Connect with OKKERSE on Linkedin

Een verplichting die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG) is dat bepaalde organisaties een FG dienen aan te stellen. Een FG heeft de belangrijke taak om erop toe te zien dat een organisatie voldoet aan de privacywetgeving.  De verplichting om een FG aan te stellen geldt voor overheidsinstanties, organisaties die zich in de kern van hun activiteiten bezighouden met het volgen van individuen en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Omdat met name dit laatste criterium ruimte laat voor interpretatie, bestaat er nog onduidelijkheid over de precieze invulling daarvan. De AP heeft recentelijk meer helderheid verschaft voor organisaties die zich bezig houden met medische zorg.

In de zorg worden er veel medische gegevens verwerkt. Omdat die gegevens aan te merken zijn als bijzondere persoonsgegevens, dient er een FG te worden aangesteld als die gegevens op grote schaal worden verwerkt. De AP heeft op 31 mei 2018 uitleg gegeven over de vraag wanneer sprake is van grootschaligheid in de zorg. Een verwerking door huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, is volgens deze richtlijn aan te merken als grootschalig als:

-    die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
-    én de gegevens van deze patiënten in één informatiesysteem staan.

Let op: de verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (een solistisch werkende zorgverlener uitgezonderd) wordt altijd gezien als een verwerking op grote schaal.

Voor andere dan de hiervoor genoemde zorgaanbieders geldt het criterium van 10.000 patiënten niet. De AP heeft bekend gemaakt ook voor de andere zorgaanbieders meer uitleg te zullen geven m.b.t. de vraag wanneer er sprake is van een verwerking op grote schaal. Tot dat moment dienen organisaties zelf te beoordelen of zij op grote schaal bijzondere persoonsgegevens verwerken aan de hand van vier factoren:

•    het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
•    de hoeveelheid persoonsgegevens die worden verwerkt
•    de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
•    de geografische reikwijdte van de verwerking.