KNMP: eigen Functionaris Gegevensbescherming niet altijd nodig

di 29 mei 2018 - 11:05
KNMP_FG
Management
Nieuws

Een apotheek hoeft niet per sé een eigen Functionaris Gegevensbescherming (FG) aan te stellen. Dat blijkt uit nader juridisch advies dat is uitgevoerd in opdracht van de KNMP en uit contact met de Autoriteit Persoonsgegevens (AP). De apothekersbrancheorganisatie wil zo meer duidelijkheid scheppen over de noodzaak een FB aan te stellen. De nieuwe privacywet AVG biedt deze duidelijkheid namelijk niet. Eerder al stelde huisartsenvereniging LHV dat een FB in veel gevallen voor een huisarts niet nodig is.

Volgens de AVG is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht als op grote schaal bijzondere persoonsgegevens worden verwerkt. De wet is echter onduidelijk over wat onder ‘grootschalig’ wordt verstaan. Dat heeft geleid tot veel vragen onder apothekers. De Tweede Kamer heeft in maart 2018 een motie aangenomen waarin wordt gevraagd om verduidelijking van het begrip ‘grootschalige verwerking’. Uitleg van dit begrip moet in de hele EU gelijk zijn, daarom zal de AP met andere toezichthouders in Europa overeenstemming moeten bereiken. Dit gaat waarschijnlijk nog enige tijd duren.

Vier factoren bepalen noodzaak FG

Op basis van het ingewonnen juridisch advies en contact met verantwoordelijk toezichthouder Autoriteit Persoonsgegevens heeft de KNMP vier factoren samengesteld die de noodzaak van een FG bepalen.  Met deze factoren kan elke apotheker volgens de KNMP inschatten of er sprake is van de noodzaak tot het aanstellen van een FG. Een apotheek hoeft overigens niet zijn eigen FG in de apotheek te hebben. Hij/zij kan ook kiezen om met andere organisaties een FG aan te stellen: door de gezamenlijke inzet van apotheken, vanuit een bestaande samenwerkingsrelatie met andere zorgaanbieders uit de eerste lijn of door het aansluiten bij grotere zorgondernemingen.

Apotheken vallen niet onder uitzondering

In overweging 91 AVG staat dat de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts of door een advocaat (‘eenpitters’) niet kan worden beschouwd als een grootschalige verwerking. Bij een apotheek is geen sprake van een individuele apotheker en daarmee valt de apotheek niet onder deze uitzondering van overweging 91 AVG. Uit recente cijfers van de Stichting Farmaceutische Kengetallen (SFK) blijkt dat de gemiddelde apotheek 5,6 fte in dienst heeft. Dit betekent echter niet meteen dat er sprake is van een grootschalige verwerking van bijzondere persoonsgegevens. Om te beoordelen of het aanstellen van een Functionaris Gegevensbescherming (FG) noodzakelijk is, wordt gekeken of de apotheek verantwoordelijk is voor de verwerking van bijzondere categorieën van gegevens. Medische gegevens vallen onder deze categorieën, voor het verwerken van deze gegevens gelden striktere eisen. Het verwerken van deze gegevens heeft meer risico’s voor de patiënt en vraagt dus om een extra zorgvuldige behandeling door de apotheker. 

Impact op schaal van 1-5

Bij de vier factoren wordt telkens aangegeven hoe groot de impact is op basis van een schaal van 1-5:
  • Aantal patiënten: een gemiddelde apotheek verwerkt de persoonsgegevens van bijna 8.000 patiënten. Dit is ongeveer 0,05% van de Nederlandse bevolking. Op regioniveau is dit percentage iets hoger. Er valt nog niet te voorspellen hoe de AP en/of de rechter de omvang gaat wegen. Als het aantal patiënten wordt afgezet tegen een grotere populatie, zoals inwoners in de regio, dan is het te verdedigen dat er geen sprake is van grootschalige verwerking in een gemiddelde apotheek. Impact: 2 van 5
  • Hoeveelheid gegevens: een apotheek verwerkt onder meer van patiënten de naam, het adres, het burgerservicenummer, verzekeringsgegevens en medische gegevens van de patiënt. Met deze gegevens kan snel een totaalbeeld van de gezondheidstoestand van een patiënt worden gegeven. Daarom kwalificeert de AP en/of een rechter de persoonsgegevens die een gemiddelde apotheek verwerkt waarschijnlijk als veel. Impact: 3 van 5
  • Duur of permanentie van verwerking: de persoonsgegevens van patiënten moeten op grond van de wet gedurende 15 jaar worden bewaard. Dit is een lange periode, waardoor het aannemelijk is dat de AP en/of een rechter de verwerking op basis van dit onderdeel als grootschalig zal kwalificeren. Impact: 4 van 5.
  • Geografische reikwijdte van verwerking: medicatiegegevens kunnen landelijk worden gedeeld, maar in de praktijk is de geografische reikwijdte vaak beperkt tot regioniveau. Op grond daarvan is het zeer verdedigbaar dat de gegevensverwerking geografisch beperkt is. Om die reden zal de AP en/of een rechter de verwerking op basis van dit onderdeel niet als grootschalig kwalificeren. Impact: 1 van 5
  Op basis van deze factoren kan een inschatting gemaakt worden of het aanstellen van een FG noodzakelijk is. Als de apotheek van mening is dat een FG niet noodzakelijk is, moet de apotheker dit goed uit kunnen leggen. De AP hecht groot belang aan aantoonbare inspanningen. De KNMP beveelt dan wel aan om iemand binnen de organisatie verantwoordelijk te maken voor privacy. Het profiel van deze rol kan dan erg lijken op die van de verplichte FG, maar de apotheker heeft dan meer flexibiliteit in de daadwerkelijke invulling van de rol. Een FG biedt ook voordelen: hij/zij kan een apotheek van advies voorzien, helpen met de implementatie van privacybeleid en een aanspreekpunt voor patiënten zijn.

Praktische instrumenten

De KNMP kwam afgelopen week naar buiten met wat praktische instrumenten in het kader van de AVG. Het gaat hier om zaken waaraan wellicht niet meteen gedacht wordt, maar die wel van belang zijn onder de AVG: om toestemming vragen bij het versturen van nieuwsbrieven, de bewaartermijn van gegevens en de bewustwording bij het apotheekteam. Bij de meeste huisartsenpraktijken vindt geen grootschalige gegevensverwerking plaats, zo stelde huisartsenorganisatie LHV eerder in mei. Het aanstellen van een FG in het kader van de privacy-regulering AVG is volgens de LHV dan ook in veel gevallen niet nodig. Volgens de brancheorganisatie voor huisartsen kan de verantwoordelijke toezichthouder geen uitsluitsel geven, alleen de indicatie dat een huisartsenpraktijk geen verplichting heeft een FG in te stellen. Meer weten over de AVG, zinnige zorginnovaties én de implementatie?  Honderden zorgprofessionals krijgen tijdens de ICT&health World Conference op 22 juni inzichten, antwoorden, handvatten en de beste voorbeelden.  Wilt u ook aanwezig zijn? reserveer dan hier uw (voor de zorg gratis) toegangsticket! Want ook dit keer geldt, op is echt op.