AVG in de wachtkamer. Patiënt 031872 naar behandelkamer 2

Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.

Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?

Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?

Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.

Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.

Absurd. Nergens voor nodig.

Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.

Hoe zit het met privacy op de verpleegzaal met 4 bedden?

Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.

De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.

In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.

Toestemming is niet vereist!

Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.

De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.

Kleine zorgorganisaties hoeven van AP toch geen Functionaris Gegevensbescherming (FG) aan te stellen

Moet een zorgboerderij een Functionaris Gegevensbescherming aanstellen?, vroeg PrivacyZone onlangs aan de Autoriteit Persoonsgegevens. Een zorgboerderij verwerkt bijzondere gegevens en observeert clienten structureel. Eerste antwoord van de AP op basis van deze criteria was kort en krachtig: ja.

Maar nadat PrivacyZone aangaf dat de landelijke huisartsenvereniging gepubliceerd had dat een jurist die zij ingeschakeld had daar anders over dacht bij huisartsen met een kleine eigen praktijk, erkende ons contactpersoon bij de AP ruiterlijk dat er sprake is van een grijs gebied en dat dat uitgezocht moest worden.

Antwoord van de AP

Op 31 mei kwam het antwoord van de Autoriteit Persoonsgegevens al. Kleine zorgorganisaties zijn vrijgesteld van een FG.

Toevallig kwam ook de Autoriteit Persoonsgegevens in de Duitse deelstaat Noordrijn-Westfalen met een soortgelijk advies. De Duitse toezichthouder zegt dat zorgorganisaties met minder dan 10 medewerkers die bezig zijn met verwerking van persoonsgegevens geen FG hoeven aan te stellen.

Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de Nederlandse Autoriteit Persoonsgegevens nog wel nuttig zijn om een FG aan te stellen.

Een FG kan volgens de Nederlandse AP een organisatie helpen een organisatie AVG-proof in te richten.

PrivacyZone wordt door een zorgboerderij ingeschakeld om te ondersteunen met privacymanagement. Daarbij wordt net als een FG dat zou doen kritisch naar privacyrisico’s in de organisatie gekeken. De privacy manager helpt bij het privacyproof maken van de organisatie.

Advies AP: ga samenwerken

De Autoriteit Persoonsgegevens adviseert kleine zorginstellingen om met andere zorgaanbieders of extern (voor een beperkt aantal uren) een FG in te huren, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

PrivacyZone onderzoekt samen met de zorgboerderij de optie om de krachten van een aantal kleinere zorgaanbieders in de provincie Groningen te bundelen.

De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking.

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan.

10.000 patienten

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten.

De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben.

Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Verduidelijking AP

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

Grootschalige gegevensverwerking in de zorg

Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet.

Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.