AP verduidelijkt begrip grootschalige verwerking kleinere zorgaanbieders

vr 1 juni 2018 - 12:51
Doktor-tafel-laptop-tablet-data.2
Wetgeving
Nieuws

De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking. Daarmee komt de toezichthouder tegemoet aan onzekerheid bij partijen in de zorg over in welke gevallen er sprake is van grootschalige verwerking, wat verplicht tot aanstellen van een Functionaris Gegevensbescherming.

Onder meer brancheorganisaties KNMP (apothekers) en LHV (huisartsen) hebben hier zelf juridisch onderzoek naar laten verrichten om hun achterban meer duidelijkheid te geven. Volgens dit onderzoek zou er in veel gevallen geen sprake zijn van grootschalige gegevensverwerking bij huisartsen en in mindere mate bij apothekers. Zekerheid was er echter niet te geven.

AP belooft meer duiding

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg (maar niet ziekenhuizen), beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten, zo stelt de toezichthouder nu. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig. De AP probeert op korte termijn ook voor andere zorgaanbieders nadere duiding te geven. In de nieuwe privacywet AVG wordt aangegeven dat organisaties die aan grootschalige verwerking van persoonsgegevens doen, verplicht zijn tot het aanstellen van een Functionaris Gegevensbescherming (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming. Ook moet er in sommige gevallen een DPIA (data protection impact assessment) uitgevoerd worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Zorg meestal grootschalige verwerker

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:
  • Die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  • én de gegevens van deze patiënten in één informatiesysteem staan.
  • De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

Zelf beoordelen

Er zijn nog veel andere zorgaanbieders, stelt de AP. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.
  • Het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt).
  • De hoeveelheid persoonsgegevens die worden verwerkt.
  • De duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar).
  • De geografische reikwijdte van de verwerking..

Voordelen FG

Als een organisatie niet grootschalig gegevens verwerkt, kan het volgens de AP nog steeds nuttig zijn om een FG aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG. Wilt u meer weten over en vanuit de AP, zinnige zorginnovaties én de implementatie?  Honderden zorgprofessionals krijgen tijdens de ICT&health World Conference op 22 juni inzichten, antwoorden, handvatten en de beste voorbeelden.  Wilt u ook aanwezig zijn? reserveer dan hier uw (voor de zorg gratis) toegangsticket! Want ook dit keer geldt, op is echt op.