Nadere duiding AVG door AP roept nieuwe vragen op

18 juni 2018
Verwerking-prsoongegevens-Laptop-notities
Overheid
Nieuws
Onder meer brancheorganisaties KNMP (apothekers) en LHV (huisartsen) hadden zelf juridisch onderzoek laten verrichten om hun achterban meer duidelijkheid te geven over het begrip grootschalige verwerking. Als hier sprake van is, dan is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht. Volgens de beide onderzoeken zou er in veel gevallen geen sprake zijn van grootschalige gegevensverwerking bij huisartsen en in mindere mate bij apothekers. Zekerheid was er echter niet te geven.

Op korte termijn meer duiding

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg (maar niet ziekenhuizen), beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten, liet toezichthouder AP daarom begin juni weten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig. De AP gaf destijds aan dat het op korte termijn ook voor andere zorgaanbieders nadere duiding probeert te geven. Bij een grootschalige verwerking vereist de AVG dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan. De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming. Ook moet er in sommige gevallen een DPIA (data protection impact assessment) uitgevoerd worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Wanneer grootschalige gegevensverwerker

De AP schrijft op haar website dat een huisartsenpraktijk wordt gezien als grootschalige gegevensverwerker als:
  • Die praktijk meer dan 10.000 patiënten heeft ingeschreven;
  • De gegevens van deze patiënten in één informatiesysteem (HIS) staan.
Die laatste toevoeging is volgens de LHV belangrijk. Het gaat dus om 10.000 op naam van één praktijk(houder) ingeschreven patiënten die in één HIS staan. Voorbeeld: een HOED (apart werkende huisartsen onder één dak) met één HIS, met in totaal meer dan 10.000 patiënten, is dus niet verplicht een FG aan te stellen als de patiënten op naam van de verschillende praktijkhouders (verwerkingsverantwoordelijken) staan ingeschreven en iedere praktijkhouder daardoor minder dan 10.000 patiënten heeft. Toch ziet de LHV nog onduidelijkheden. De AP is namelijk van mening dat apotheken ook gezien moeten worden als grootschalige gegevensverwerkers. De LHV heeft de AP gevraagd om duidelijkheid te geven over apotheekhoudend huisartsen. de brancheorganisatie wil weten of deze groep huisartsen onder de norm valt voor huisartsenpraktijken of voor apothekers. Daarop is nog geen antwoord gekomen.

KNMP: toch weer vragen

De KNMP liet begin juni al weten dat het in gesprek was gegaan met de AP over de uitleg die de toezichthouder geeft aan het begrip ‘grootschalige verwerking’ (altijd bij apothekers, tenzij het solistisch werkende zorgverleners zijn). De uitleg van de AP roept volgens de brancheorganisatie toch weer vragen op. De KNMP is daarom in gesprek met de AP voor meer duidelijkheid en een onderbouwing van de boven genoemde onderverdeling. Meer weten over de AVG, overige zorginnovaties én de implementatie daarvan? Honderden zorgprofessionals krijgen tijdens de ICT&health World Conference op 22 juni inzichten, antwoorden, handvatten en de beste voorbeelden. Wilt u ook aanwezig zijn? Reserveer dan hier uw (voor de zorg gratis) toegangsticket! Want ook dit keer geldt, op is echt op.
Overheid Standaarden Databeschikbaarheid Security Privacy