AP met aanbevelingen voor de raden van bestuur en aanbevelingen voor de FG’s. De AP heeft het onderzoek verricht binnen elf ziekenhuizen, maar de bevindingen zijn relevant voor de hele ziekenhuisbranche en daarbuiten.

Aanbevelingen aan de raden van bestuur:

  1. Werk regels en richtlijnen uit over de positie van de FG’s in een intern privacybeleid. Maak duidelijk wat de taken, werkzaamheden en bevoegdheden van de FG zijn en hoe de functie is afgebakend.
  2. Zorg ervoor dat FG’s voldoende middelen krijgen om hun werk goed te kunnen doen. Laat aan de organisatie zien dat het werk van FG’s belangrijk is en gedragen wordt door de raad van bestuur.
  3. Zoek zelf actief contact met de FG. Laat dit niet uitsluitend over aan een manager of secretaris.

Aanbevelingen aan FG’s:

  1. Houd een goede balans tussen de adviserende en de toezichthoudende rol.  Vervul niet alleen een adviserende rol, besteed meer aandacht aan de toezichthoudende rol. 
  2. Voorkom conflicten tussen de adviserende en de toezichthoudende rol. Maak binnen de organisatie duidelijk welke rol je wanneer inneemt.
  3. Maak duidelijke interne afspraken over de verdeling van verantwoordelijkheden en de rol van de FG, bijvoorbeeld bij een datalek.
  4. Wees zichtbaar. Zoek als FG het contact met de werkvloer en ga het gesprek aan.
  5. Leer van elkaar. Zoek contact en wissel ervaring en kennis uit met andere FG’s in de regio of bij andere zorgaanbieders in het land. Veel FG’s hebben te maken met dezelfde problematiek. Onderling contact voorkomt dat ze het wiel opnieuw moeten uitvinden.

Alle ziekenhuizen en zorgverzekeraars voldoen aan de AVG. Ze hebben een functionaris voor de gegevensbescherming aangesteld

De Autoriteit Persoonsgegevens (AP) zegt dat alle ziekenhuizen en zorgverzekeraars nu een functionaris voor de gegevensbescherming (FG) hebben aangesteld. De Autoriteit Persoonsgegevens controleerde 91 ziekenhuizen en 33 zorgverzekeraars.

Bij een eerste controle bij bijna 25% van de organisaties trof de AP bij 17 ziekenhuizen en 2 zorgverzekeraars nog geen contactgegevens voor een FG op websites aan.

Verplicht aanmelden Functionaris Gegevensbescherming

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG.

Onderdeel hiervan is dat sommige organisaties, zoals ziekenhuizen en zorgverzekeraars, een functionaris voor de gegevensbescherming (FG) moeten aanstellen die binnen de organisatie toezicht houdt op naleving van de AVG.

Iedereen die dat wil kan ook makkelijk contact opnemen met de FG: hun (directe) contactgegevens zijn gepubliceerd op de websites van de organisaties.

De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven.

De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.

Communiceren contactgegevens

Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit.

Het is verplicht een direct telefoonnummer of e-mailadres te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk.

Van de organisaties die wel contactgegevens op hun website vermelden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.

Steekproeven Autoriteit Gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd.

De controleerde AP eerder overheidsorganisaties op FG’s. Daarnaast deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.