Toezicht op de naleving van de AVG
De Algemene Verordening Gegevensbescherming (AVG) is sinds mei 2018 van kracht. De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor het toezicht op naleving van de privacyregels. Sinds de introductie van de AVG krijgt de AP vragen vanuit de zorgsector. Deze vragen komen binnen, omdat de privacyregels voor de zorgaanbieders niet altijd even duidelijk zijn. Daarom verduidelijkt de Autoriteit Persoonsgegevens het begrip \’grootschalig\’ verwerken voor alle zorgaanbieders. Dit begrip is van belang bij het inhuren van een Functionaris voor de Gegevensbescherming (FG) in de gezondheidszorg.
Begrip \’grootschalig\’ verwerken voor alle zorgaanbieders verduidelijkt
De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de toezichthouder AP altijd als grootschalig. Het maakt dan niet uit wat de omvang van deze zorgverleners is.
Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem. Met deze uitleg hoopt de AP voor alle sectoren binnen de gezondheidszorg – de zorgsector – te verduidelijken wanneer er sprake is van grootschalige gegevensverwerking.
De AVG bevat diverse verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Daarom verduidelijkt de Autoriteit persoonsgegevens begrip \’grootschalig\’ voor alle zorgaanbieders.
Deze organisaties dienen om te beginnen beschikken over een verwerkingsregister. Dit wordt ook het register van gegevensverwerkingen genoemd. Daarnaast dienen deze organisaties een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Deze organisaties moeten in bepaalde gevallen ook een Data Protection Impact Assessment (DPIA) uitvoeren. Deze organisaties dienen op ieder moment kunnen aantonen de privacyregels na te leven. Voldoet een organisatie niet aan de privacyregels, dan kan de toezichthouder handhavend optreden. Het opleggen van een bestuurlijke boete behoort tot de mogelijkheden. Tot nu toe heeft de AP diverse boetes opgelegd, bijvoorbeeld aan het HagaZiekenhuis voor onvoldoende interne beveiliging van patiëntendossiers.
Definitie voor \’grootschalig\’ verwerken voor (vrijwel) hele zorgsector gelijk
Het verwerken van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen wordt door de AP altijd als grootschalig beschouwd. Daarbij maakt het aantallen van de patiënten niet uit. Voor alle overige zorgaanbieders hanteert de AP de volgen criteria voor \’grootschalig\’ verwerken van persoonsgegevens:
- De praktijk of instelling heeft meer dan 10.000 patiënten ingeschreven of als die gemiddeld meer dan 10.000 patiënten per jaar behandelt en
- de gegevens van deze patiënten in één informatiesysteem staan.
Nuancering ten aanzien van apothekers
De Autoriteit Persoonsgegevens plaatst tegelijk ook een nuancering ten aanzien van de positie van apothekers. De AP ziet verwerkingen van persoonsgegevens door apothekers als grootschalig, omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders bijzondere persoonsgegevens uitwisselen in het kader van de behandeling. Daarom raadt de AP de apotheken aan een FG te hebben.
Functionaris voor de Gegevensbescherming
Ook als een organisatie niet op grote schaal persoonsgegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen, zo stelt Autoriteit Persoonsgegevens. De toezichthouder schrijft hierover: \”Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen, Een FG kan worden \’gedeeld\’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt bunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.\”