Veel privacy-klachten zorg, AP verduidelijkt 'grootschalige gegevensverwerking'

do 13 december 2018 - 12:24
Iphone-Dokter-mobileIron
Privacy
Nieuws

Het afgelopen half jaar hebben bijna 10.000 mensen een privacy-klacht ingediend bij de Autoriteit Persoonsgegevens (AP). Het gaat vooral om schending van privacy-rechten - als meer gegevens worden uitgevraagd dan noodzakelijk - en over het ongewenst doorgeven van hun persoonsgegevens aan derden. Zakelijke dienstverleners, de IT-sector en de overheid komen er het slechtst vanaf, maar zij worden op de voet gevolgd door financiële en zorginstellingen. Ook heeft de AP verdere uitleg gegeven over het begrijp ‘grootschalig’ bij verwerking van gegevens door zorgaanbieders.

De meeste privacy-klachten (32%) gaan over schending van een privacy-recht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag, heeft de AP via de website de voorlichting hierover uitgebreid.

Soorten privacy-klachten

Mensen klagen ook vaak (15%) wanneer meer gegevens worden uitgevraagd dan noodzakelijk, bijvoorbeeld het BSN bij het aanmaken van een account bij een brillenwinkel of bij aanmelding bij een rijschool. Daarnaast gaan veel klachten (12%) over organisaties die persoonsgegevens doorgeven aan derden terwijl mensen dit niet weten of willen. Zakelijke dienstverleners (41%), de IT-sector (12%) en de overheid (10%) zijn de sectoren waarover de AP de meeste klachten ontvangt. Daarna volgen financiële instellingen (9%) en zorginstellingen (9%). Bij zakelijke dienstverleners, zoals detailhandel en nutsbedrijven, en de IT-sector gaan de klachten vooral over privacy-rechten van mensen, zoals het recht op inzage en het recht op verwijdering. Bij gemeenten en ZBO’s, zoals de SVB en het UWV, komt de manier van gegevensverwerking het meest aan de orde.

Voorlichting, geen vervolging

De AP heeft zich in dit eerste half jaar primair gericht op het beëindigen van mogelijke overtredingen door voorlichting aan organisaties en het sturen op herstelmaatregelen. In meer dan een derde van de gevallen heeft de AP opgetreden tegen een overtreding door een brief te versturen met normuitleg, te bemiddelen of een normoverdragend gesprek te voeren. Er zijn inmiddels 11 onderzoeken gestart, gebaseerd op een veelvoud aan klachten. In veel andere gevallen (33%) hebben medewerkers van de AP mensen op weg geholpen om zelf een klacht in te dienen bij de organisatie waarover de klacht gaat. De AP gaat er vanuit dat mensen eerst zelf contact opnemen met de organisatie over hun klacht. Veel mensen hebben dit nog niet gedaan op het moment dat zij zich bij de AP melden. Prrivacy-rechten waren al onder meer het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt).

Grootschalige verwerking

Eerder deze week heeft de Autoriteit ook verduidelijking gegeven over wat onder grootschalige verwerking van persoonsgegevens valt. Hierover was na het ingaan van de AVG ondanks eerdere uitleg veel onduidelijkheid over, zo lieten brancheorganisaties zoals KNMG (artsen) en KNMP (apothekers) weten. De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig. Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem. Met deze uitleg stelt de AP nu voor alle sectoren binnen de zorg verduidelijkt te hebben wanneer er sprake is van grootschalige gegevensverwerking. Eerder gaf de AP uitleg voor een deel van de zorgsector.

Medische gegevens altijd bijzonder

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties zijn onder meer verplicht een functionaris voor de gegevensbescherming aan te stellen en moeten in bepaalde gevallen een DPIA (data protection impact assessment) uitvoeren. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens, omdat zij medische gegevens verwerken. De verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen is volgens de AP dus altijd grootschalig, ongeacht het aantal patiënten. De AP maakte dat al eerder bekend. Voor alle overige zorgaanbieders beschouwt de AP een verwerking als grootschalig als:
  • Die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  • En de gegevens van deze patiënten in één informatiesysteem staan.

Nuancering bij apothekers

Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig, omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Het zou volgens de toezichthouder dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als andere zorgaanbieders – niet als grootschalig. De AP nuanceert hiermee haar eerdere standpunt over apothekers na afstemming met de KNMP, de brancheorganisatie voor apothekers. Als een organisatie niet grootschalig persoonsgegevens verwerkt, kan het nog steeds nuttig zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.   Openingsmanifestatie van de e-healthweek 2019 Meer weten over hoe, waarmee en met wie de zorg haar toekomst implementeert? Bezoek dan op 21 januari 2019 de jaarlijkse ICT&health Openingsmanifestatie van de e-healthweek. Entreekaarten zijn gratis, dus wacht niet en meld u snel aan want op is op!