10 apr 2019

FG-verplichting in de zorg

Waar het aanstellen van een Functionaris Gegevensbescherming (FG) in de Wet bescherming persoonsgegevens (Wbp) facultatief was, is dit volgens de Algemene Verordening Gegevensbescherming (AVG) vanaf mei 2018 in een aantal gevallen verplicht. Deze gevallen zijn in de AVG algemeen omschreven. Op basis daarvan hebben veel zorginstellingen een FG ingesteld. De Autoriteit Persoonsgegevens (AP) geeft stap voor stap meer helderheid over hoe deze verplichting moet worden geïnterpreteerd. Mogelijk blijkt het aanstellen van een FG in een aantal gevallen toch niet verplicht te zijn. We lichten hier de uitgangspunten, de ontwikkeling en de voor- en nadelen toe.

Startpunt

De AVG stelt het aanstellen van een FG in drie situaties verplicht, namelijk:
1.    voor overheidsorganisaties;
2.    bij grootschalige, regelmatige en stelselmatige observatie van personen;
3.    bij grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens.

Bij het tweede en derde criterium is het daarbij de vraag wat ‘grootschalig’ is. In de opinie WP243 van de Europese toezichthouders wordt aangegeven dat bij de interpretatie van het begrip ‘grootschalig’ rekening moet worden gehouden met de volgende factoren:
●    het aantal betrokkenen;
●    de hoeveelheid gegevens;
●    de duur en permanentie; 
●    de geografische omvang.

Daarin wordt wat betreft de zorg ook vermeld dat de verwerking van patiëntgegevens in een ziekenhuis als grootschalig moet worden gezien en dat de verwerking van patiëntgegevens door een individuele arts niet grootschalig is.

Wetende dat er grote en kleine ziekenhuizen/klinieken zijn en dat de meeste zorginstellingen meer gegevens van cliënten verwerken dan een individuele arts, ligt de conclusie voor de hand dat een zorginstelling van enige omvang een FG moet aanstellen. De hoeveelheid gegevens en de duur waarmee gegevens worden verwerkt zal groter zijn bij een ziekenhuis dan bij een individuele arts. Veel zorginstellingen, bijvoorbeeld in de ouderen-, jeugd-, of gehandicaptenzorg, verwerken namelijk ook gegevens over het dagelijkse reilen en zeilen, over voeding en over heel persoonlijke en eventuele intieme problemen en gebeurtenissen van een cliënt.

Nadere uitleg door de AP

In mei 2018 heeft de AP een eerste uitleg over de interpretatie van het begrip ‘grootschalig’ in de zorg gegeven. Daarin staat dat een verwerking grootschalig is:
●    voor een huisartsenpraktijk of een instelling voor medisch specialistische zorg met meer dan 10.000 ingeschreven of per jaar behandelde patiënten die in één informatiesysteem staan;
●    voor ziekenhuizen, apotheken en zorggroepen.

Voor andere zorgorganisaties heeft de AP in december 2018 een nadere uitleg gepubliceerd. 
Daarin staat dat verwerking door ziekenhuizen, huisartsenposten en zorggroepen altijd grootschalig is. Bij navraag geeft de AP aan dat ‘een zorggroep een samenwerkingsverband is van verschillende zorgverleners, vaak gericht op ketenzorg en onder regie van een huisarts’. 
In de uitleg staat verder dat voor alle overige zorgorganisaties de grens van 10.000 patiënten in één informatiesysteem geldt, dus ook voor apothekers. Daarnaast adviseert de AP ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen.

Wat betekent dit in het algemeen?

De uitleg van de AP lijkt helder, maar roept ook vragen op:
●    De AP suggereert dat er geen verschil is tussen de huisartsenpraktijk in de uitleg in mei 2018 en de huisartsenpost in de uitleg in januari 2019, terwijl dit toch echt andere organisaties zijn.
●    Hoe vrijblijvend is het advies van de AP om een FG aan te stellen als de verwerking niet grootschalig is?

Afgezien daarvan is het goed om op een rijtje te zetten wat de voor- en nadelen van het aanstellen van een FG zijn. Het aanstellen van een FG heeft een aantal voordelen:
●    Het biedt een helder aanspreekpunt voor cliënten.
●    Het laat zien dat privacy serieus genomen wordt en geeft een professionele uitstraling.
●    De FG ontvangt informatie van de AP en kan een beroep doen op de FG-helpdesk van de AP.
●    De onafhankelijke rapportage houdt de organisatie (en de bestuurder) scherp.

Mogelijke nadelen zijn:
●    De rol van FG is niet altijd te combineren met andere activiteiten, omdat de FG onafhankelijk moet zijn.
●    De FG mag geen instructies aannemen van de leidinggevende. omdat de FG onafhankelijk moet zijn.

Daarbij is het van belang te beseffen dat het wel of niet hebben van een FG geen invloed heeft op de inspanningen die de organisatie moet doen om te voldoen aan de AVG. Ook al is er geen FG aangesteld, de organisatie moet zich houden aan de AVG en moet toezicht houden op de verwerking van persoonsgegevens. Extra kosten voor de FG zouden dus geen argument mogen zijn om geen FG aan te stellen.

Meer informatie & contact

Wilt u meer informatie of vrijblijvend een afspraak maken? Neem dan contact op met senior adviseur Julius Duijts via telefoonnummer 06 - 29 52 55 31 of per e-mail julius.duijts@bmc.nl.

INFORMATIE & GEGEVENSMANAGEMENT NIEUWS

Contact

Wat zijn uw gegevens?
Waar zal het gesprek over gaan?