Privacy Nieuws
6 Nederlandse banken en 9 verzekeraars voldoen volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een controle bij 45 banken en 93 verzekeraars.
Sinds de invoering van de nieuwe Europese privacywetgeving op 25 mei 2018 controleert de Autoriteit Persoonsgegevens bij diverse branches of alle regels wel worden nageleefd. Zo controleerde de toezichthouder eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars. Ook vond er een steekproef plaats bij grote private organisaties.
Volgens de AP hebben 6 Nederlandse banken en 9 verzekeraars nog geen Functionaris Gegevensbescherming (FG) aangesteld. Daartoe zijn zij volgens de AVG evenwel verplicht. Deze FG moet ook officieel aangemeld worden bij de AP.
Ook heeft de toezichthouder uitgezocht of financiële instellingen de directe contactgegevens van die functionarissen wel op hun website hebben gepubliceerd, zoals is vereist. Dit liet bij zeven banken en veertien verzekeraars nog te wensen over.
Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële data en transactie- en medische gegevens. De functionaris in kwestie is daarom erg belangrijk.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) zegt dat alle ziekenhuizen en zorgverzekeraars nu een functionaris voor de gegevensbescherming (FG) hebben aangesteld. De Autoriteit Persoonsgegevens controleerde 91 ziekenhuizen en 33 zorgverzekeraars.
Bij een eerste controle bij bijna 25% van de organisaties trof de AP bij 17 ziekenhuizen en 2 zorgverzekeraars nog geen contactgegevens voor een FG op websites aan.
Verplicht aanmelden Functionaris Gegevensbescherming
Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG.
Onderdeel hiervan is dat sommige organisaties, zoals ziekenhuizen en zorgverzekeraars, een functionaris voor de gegevensbescherming (FG) moeten aanstellen die binnen de organisatie toezicht houdt op naleving van de AVG.
Iedereen die dat wil kan ook makkelijk contact opnemen met de FG: hun (directe) contactgegevens zijn gepubliceerd op de websites van de organisaties.
De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven.
De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.
Communiceren contactgegevens
Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit.
Het is verplicht een direct telefoonnummer of e-mailadres te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk.
Van de organisaties die wel contactgegevens op hun website vermelden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.
Steekproeven Autoriteit Gegevensbescherming
Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd.
De controleerde AP eerder overheidsorganisaties op FG’s. Daarnaast deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.
Privacy Nieuws
Moet een zorgboerderij een Functionaris Gegevensbescherming aanstellen?, vroeg PrivacyZone onlangs aan de Autoriteit Persoonsgegevens. Een zorgboerderij verwerkt bijzondere gegevens en observeert clienten structureel. Eerste antwoord van de AP op basis van deze criteria was kort en krachtig: ja.
Maar nadat PrivacyZone aangaf dat de landelijke huisartsenvereniging gepubliceerd had dat een jurist die zij ingeschakeld had daar anders over dacht bij huisartsen met een kleine eigen praktijk, erkende ons contactpersoon bij de AP ruiterlijk dat er sprake is van een grijs gebied en dat dat uitgezocht moest worden.
Antwoord van de AP
Op 31 mei kwam het antwoord van de Autoriteit Persoonsgegevens al. Kleine zorgorganisaties zijn vrijgesteld van een FG.
Toevallig kwam ook de Autoriteit Persoonsgegevens in de Duitse deelstaat Noordrijn-Westfalen met een soortgelijk advies. De Duitse toezichthouder zegt dat zorgorganisaties met minder dan 10 medewerkers die bezig zijn met verwerking van persoonsgegevens geen FG hoeven aan te stellen.
Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de Nederlandse Autoriteit Persoonsgegevens nog wel nuttig zijn om een FG aan te stellen.
Een FG kan volgens de Nederlandse AP een organisatie helpen een organisatie AVG-proof in te richten.
PrivacyZone wordt door een zorgboerderij ingeschakeld om te ondersteunen met privacymanagement. Daarbij wordt net als een FG dat zou doen kritisch naar privacyrisico’s in de organisatie gekeken. De privacy manager helpt bij het privacyproof maken van de organisatie.
Advies AP: ga samenwerken
De Autoriteit Persoonsgegevens adviseert kleine zorginstellingen om met andere zorgaanbieders of extern (voor een beperkt aantal uren) een FG in te huren, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.
PrivacyZone onderzoekt samen met de zorgboerderij de optie om de krachten van een aantal kleinere zorgaanbieders in de provincie Groningen te bundelen.
De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking.
Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan.
10.000 patienten
Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten.
De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.
De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben.
Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.
Verduidelijking AP
De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:
- die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
- én de gegevens van deze patiënten in één informatiesysteem staan.
De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.
Grootschalige gegevensverwerking in de zorg
Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet.
Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.
Deze factoren zijn:
- het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
- de hoeveelheid persoonsgegevens die worden verwerkt
- de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
- de geografische reikwijdte van de verwerking.
Privacy Nieuws
De Landelijke Huisartsen Vereniging (LHV) zorgt voor verwarring rond de ‘verplichte’ aanstelling van een Functionaris Gegevensbescherming (FG) in de zorgsector.
Volgens een jurist die de LHV heeft geraadpleegd hoeven huisartsen met een eigen praktijk geen FG aan te stellen.
Dat is opmerkelijk. Want tot dusver leek de AVG heel duidelijk wat betreft de verwerking van medische persoonsgegevens.
Bijzondere persoonsgegevens
Medische persoonsgegevens zijn bijzondere persoonsgegevens en dan zou in alle gevallen een FG moeten worden aangesteld.
Sterker nog… huisartsen hadden vorig jaar al een FG moeten hebben, want er geldt voor hen ook nog een andere wet.
Persoonsgegevens in de zorg
Op 4 oktober 2016 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) aangenomen en sinds 1 juli 2017 is deze wet in werking.
Tegelijk met deze wet is bepaald dat alle zorginstellingen een functionaris moeten aanstellen voor bescherming van data.
Hiermee geeft de wetgever uiting aan het grote belang dat ze hecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.
De boodschap voor alle zorginstellingen in Nederland was daarom duidelijk; het aanstellen van een Functionaris Gegevensbescherming is vanaf 1 juli 2017 onontkoombaar.
Grootschalige verwerking
Volgens de jurist die de LHV raadpleegde staat er in de AVG echter dat er sprake moet zijn van grootschalige verwerking van persoonsgegevens. Een zelfstandige huisarts doet volgens de jurist niet aan grootschalige verwerking.
Wanneer is er dan wel sprake van grootschaligr verwerking?
Volgens de LHV boven de 10.000 patienten.
Zoveel patienten heeft mijn huisarts in ieder geval niet.
Maar hoe zit dat dan met andere zorginstellingen?
FG voor zorgboerderij?
Een van mijn klanten is eigenaresse van een zorgboerderij.
Ze is er van overtuigd dat ze een FG moet hebben.
Op basis van een verkorte PIA denk ik dat ook.
Een collega wijst echter op het artikel van de LHV. “Als een huisarts geen FG hoeft aan te stellen, dan hoeft een zorgboerderij dat zeker niet.”
Google FG Zorgboerderij
Wie op Google zoekt naar “zorgboerderij Functionaris Gegevensbescherming” ontdekt dat er een paar zorgboerderijen zijn die inmiddels een FG hebben aangesteld.
Heel veel zorgboerderijen hebben echter geen FG aangesteld.
Is dat een indicatie dat er geen FG nodig is?
Nee. Natuurlijk niet.
Heel veel organisaties hebben zich nog totaal niet verdiept in de AVG.
Bel de Autoriteit Persoonsgegevens
Bij twijfel is het verstandig om de Autoriteit Persoonsgegevens (AP) te raadplegen.
Op de site van de AP is niets te vinden over zorgboerderijen.
Dan maar even bellen.
Het is dinsdagmiddag kwart voor vijf. De AP is tot 17.00 uur bereikbaar, meldt de site.
”Er zijn nog vijf wachtenden voor u”, hoor ik.
Vijf minuten later ben ik al aan de beurt.
”Moet een zorgboerderij een FG aanstellen?”
Een vriendelijke vrouw zegt dat ze dat even zal uitzoeken.
Standaard vragenlijst FG
Ik hoor hoe ze de standaard vragenlijst doorloopt.
“…medische gegevens… Dat zijn bijzondere gegevens. Ja, er moet een FG worden aangesteld”, zegt ze.
Ik wijs haar op het oordeel van de LHV dat er bij huisartsen alleen bij grootschalige verwerking van bijzondere persoonsgegevens een FG hoeft te worden aangesteld. En dat dat onder de 10.000 patienten niet nodig zou zijn.
”De zorgboerderij heeft hooguit enkele tientallen clienten”, zeg ik.
Grijs gebied AVG
”De Autoriteit noemt geen aantallen als het gaat om grootschalige verwerking”, zegt ze. “Maar u heeft gelijk. Het betreft hier grijs gebied waar nog een uitspraak over moet worden gedaan.”
“Komt de zorgboerderij er mee weg als er voorlopig geen FG wordt aangesteld en dat besluit in het verwerkingsregister wordt gemotiveerd door te verwijzen naar het artikel van de LHV en dit telefoongesprek?”, vraag ik.
“Zo zou u het kunnen verantwoorden”, antwoordt de deskundige van de Autoriteit Persoonsgegevens.
Voorlopige oplossing
Ze zegt kortom niet dat ze daarmee akkoord gaat, maar ze zegt ook niet onomwonden dat de voorlopige oplossing goed is.
Ik wil weten hoe lang het nog kan duren dat er duidelijkheid komt.
Ze weet het niet.
Wel vertelt ze dat de definitie van grootschalige verwerking verduidelijkt zal worden. “En dan kan het best zijn dat zelfs een kleine praktijk met twintig patienten als grootschalig wordt gezien.”
De zorgboerderij heeft nog even uitstel wat betreft de FG.
Misschien is er straks helemaal geen FG nodig.
Dat betekent niet dat er op de zorgboerderij niets hoeft te worden gedaan met de AVG.
Ook zonder FG voldoen aan de AVG
Ook zonder FG moet de zorgboerderij de verwerking van persoonsgegevens door se eigen organisatie en andere partijen waarmee wordt samengewerkt met een PIA compleet doorlichten.
Waar nodig moet de ICT opnieuw worden ingericht. Er moeten protocollen worden vastgelegd. Verwerkingsovereenkomsten worden gesloten. Een awareness training voor het personeel, vrijwilligers en clientenraad worden georganiseerd.
Gelukkig heeft de organisatie al veel zaken goed op orde.
Wat dat betreft zou een FG ook geen probleem hoeven te zijn.
Het antwoord van de Autoriteit zit me ook nog niet lekker.
Dat antwoord is ook niet allesbepalend.
Rekening houden met andere wetgeving
Privacymanagers leren dat ze ook rekening moeten houden met andere wetten. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) is dan wel duidelijk. Er moet een FG komen.
Bij twijfel altijd controleren.
Dat zullen we morgen dan maar doen.
Wordt vervolgd.
Advies aan zorgboerderijen
P.S. Advies aan zorgboerderijen die nog niet met de AVG bezig zijn. U bent al te laat. U bent vanaf 25 mei in overtreding. Struisvogelpolitiek helpt niet. Kan duur uitpakken. Slimme zorgboeren slaan de handen ineen en stellen nu gezamenlijk een privacymanager aan. Zo kan kennis worden gedeeld en kosten worden bespaard.
En als die FG er toch moet komen kan die ook worden gedeeld.
Meer weten? Bel PrivacyZone: 06-31995740