Selecteer een pagina

Kleine zorgorganisaties hoeven van AP toch geen Functionaris Gegevensbescherming (FG) aan te stellen

Moet een zorgboerderij een Functionaris Gegevensbescherming aanstellen?, vroeg PrivacyZone onlangs aan de Autoriteit Persoonsgegevens. Een zorgboerderij verwerkt bijzondere gegevens en observeert clienten structureel. Eerste antwoord van de AP op basis van deze criteria was kort en krachtig: ja.

Maar nadat PrivacyZone aangaf dat de landelijke huisartsenvereniging gepubliceerd had dat een jurist die zij ingeschakeld had daar anders over dacht bij huisartsen met een kleine eigen praktijk, erkende ons contactpersoon bij de AP ruiterlijk dat er sprake is van een grijs gebied en dat dat uitgezocht moest worden.

Antwoord van de AP

Op 31 mei kwam het antwoord van de Autoriteit Persoonsgegevens al. Kleine zorgorganisaties zijn vrijgesteld van een FG.

Toevallig kwam ook de Autoriteit Persoonsgegevens in de Duitse deelstaat Noordrijn-Westfalen met een soortgelijk advies. De Duitse toezichthouder zegt dat zorgorganisaties met minder dan 10 medewerkers die bezig zijn met verwerking van persoonsgegevens geen FG hoeven aan te stellen.

Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de Nederlandse Autoriteit Persoonsgegevens nog wel nuttig zijn om een FG aan te stellen.

Een FG kan volgens de Nederlandse AP een organisatie helpen een organisatie AVG-proof in te richten.

PrivacyZone wordt door een zorgboerderij ingeschakeld om te ondersteunen met privacymanagement. Daarbij wordt net als een FG dat zou doen kritisch naar privacyrisico’s in de organisatie gekeken. De privacy manager helpt bij het privacyproof maken van de organisatie.

Advies AP: ga samenwerken

De Autoriteit Persoonsgegevens adviseert kleine zorginstellingen om met andere zorgaanbieders of extern (voor een beperkt aantal uren) een FG in te huren, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

PrivacyZone onderzoekt samen met de zorgboerderij de optie om de krachten van een aantal kleinere zorgaanbieders in de provincie Groningen te bundelen.

De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking.

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan.

10.000 patienten

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten.

De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben.

Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Verduidelijking AP

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

Grootschalige gegevensverwerking in de zorg

Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet.

Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

Grijs AVG gebied. Moet een zorgboerderij of huisarts een Functionaris Gegevensbescherming aanstellen? Misschien…

De Landelijke Huisartsen Vereniging (LHV) zorgt voor verwarring rond de ‘verplichte’ aanstelling van een Functionaris Gegevensbescherming (FG) in de zorgsector.

Volgens een jurist die de LHV heeft geraadpleegd hoeven huisartsen met een eigen praktijk geen FG aan te stellen.

Dat is opmerkelijk. Want tot dusver leek de AVG heel duidelijk wat betreft de verwerking van medische persoonsgegevens.

Bijzondere persoonsgegevens

Medische persoonsgegevens zijn bijzondere persoonsgegevens en dan zou in alle gevallen een FG moeten worden aangesteld.

Sterker nog… huisartsen hadden vorig jaar al een FG moeten hebben, want er geldt voor hen ook nog een andere wet.

Persoonsgegevens in de zorg

Op 4 oktober 2016 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) aangenomen en sinds 1 juli 2017 is deze wet in werking.

Tegelijk met deze wet is bepaald dat alle zorginstellingen een functionaris moeten aanstellen voor bescherming van data.

Hiermee geeft de wetgever uiting aan het grote belang dat ze hecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.

De boodschap voor alle zorginstellingen in Nederland was daarom duidelijk; het aanstellen van een Functionaris Gegevensbescherming is vanaf 1 juli 2017 onontkoombaar.

Grootschalige verwerking

Volgens de jurist die de LHV raadpleegde staat er in de AVG echter dat er sprake moet zijn van grootschalige verwerking van persoonsgegevens. Een zelfstandige huisarts doet volgens de jurist niet aan grootschalige verwerking.

Wanneer is er dan wel sprake van grootschaligr verwerking?

Volgens de LHV boven de 10.000 patienten.

Zoveel patienten heeft mijn huisarts in ieder geval niet.

Maar hoe zit dat dan met andere zorginstellingen?

FG voor zorgboerderij?

Een van mijn klanten is eigenaresse van een zorgboerderij.

Ze is er van overtuigd dat ze een FG moet hebben.

Op basis van een verkorte PIA denk ik dat ook.

Een collega wijst echter op het artikel van de LHV. “Als een huisarts geen FG hoeft aan te stellen, dan hoeft een zorgboerderij dat zeker niet.”

Google FG Zorgboerderij

Wie op Google zoekt naar “zorgboerderij Functionaris Gegevensbescherming” ontdekt dat er een paar zorgboerderijen zijn die inmiddels een FG hebben aangesteld.

Heel veel zorgboerderijen hebben echter geen FG aangesteld.

Is dat een indicatie dat er geen FG nodig is?

Nee. Natuurlijk niet.

Heel veel organisaties hebben zich nog totaal niet verdiept in de AVG.

Bel de Autoriteit Persoonsgegevens

Bij twijfel is het verstandig om de Autoriteit Persoonsgegevens (AP) te raadplegen.

Op de site van de AP is niets te vinden over zorgboerderijen.

Dan maar even bellen.

Het is dinsdagmiddag kwart voor vijf. De AP is tot 17.00 uur bereikbaar, meldt de site.

”Er zijn nog vijf wachtenden voor u”, hoor ik.

Vijf minuten later ben ik al aan de beurt.

”Moet een zorgboerderij een FG aanstellen?”

Een vriendelijke vrouw zegt dat ze dat even zal uitzoeken.

Standaard vragenlijst FG

Ik hoor hoe ze de standaard vragenlijst doorloopt.

“…medische gegevens… Dat zijn bijzondere gegevens. Ja, er moet een FG worden aangesteld”, zegt ze.

Ik wijs haar op het oordeel van de LHV dat er bij huisartsen alleen bij grootschalige verwerking van bijzondere persoonsgegevens een FG hoeft te worden aangesteld. En dat dat onder de 10.000 patienten niet nodig zou zijn.

”De zorgboerderij heeft hooguit enkele tientallen clienten”, zeg ik.

Grijs gebied AVG

”De Autoriteit noemt geen aantallen als het gaat om grootschalige verwerking”, zegt ze. “Maar u heeft gelijk. Het betreft hier grijs gebied waar nog een uitspraak over moet worden gedaan.”

“Komt de zorgboerderij er mee weg als er voorlopig geen FG wordt aangesteld en dat besluit in het verwerkingsregister wordt gemotiveerd door te verwijzen naar het artikel van de LHV en dit telefoongesprek?”, vraag ik.

“Zo zou u het kunnen verantwoorden”, antwoordt de deskundige van de Autoriteit Persoonsgegevens.

Voorlopige oplossing

Ze zegt kortom niet dat ze daarmee akkoord gaat, maar ze zegt ook niet onomwonden dat de voorlopige oplossing goed is.

Ik wil weten hoe lang het nog kan duren dat er duidelijkheid komt.

Ze weet het niet.

Wel vertelt ze dat de definitie van grootschalige verwerking verduidelijkt zal worden. “En dan kan het best zijn dat zelfs een kleine praktijk met twintig patienten als grootschalig wordt gezien.”

De zorgboerderij heeft nog even uitstel wat betreft de FG.

Misschien is er straks helemaal geen FG nodig.

Dat betekent niet dat er op de zorgboerderij niets hoeft te worden gedaan met de AVG.

Ook zonder FG voldoen aan de AVG

Ook zonder FG moet de zorgboerderij de verwerking van persoonsgegevens door se eigen organisatie en andere partijen waarmee wordt samengewerkt met een PIA compleet doorlichten.

Waar nodig moet de ICT opnieuw worden ingericht. Er moeten protocollen worden vastgelegd. Verwerkingsovereenkomsten worden gesloten. Een awareness training voor het personeel, vrijwilligers en clientenraad worden georganiseerd.

Gelukkig heeft de organisatie al veel zaken goed op orde.

Wat dat betreft zou een FG ook geen probleem hoeven te zijn.

Het antwoord van de Autoriteit zit me ook nog niet lekker.

Dat antwoord is ook niet allesbepalend.

Rekening houden met andere wetgeving

Privacymanagers leren dat ze ook rekening moeten houden met andere wetten. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) is dan wel duidelijk. Er moet een FG komen.

Bij twijfel altijd controleren.

Dat zullen we morgen dan maar doen.

Wordt vervolgd.

Advies aan zorgboerderijen

P.S. Advies aan zorgboerderijen die nog niet met de AVG bezig zijn. U bent al te laat. U bent vanaf 25 mei in overtreding. Struisvogelpolitiek helpt niet. Kan duur uitpakken. Slimme zorgboeren slaan de handen ineen en stellen nu gezamenlijk een privacymanager aan. Zo kan kennis worden gedeeld en kosten worden bespaard.

En als die FG er toch moet komen kan die ook worden gedeeld.

Meer weten? Bel PrivacyZone: 06-31995740