Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben, moeten volgens de Algemene verordening gegevensbescherming (AVG) aan diverse verplichtingen voldoen. Zo moeten deze organisaties verplicht een functionaris voor de gegevensbescherming (FG) bezitten en in bepaalde gevallen een DPIA doen. In de zorg is dat vrijwel élke instelling, aangezien zorginstellingen vrijwel altijd bijzondere persoonsgegevens (medische gegevens) verwerken. De AP heeft nu richtlijnen opgesteld waarmee gemakkelijker kan worden bepaald of u aan diverse verplichtingen van de AVG moet voldoen.
De Autoriteit Persoonsgegevens geeft aan dat huisartsenpraktijken en instellingen voor medisch specialistische zorg (behalve ziekenhuizen) grootschalig verwerken wanneer zij:
- meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
- de gegevens van deze patiënten in één informatiesysteem heeft staan.
De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.
Alle andere zorgaanbieders
Voor alle andere zorgaanbieders gelden andere regels. Voor hen geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen. Deze factoren zijn:
- het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
- de hoeveelheid persoonsgegevens die worden verwerkt
- de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
- de geografische reikwijdte van de verwerking.
Zorg ervoor dat op alle vier de factoren een antwoord/ toelichting is geformuleerd. Vervolgens is het goed om de factoren te combineren en te bepalen of er sprake is van grootschalige gegevensverwerking. We begrijpen dat het lastig is om dat vast te stellen, omdat er weinig houvast is. Wij adviseren dat er eerder sprake van grootschalige verwerking van persoonsgegevens is bij een zorginstelling waar veel gegevens voor een lange tijd worden verwerkt, dan bij een organisatie die wereldwijd handelt maar beperkt beschikt over dossiers van verschillende personen en de gegevens voor een paar jaar bewaard.
FG nodig?
Blijkt dat uw zorginstelling toch een Functionaris Gegevensbescherming aan moet stellen? Audittrail kan uw organisatie daarin voorzien. We hebben slimme én leuke privacyjuristen die bij uw organisatie als FG aan de slag kunnen gaan. Zolang en frequent als uw organisatie nodig heeft. Meer weten? Paul en Dennis komen graag bij u langs om er meer over te vertellen. Nodigt u ze uit?