Autoriteit Persoonsgegevens verduidelijkt AVG voor zorgverleners

In de nieuwe privacywet AVG is 'grootschalige gegevensverwerking' een belangrijk begrip. Hierover waren onduidelijkheden. De Autoriteit Persoonsgegevens (AP) probeert deze nu weg te nemen.

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Eenheid van taal
Fotolia

De AVG bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Deze organisaties moeten onder meer een Functionaris voor de Gegevensbescherming (FG) aanstellen en in bepaalde gevallen een Data Protection Impact Assessment (DPIA) doen.

In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. De vraag is echter wat als grootschalig wordt beschouwd.

Antwoord

De toezichthouder Autoriteit Persoonsgegevens heeft hierop nu een antwoord gefomuleerd. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg die geen ziekenhuis zijn, beschouwt de Autoriteit Persoonsgegevens de verwerking in principe als kleinschalig. In dat geval is een FG  niet verplicht.

De verwerking is grootschalig als er sprake is van meer dan 10.000 patiënten.

Concreet betekent dit dat:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

In dat geval is een FG verplicht.

Andere zorgaanbieders

De verwerking van persoonsgegevens van ziekenhuizen, apotheken, huisartsenposten en zorggroepen beschouwt de AP altijd als grootschalig. Bij deze instellingen is een FG dus wel verplicht.

Er zijn uiteraard nog veel andere zorgaanbieders, aldus de AP. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

Toch nuttig

Als een organisatie niet grootschalig gegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen, aldus de AP. Hij of zij kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

 

1 REACTIE

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.