Kleine zorgorganisaties hoeven van AP toch geen Functionaris Gegevensbescherming (FG) aan te stellen

Moet een zorgboerderij een Functionaris Gegevensbescherming aanstellen?, vroeg PrivacyZone onlangs aan de Autoriteit Persoonsgegevens. Een zorgboerderij verwerkt bijzondere gegevens en observeert clienten structureel. Eerste antwoord van de AP op basis van deze criteria was kort en krachtig: ja.

Maar nadat PrivacyZone aangaf dat de landelijke huisartsenvereniging gepubliceerd had dat een jurist die zij ingeschakeld had daar anders over dacht bij huisartsen met een kleine eigen praktijk, erkende ons contactpersoon bij de AP ruiterlijk dat er sprake is van een grijs gebied en dat dat uitgezocht moest worden.

Antwoord van de AP

Op 31 mei kwam het antwoord van de Autoriteit Persoonsgegevens al. Kleine zorgorganisaties zijn vrijgesteld van een FG.

Toevallig kwam ook de Autoriteit Persoonsgegevens in de Duitse deelstaat Noordrijn-Westfalen met een soortgelijk advies. De Duitse toezichthouder zegt dat zorgorganisaties met minder dan 10 medewerkers die bezig zijn met verwerking van persoonsgegevens geen FG hoeven aan te stellen.

Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de Nederlandse Autoriteit Persoonsgegevens nog wel nuttig zijn om een FG aan te stellen.

Een FG kan volgens de Nederlandse AP een organisatie helpen een organisatie AVG-proof in te richten.

PrivacyZone wordt door een zorgboerderij ingeschakeld om te ondersteunen met privacymanagement. Daarbij wordt net als een FG dat zou doen kritisch naar privacyrisico’s in de organisatie gekeken. De privacy manager helpt bij het privacyproof maken van de organisatie.

Advies AP: ga samenwerken

De Autoriteit Persoonsgegevens adviseert kleine zorginstellingen om met andere zorgaanbieders of extern (voor een beperkt aantal uren) een FG in te huren, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

PrivacyZone onderzoekt samen met de zorgboerderij de optie om de krachten van een aantal kleinere zorgaanbieders in de provincie Groningen te bundelen.

De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking.

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan.

10.000 patienten

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten.

De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben.

Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Verduidelijking AP

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

Grootschalige gegevensverwerking in de zorg

Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet.

Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens krijgt in 2017 dertig meldingen van datalekken per dag

In de eerste negen maanden van 2017 kreeg de Autoriteit Persoonsgegevens (AP) 7436 meldingen over datalekken. Een verdubbeling in vergelijking met dezelfde periode in 2016. De privacywaakhond denkt dat het aantal datalekken dat officieel gemeld wordt slechts het topje van de ijsberg betreft.

De Autoriteit Persoonsgegevens kreeg in 2017 zo’n dertig meldingen van datalekken per dag.

De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De privacygegevens die gelekt worden betreffen vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd.

Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt.

Het aantal gemelde hacks is vrij laag. In 6 procent van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie.

“Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen”, verklaarde de Autoriteit Persoonsgegevens na een bericht in  dagblad Trouw.

Uber-hack

De meldingen die AP krijgt, kunnen sterk in omvang verschillen. Zo kan een melding gaan over de uitgelekte gegevens van één persoon, maar ook over de Uber-hack waarbij gegevens van zeker 174.000 Nederlanders uitlekte.

De Autoriteit kan bij ernstige lekken een hoge boete opleggen, maar tot nu toe zijn er alleen waarschuwingen gegeven.

”Een boete is niet het doel, maar een middel. Als het wordt opgelost in het stadium van waarschuwingen, is er geen reden voor boetes”, zegt een woordvoerster.

Hoewel er een meldplicht voor datalekken bestaat, worden veel lekken toch onder de pet gehouden. Bedrijven vrezen voor reputatieschade wanneer bekend wordt dat zij mogelijk onveilig zijn omgegaan met de gegevens van klanten.

Dat gebeurde ook bij de grote Uber-hack, die eind 2016 al bekend was bij de top van het bedrijf maar bewust werd verzwegen.

Meer actueel awareness nieuws