Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Persoonsgegevens in goede handen bij FG

Wanneer een bedrijf of instelling privacygevoelige gegevens registreert, moet dit gemeld worden aan het College bescherming persoonsgegevens (CBP) of aan een speciale functionaris, tenzij de registratie onder de vrijstelling valt. Hoe zit het precies met zorginstellingen?
Persoonsgegevens in goede handen bij FG

Sinds de invoering van de Wet bescherming persoonsgegevens (Wbp, 2001) bestaat er een wettelijke meldingsplicht voor organisaties in de private en (semi-)publieke sector die persoonsgegevens verwerken. De directie of het bestuur is verantwoordelijk voor de melding, door middel van een papieren meldingsformulier of via het meldingsprogramma op de website van het CBP. Het CBP kan een boete opleggen van € 4.500 voor iedere niet aangemelde verwerking van persoonsgegevens.
Ter voorkoming van te veel administratieve lasten, kent de Wbp echter ook het zogenoemde Vrijstellingsbesluit, een algemene maatregel van bestuur, zoals genoemd in artikel 29 van de Wbp. Vrijstelling is krachtens deze regeling mogelijk voor zover een “inbreuk op de fundamentele rechten en vrijheden van de betrokkenen onwaarschijnlijk is”. Daarbij moet vooral worden gedacht aan verwerkingen die veel voorkomen, standaard zijn en waarvan algemeen bekend is dat zij plaatsvinden. Daarvan is sprake bij verwerkingen waarvan het bestaan “evident” is, zoals dat in de toelichting genoemd wordt. Met andere woorden, het bestaan en de aard van de verwerking zijn voor betrokkenen kenbaar en bijna vanzelfsprekend: verwerkingen die afwijken van de standaard zijn gemakkelijk te onderkennen voor de betrokkenen. Voorbeelden zijn het abonneebestand van een krant, het ledenbestand van een vereniging, personeels- en salarisadministraties.
In artikel 27 en 28 van de Wbp staat de regeling voor de melding uitgewerkt en artikel 29 lid 1 geeft een mogelijkheid tot vrijstelling:

  • Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College of de functionaris.
  • Een niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek.

  • De melding behelst een opgave van:<br>a. de naam en het adres van de verantwoordelijke;<br>b. het doel of de doeleinden van de verwerking;<br>c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben;<br>d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;<br>e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie;<br>f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van artikel 13 en 14, de beveiliging van de verwerking te waarborgen.</li>
  • De melding behelst het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn of worden verzameld.
  • Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week gemeld. Wijzigingen in de opgave die betrekking hebben op de onderdelen b tot en met f van het eerste lid, worden telkens binnen een jaar na de voorafgaande melding gemeld voor zover zij blijken van meer dan incidentele aard te zijn.
  • Een verwerking die afwijkt van hetgeen overeenkomstig het eerste lid, onder b tot en met f, is gemeld, wordt vastgelegd en bewaard gedurende ten minste drie jaren.
  • Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de melding dient te geschieden.

  • Bij algemene maatregel van bestuur kan worden bepaald dat daarbij aan te geven verwerkingen van gegevens waarbij de inbreuk op de fundamentele rechten en vrijheden van de betrokkene onwaarschijnlijk is, zijn vrijgesteld van de melding, bedoeld in artikel 27.

Voorwaarden voor vrijstelling

Per categorie van gegevensverwerkingen geeft het Vrijstellingsbesluit de voorwaarden voor vrijstelling aan. Deze voorwaarden hebben betrekking op de toegelaten doeleinden van de verwerking, de soorten gegevens die mogen worden verwerkt, de (categorieën van) personen op wie de gegevens betrekking hebben, de (categorieën van) personen aan wie de gegevens worden verstrekt en de bewaartermijn.
Voor zorginstellingen zullen vrijwel alle hieronder opgesomde categorieën van gegevensverwerkingen relevant zijn. Met betrekking tot medische gegevens zijn met name de artikelen 16 en 17 van belang:

• Artikel 5. Sollicitanten
• Artikel 6. Uitzendkrachten
• Artikel 7. Personeelsadministratie
• Artikel 8. Salarisadministratie
• Artikel 9. Uitkering bij ontslag
• Artikel 10. Pensioen en vervroegde uittreding
• Artikel 12. Debiteuren en crediteuren
• Artikel 13. Afnemers en leveranciers
• Artikel 16. Individuele gezondheidszorg
• Artikel 17. Verzorgingshuizen en verpleeghuizen
• Artikel 19. Leerlingen, deelnemers en studenten
• Artikel 31. Documentenbeheer
• Artikel 33. Computersystemen
• Artikel 34. Communicatieapparatuur
• Artikel 35. Toegangscontrole
• Artikel 36. Overig intern beheer
• Artikel 38. Videocameratoezicht
• Artikel 39. Bezwaarschriften, klachten en gerechtelijke procedures
• Artikel 41. Oud-leden en oud-leerlingen
• Artikel 43. Combinaties van verwerkingen

Om voor vrijstelling van een of meer van deze categorieën gegevensverwerkingen in aanmerking te komen, moeten de volgende vragen bevestigend beantwoord kunnen worden:

  • Valt de registratie onder de hier bedoelde categorie?

  • Worden persoonsgegevens verwerkt voor een of meer van de in het betreffende artikel genoemde doeleinden?

  • Worden niet meer persoonsgegevens vastgelegd dan de in het betreffende artikel genoemde?

  • Worden persoonsgegevens niet aan anderen verstrekt dan de in het betreffende artikel genoemde?

  • Worden de persoonsgegevens niet langer bewaard dan de termijn die in het betreffende artikel wordt genoemd?

Ziekenhuizen

Voor de zorgsector kent het Vrijstellingsbesluit uitzonderingen op de meldingsplicht voor verwerkingen door beoefenaren van individuele beroepen in de gezondheidszorg (art. 16) en voor verzorgingshuizen en verpleeghuizen (art. 17). Andere zorginstellingen, zoals ziekenhuizen, vallen dus niet onder het Vrijstellingsbesluit. Ook niet via de verwerkingen door individuele beroepsbeoefenaren. De toelichting op artikel 16 van het Vrijstellingsbesluit (individuele beroepsbeoefenaar) is daar duidelijk over: “Indien gegevens door de hiervoor bedoelde beroepsbeoefenaar in het kader van een behandeling worden doorgegeven aan de administratie van de zorginstelling waar hij werkzaam is, dan is de vrijstelling op de instellingsadministratie niet van toepassing aangezien deze niet transparant genoeg is voor de betrokkene.” Voor de verwerking van patiëntgegevens zijn ziekenhuizen dus niet vrijgesteld van de meldingsplicht, omdat het ziekenhuisinformatiesystemen (ZIS) en elektronische patiëntendossier (EPD) over het algemeen niet voldoende transparant zijn voor de patiënten.

Geregistreerde functionaris

Volgens artikel 27 moet een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens voor aanvang worden aangemeld bij het CBP of bij de functionaris. Met die ‘functionaris’ wordt de eventueel in de organisatie aanwezige Functionaris voor de Gegevensbescherming bedoeld (FG). Zo’n FG wordt benoemd door het management van de organisatie waar hij werkzaam is, maar is pas officieel als hij of zij bij het CBP is aangemeld. De FG wordt dan opgenomen in het openbare register van FG’s.
Een FG heeft een toezicht- en adviesfunctie. Hij dient te beschikken over toereikende kennis van de organisatie, de gegevensverwerkingen daarbinnen, de daarbij betrokken belangen en kennis van de privacywetgeving. Een FG is bevoegd om ruimtes te betreden, inlichtingen en inzage te vragen en zaken te onderzoeken. De organisatie mag een FG geen aanwijzingen geven voor de uitoefening van zijn functie. Daardoor is de FG onafhankelijk. Ook mag de organisatie een FG niet door een gebrek aan faciliteiten belemmeren in zijn taakuitoefening.
Heeft een organisatie een FG benoemd, dan mag men de gegevensverwerkingen bij de FG melden in plaats van bij het CBP. Speciaal voor de FG heeft het CBP een aparte editie ontwikkeld van het Wbp-meldingsprogramma. Daarmee is het mogelijk om de meldingen verder te verwerken in een eigen database van de organisatie.
Een FG is dus een officiële functionaris met een bijzondere positie in de organisatie: bij de FG kan men aan de wettelijke meldingsplicht voldoen. De Wbp stelt kwaliteitseisen aan de FG maar geeft deze ook bevoegdheden van een toezichthouder, als bedoeld in de Algemene wet bestuursrecht. De FG geniet voorts ontslagbescherming zoals ook leden van de Ondernemingsraden die hebben.

Verschillen met Security officer

De FG moet duidelijk onderscheiden worden van de functionaris die verantwoordelijk is voor de informatieveiligheid, vaak de Security Officer genoemd. De Security Officer heeft geen wettelijke basis maar wordt alom gezien als iemand bij wie de verantwoordelijkheid voor de informatieveiligheid in een organisatie eenduidig wordt gelegd. Meestal is het een staffunctionaris die wel alle verantwoordelijkheden krijgt, maar nauwelijks mandaten en geen budget. Met de aanstelling van een Security Officer lijkt de directie de bescherming van persoonsgegevens afdoende geregeld te hebben en voldoet zij aan een wens uit de NEN 7510, maar wettelijk gezien schiet zij op het gebied van de gegevensbescherming toch tekort.
De FG heeft een specifiekere taak dan de Security Officer: het beschermen van de privacy van iedereen in de zorginstelling. Wel hebben de functies FG en Security Officer raakvlakken en bij een verder gaande automatisering van de diverse registraties is het niet vreemd de functies samen te voegen. Privacy is immers onderdeel van informatieveiligheid en andersom.
Sommige organisaties kennen naast een Security Officer ook een zogenoemde Privacyfunctionaris. Soms noemt men een FG ook wel Privacyfunctionaris. Helemaal terecht is dat niet. Het verschil is dat een FG officieel na aanmelding bij het CBP wettelijke bevoegdheden heeft. Een organisatie kan er echter voor kiezen om geen officiële FG te hebben en een Privacy Functionaris zonder wettelijke bevoegdheden aan te stellen.

Kortom, met uitzondering van verzorgings- en verpleeghuizen die voldoen aan de eisen van artikel 17 Vrijstellingsbesluit, zijn zorginstellingen verplicht om registraties die patiëntgegevens bevatten aan te melden bij het CBP of bij de bij het college geregistreerde FG van de zorginstelling. Verwerkingen van personeelsgegevens, bijvoorbeeld in personeels- en salarisadministraties, zijn vrijgesteld van meldingsplicht, mits is voldaan aan de voorwaarden in het Vrijstellingsbesluit.

Sjaak Nouwt, juridisch adviseur KNMG
Berend de Vries, Managing Partner Comfort-IA

Berber Bast

chef redactie Zorgvisie
Bekijk profiel

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden