De Autoriteit Persoonsgegevens (AP) verduidelijkt voor zorgaanbieders wanneer er sprake is van grootschalige gegevensverwerking. Daarmee komt de toezichthouder tegemoet aan onzekerheid bij partijen in de zorg over in welke gevallen er sprake is van grootschalige verwerking, wat verplicht tot aanstellen van een Functionaris Gegevensbescherming.
Onder meer brancheorganisaties KNMP (apothekers) en LHV (huisartsen) hebben hier zelf juridisch onderzoek naar laten verrichten om hun achterban meer duidelijkheid te geven. Volgens dit onderzoek zou er in veel gevallen geen sprake zijn van grootschalige gegevensverwerking bij huisartsen en in mindere mate bij apothekers. Zekerheid was er echter niet te geven.AP belooft meer duiding
Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg (maar niet ziekenhuizen), beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten, zo stelt de toezichthouder nu. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig. De AP probeert op korte termijn ook voor andere zorgaanbieders nadere duiding te geven. In de nieuwe privacywet AVG wordt aangegeven dat organisaties die aan grootschalige verwerking van persoonsgegevens doen, verplicht zijn tot het aanstellen van een Functionaris Gegevensbescherming (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming. Ook moet er in sommige gevallen een DPIA (data protection impact assessment) uitgevoerd worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.Zorg meestal grootschalige verwerker
De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:- Die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
- én de gegevens van deze patiënten in één informatiesysteem staan.
- De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.
Zelf beoordelen
Er zijn nog veel andere zorgaanbieders, stelt de AP. Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.- Het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt).
- De hoeveelheid persoonsgegevens die worden verwerkt.
- De duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar).
- De geografische reikwijdte van de verwerking..