AP verduidelijkt wanneer Functionaris Gegevensbescherming nodig is
Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.
De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.
Verduidelijking AP
De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:
- die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
- én de gegevens van deze patiënten in één informatiesysteem staan.
De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.
Grootschalige gegevensverwerking in de zorg
Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.
Deze factoren zijn:
- het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
- de hoeveelheid persoonsgegevens die worden verwerkt
- de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
- de geografische reikwijdte van de verwerking.
De AP probeert op korte termijn ook voor andere zorgaanbieders nadere duiding te geven.
Functionaris voor de gegevensbescherming
Als een organisatie niet grootschalig gegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.
Bij het thema van dit artikel betrokken organisaties
Lees verder - met dit thema
Belastingdienst gaat vanaf 1 januari handhaven bij schijnzelfstandigheid: Wel overgangsperiode van een jaar voor werkgevers en zzp’ers
10 sep om 14:00 uur 5 minOp 1 januari 2025 gaat de Belastingdienst ‘volledig handhaven’ op…
Grensoverschrijdend gedrag: leiderschap én beleid ‘bittere noodzaak’
16 jul om 09:30 uur 6 minDe kranten en social media staan er bol van: grensoverschrijdend gedrag. Schrijnende verhalen komen naar buiten…
Getalsgrens intern toezicht WTZa verhoogd naar 50
20 jun om 17:00 uur 2 minDe Wtza-verplichting om intern toezicht in te richten gaat pas gelden voor…
InterShift en Agilio: Intelligente software die praktijkmanagers bij al hun taken ondersteunt
26 sep 2023 4 minInterShift, bij huisartsen bekend als de aanbieder van roostersoftware voor…
Reactie toevoegen