020 530 0160

AP geeft uitleg over FG in de zorg

Gepubliceerd op 6 juni 2018 categorieën 

De Algemene verordening gegevensverwerking (AVG) verplicht organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben om een functionaris voor de gegevensbescherming (FG) aan te stellen.

Tot voor kort was onduidelijk wat precies moest worden verstaan grote schaal. De Europese toezichthouder, raadt aan om bij  de bepaling of verwerking op grote schaal plaatsvindt met name de volgende factoren mee te nemen:

·         het aantal betrokkenen – in specifieke cijfers of als percentage van de betreffende bevolking;

·         de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt;

·         de duur of permanentie van de gegevensverwerking;

·         de geografische reikwijdte van de verwerking.

Voorbeelden van verwerking op grote schaal zijn:

·         verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;

·         verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen (door deze bijv. te volgen via reiskaarten);

·         het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerker die in deze diensten gespecialiseerd is;

·         verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;

·         verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;

·         verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders.

Voorbeelden van verwerking die niet als verwerking op grote schaal gezien wordt:

·         verwerking van patiëntgegevens door een individuele arts;

·         verwerking van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.

De AP heeft de richtlijn voor grootschaligheid in de zorg nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

·         die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt

·         én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.

De AP plaatst hier nog wel een belangrijke kanttekening bij. Er zijn namelijk nog veel andere zorgaanbieders. Voor deze zorgaanbieders geldt volgens de AP het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van bovenstaande vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen.

Verder wijst de AP ook op het belang van een FG voor een organisatie die niet grootschalig gegevens verwerkt. Ook dan ´kan het nog steeds nuttig zijn om een FG aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook andere zorgaanbieders om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.´

Bron: www.autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen