Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Meer duidelijkheid over verplichting aanstellen FG in de zorg (Privacy in de zorg deel 4)

Natascha van Duuren

8 juni 2018 - 2 minuten leestijd

In deel 1 deel van de reeks ‘Privacy in de zorg’ is reeds ingegaan op het feit dat organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben, verplicht een functionaris voor de gegevensbescherming moeten aanstellen. De Autoriteit Persoonsgegevens heeft recent meer helderheid verschaft over deze verplichting.

Medische gegeven zijn “bijzondere persoonsgegevens” en bovendien is het verwerken van medische gegevens een kerntaak van zorginstellingen. De betekenis van “op grote schaal” zorgde bij zorgaanbieders echter voor onduidelijkheid. De enige houvast die zorgaanbieders tot nu toe hadden waren de voorbeelden die door de artikel 29 werkgroep waren genoemd. Voor wat betreft het “op grote schaal verwerken van gegevens” door instellingen, noemde de artikel 29 werkgroep als voorbeeld een ziekenhuis. Als voorbeeld van niet-grootschalige gegevensverwerking noemde de werkgroep gegevensverwerking door een individuele arts. Met deze voorbeelden moesten zorgaanbieders het doen.

De Autoriteit heeft de richtlijn voor grootschaligheid in de zorg nu nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is volgens de Autoriteit Persoonsgegevens altijd grootschalig.

Voor andere zorgaanbieders dan de hierboven genoemde, geldt het criterium van 10.000 patiënten volgens de Autoriteit Persoonsgegevens niet. Deze organisaties moeten zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij al niet dan verplicht zijn een FG aan te stellen.

Zij moeten deze beoordeling doen aan de hand van de volgende vier factoren:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

Daarbij geldt wel dat de Autoriteit Persoonsgegevens heeft aangekondigd dat zij probeert op korte termijn ook voor andere zorgaanbieders de richtlijn voor grootschaligheid nader in te vullen.

Zoals ik in deel 1 van de reeks Privacy in de Zorg al schreef, is een zorgaanbieder als verantwoordelijke voor een “elektronisch uitwisselingssysteem” verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting vloeit (al)  voort uit  het “Besluit elektronische gegevensverwerking door zorgaanbieders”. Dit besluit geldt per 1 januari 2018 en niet pas vanaf 25 mei 2018.

Wilt u meer weten over de verplichting om een FG aan te stellen of wilt u een externe FG inhuren via De Clercq? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 071-5815356.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?