Moet een zorgboerderij een Functionaris Gegevensbescherming aanstellen?, vroeg PrivacyZone onlangs aan de Autoriteit Persoonsgegevens. Een zorgboerderij verwerkt bijzondere gegevens en observeert clienten structureel. Eerste antwoord van de AP op basis van deze criteria was kort en krachtig: ja.

Maar nadat PrivacyZone aangaf dat de landelijke huisartsenvereniging gepubliceerd had dat een jurist die zij ingeschakeld had daar anders over dacht bij huisartsen met een kleine eigen praktijk, erkende ons contactpersoon bij de AP ruiterlijk dat er sprake is van een grijs gebied en dat dat uitgezocht moest worden.

Antwoord van de AP

Op 31 mei kwam het antwoord van de Autoriteit Persoonsgegevens al. Kleine zorgorganisaties zijn vrijgesteld van een FG.

Toevallig kwam ook de Autoriteit Persoonsgegevens in de Duitse deelstaat Noordrijn-Westfalen met een soortgelijk advies. De Duitse toezichthouder zegt dat zorgorganisaties met minder dan 10 medewerkers die bezig zijn met verwerking van persoonsgegevens geen FG hoeven aan te stellen.

Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de Nederlandse Autoriteit Persoonsgegevens nog wel nuttig zijn om een FG aan te stellen.

Een FG kan volgens de Nederlandse AP een organisatie helpen een organisatie AVG-proof in te richten.

PrivacyZone wordt door een zorgboerderij ingeschakeld om te ondersteunen met privacymanagement. Daarbij wordt net als een FG dat zou doen kritisch naar privacyrisico’s in de organisatie gekeken. De privacy manager helpt bij het privacyproof maken van de organisatie.

Advies AP: ga samenwerken

De Autoriteit Persoonsgegevens adviseert kleine zorginstellingen om met andere zorgaanbieders of extern (voor een beperkt aantal uren) een FG in te huren, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

PrivacyZone onderzoekt samen met de zorgboerderij de optie om de krachten van een aantal kleinere zorgaanbieders in de provincie Groningen te bundelen.

De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking.

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan.

10.000 patienten

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten.

De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben.

Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Verduidelijking AP

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

Grootschalige gegevensverwerking in de zorg

Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet.

Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

RelatedPost

Aanmelden PrivacyZone Nieuwsbrief

Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.

Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.