Medische gegeven zijn “bijzondere persoonsgegevens” en bovendien is het verwerken van medische gegevens een kerntaak van zorginstellingen. De betekenis van “op grote schaal” zorgde bij zorgaanbieders echter voor onduidelijkheid. De enige houvast die zorgaanbieders tot nu toe hadden waren de voorbeelden die door de artikel 29 werkgroep waren genoemd. Voor wat betreft het “op grote schaal verwerken van gegevens” door instellingen, noemde de artikel 29 werkgroep als voorbeeld een ziekenhuis. Als voorbeeld van niet-grootschalige gegevensverwerking noemde de werkgroep gegevensverwerking door een individuele arts. Met deze voorbeelden moesten zorgaanbieders het doen.
De Autoriteit heeft de richtlijn voor grootschaligheid in de zorg nu nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:
- die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
- én de gegevens van deze patiënten in één informatiesysteem staan.
De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is volgens de Autoriteit Persoonsgegevens altijd grootschalig.
Voor andere zorgaanbieders dan de hierboven genoemde, geldt het criterium van 10.000 patiënten volgens de Autoriteit Persoonsgegevens niet. Deze organisaties moeten zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij al niet dan verplicht zijn een FG aan te stellen.
Zij moeten deze beoordeling doen aan de hand van de volgende vier factoren:
- het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
- de hoeveelheid persoonsgegevens die worden verwerkt
- de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
- de geografische reikwijdte van de verwerking.
Daarbij geldt wel dat de Autoriteit Persoonsgegevens heeft aangekondigd dat zij probeert op korte termijn ook voor andere zorgaanbieders de richtlijn voor grootschaligheid nader in te vullen.
Zoals ik in deel 1 van de reeks Privacy in de Zorg al schreef, is een zorgaanbieder als verantwoordelijke voor een “elektronisch uitwisselingssysteem” verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting vloeit (al) voort uit het “Besluit elektronische gegevensverwerking door zorgaanbieders”. Dit besluit geldt per 1 januari 2018 en niet pas vanaf 25 mei 2018.
Wilt u meer weten over de verplichting om een FG aan te stellen of wilt u een externe FG inhuren via De Clercq? Neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity