AP geeft (nadere) uitleg over grootschalige gegevensverwerking voor alle zorgaanbieders

Zoals ook in deel 4 van Privacy in de zorg werd besproken, heeft de Autoriteit Persoonsgegevens (AP) in mei 2018 al uitleg gegeven over het begrip ‘grootschalig’ voor een deel van de zorgsector. Zo verduidelijkte de AP dat voor ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) de verwerking van bijzondere gegevens altijd grootschalig is. De verwerking van persoonsgegevens door huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, was volgens de AP enkel grootschalig in het geval het gaat om meer dan 10.000 patiënten én de gegevens van deze patiënten in één informatiesysteem staan. Op overige zorgaanbieders achtte de AP het criterium van minimaal 10.000 patiënten niet van toepassing. Deze organisaties moesten zelf (aan de hand van 4 factoren) beoordelen of de gegevensverwerking grootschalig is en beargumenteren of zij al niet dan verplicht zijn een FG aan te stellen en een DPIA uit te voeren.

De AP heeft nu ook verduidelijking willen bieden voor deze laatste groep overige zorgaanbieders en is met een nadere (eenduidigere) uitleg van het begrip ‘grootschalig’ gekomen.

• Ziekenhuizen, huisartsenposten en zorggroepen

Ten aanzien van ziekenhuizen, huisartsenposten en zorggroepen geldt nog steeds dat de verwerking van bijzondere persoonsgegevens volgens de AP altijd grootschalig is, ongeacht het aantal patiënten.

• Alle overige zorgaanbieders

Voor alle overige zorgaanbieders geldt nu – anders dan het eerdere standpunt – het criterium van minimaal 10.000 patiënten. De AP acht een verwerking grootschalig als de zorgaanbieder meer dan 10.000 patiënten heeft ingeschreven óf als er gemiddeld meer dan 10.000 patiënten per jaar worden behandeld én de gegevens van deze patiënten in één informatiesysteem staan.

• Apotheken

Wat betreft apotheken meldt de AP nog expliciet dat verwerking van persoonsgegevens door apothekers al gauw als grootschalig wordt gezien omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Daarom zou het volgens de AP goed zijn als apotheken een FG hebben. Anders dan de eerdere uitleg waarin verwerking van bijzondere gegevens door apotheken altijd grootschalig werd geacht, ziet de AP het nu – net als bij andere zorgaanbieders – niet als grootschalig als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven.

Duidelijk is nu dus dat iedere zorgaanbieder een FG dient te hebben indien er meer dan 10.000 patiënten ingeschreven staan of per jaar worden behandeld. Bij een kleinere omvang is er weliswaar volgens de AP geen sprake van grootschalige verwerking van persoonsgegevens, maar adviseert zij wel vrijwillig een FG aan te stellen.

Dit laat overigens onverlet dat een zorgaanbieder die verantwoordelijke is voor een “elektronisch uitwisselingssysteem” verplicht is een FG aan te stellen. Deze verplichting vloeit (al) voort uit het “Besluit elektronische gegevensverwerking door zorgaanbieders”. Dit besluit geldt per 1 januari 2018.

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity