AP verduidelijkt wanneer Functionaris Gegevensbescherming nodig is

woensdag 6 juni 2018
timer 3 min
De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking. Bij een grootschalige verwerking vereist de nieuwe privacywet dat een Functionaris Gegevensbescherming (FG) nodig is en moet in bepaalde gevallen een DPIA (data protection impact assessment) worden gedaan.

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

 

Verduidelijking AP

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

 

Grootschalige gegevensverwerking in de zorg

Er zijn uiteraard nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

 

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  • de hoeveelheid persoonsgegevens die worden verwerkt
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  • de geografische reikwijdte van de verwerking.

De AP probeert op korte termijn ook voor andere zorgaanbieders nadere duiding te geven.

 

Functionaris voor de gegevensbescherming

Als een organisatie niet grootschalig gegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

Bron: autoriteitpersoonsgegevens.nl

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
AP verduidelijkt wanneer Functionaris Gegevensbescherming nodig is

Meer artikelen met dit thema

Geschillencommissie Fysiotherapie goedgekeurd
flash_onNieuws

Geschillencommissie Fysiotherapie goedgekeurd

12 jan 2017 timer1 min
Het CIBG (ministerie van Volksgezondheid, Welzijn en Sport) heeft goedkeuring gegeven aan de Geschillencommissie…
Lees verder »
Datalekken: hoe zit het ook alweer?
flash_onNieuws

Datalekken: hoe zit het ook alweer?

23 dec 2016 timer2 min
Nu het nieuwe jaar is begonnen, is het goed om weer even de regels rondom datalekken op te helderen. Wat is een…
Lees verder »
De 10 meest gelezen artikelen van 2016 - mondzorg
flash_onNieuws

De 10 meest gelezen artikelen van 2016 - mondzorg

21 dec 2016 timer3 min
2016 was het jaar van de verdwijnende VAR, groeiende tandartsketens en tandartspraktijken die door de rechter op…
Lees verder »
De 10 meest gelezen artikelen van 2016 - eerstelijnszorg
flash_onNieuws

De 10 meest gelezen artikelen van 2016 - eerstelijnszorg

21 dec 2016 timer3 min
2016 was het jaar van de verdwijnende VAR, de nieuwe Wkkgz en praktijken die door de rechter op hun vingers werden…
Lees verder »
IGZ publiceert brochure calamiteiten melden
flash_onNieuws

IGZ publiceert brochure calamiteiten melden

21 dec 2016 timer2 min
Bij een incident in de praktijk moet u een melding doen bij de inspectie. Omdat er nog steeds veel vragen zijn…
Lees verder »
Model Klachtenregeling huisarts beschikbaar
flash_onNieuws

Model Klachtenregeling huisarts beschikbaar

21 dec 2016 timer1 min
De LHV, InEen en het NHG hebben een landelijk uniforme klachtenregeling opgesteld voor gebruik in elke…
Lees verder »
Proef: zorgverleners en patiënten wisselen gegevens uit via MedMij
flash_onNieuws

Proef: zorgverleners en patiënten wisselen gegevens uit via MedMij

20 dec 2016 timer2 min
MedMij heeft de eerste standaarden gepubliceerd waaraan persoonlijke gezondheidsomgevingen en ICT-systemen moeten…
Lees verder »
Wkkgz: 5 privacymaatregelen die iedere zorgondernemer moet nemen
flash_onNieuws

Wkkgz: 5 privacymaatregelen die iedere zorgondernemer moet nemen

19 dec 2016 timer5 min
De Wet kwaliteit, klachten en geschillen zorg (Wkkgz) is dit jaar in werking getreden en dat is aanpoten, vooral…
Lees verder »