Een zaak beperkt zich niet altijd tot één rechtsgebied. Wij dus ook niet.

Alert: Autoriteit Persoonsgegevens legt ‘grootschalige’ gegevensverwerking uit

vrijdag 14 december 2018

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat bij een grootschalige verwerking van bijzondere persoonsgegevens zorgaanbieders verplicht zijn een Functionaris Gegevensbescherming (FG) aan te stellen. Een FG kan overigens ook worden gedeeld met een andere zorgaanbieder of extern worden ingehuurd. Meer informatie over het aanstellen van een FG, het aanmelden van een FG en het communiceren van de contactgegevens van de FG leest u in onze eerdere alert.

In de zorg worden vrijwel altijd medische gegevens verwerkt, waardoor er sprake is van het verwerken van bijzondere persoonsgegevens. De AVG laat echter in het midden wat een verwerking ‘op grote schaal’ inhoudt. Op 31 mei 2018 heeft de Autoriteit Persoonsgegevens (AP) al voor een deel van de sectoren binnen de zorg verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Inmiddels heeft de AP dit voor alle sectoren binnen de zorg verduidelijkt.

Ziekenhuizen, huisartsenposten en zorggroepen

De verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen is volgens de AP altijd grootschalig, ongeacht het aantal patiënten dat zich heeft ingeschreven of dat per jaar wordt behandeld.

Overige zorgaanbieders

Voor alle overige zorgaanbieders is pas sprake van een grootschalige gegevensverwerking wanneer aan twee vereisten is voldaan. De overige zorgaanbieders kunnen onder andere huisartsenpraktijken, zelfstandige behandelcentra, verpleeghuizen en apothekers zijn. Voor deze zorgaanbieders beschouwt de AP een verwerking als grootschalig indien:

  • de praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

Nuancering verwerking persoonsgegevens door apothekers

In eerste instantie vielen de apothekers ook onder de categorie zorgaanbieders waarbij de gegevensverwerking altijd als grootschalig wordt aangemerkt. Inmiddels heeft de AP dit standpunt na overleg met de KNMP genuanceerd, door de apothekers onder de categorie ‘overige zorgaanbieders’ te scharen. In tegenstelling tot het standpunt van de AP van 31 mei 2018, is een FG voor een apotheek slechts verplicht wanneer meer dan 10.000 patiënten bij een apotheek staan ingeschreven óf als gemiddeld aan meer dan 10.000 patiënten farmaceutische zorg wordt verleend én de gegevens in één apotheekinformatiesysteem staan ingeschreven. Verwerking van persoonsgegevens door apothekers ziet de AP al snel als grootschalig omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen. Wanneer er echter geen 10.000 patiënten in het informatiesysteem van de apotheek staan, dan ziet de AP dit niet als een grootschalige verwerking van bijzondere gegevens. De apotheek is in dat geval niet verplicht een FG aan te stellen.

Vragen

Heeft u vragen over het aanstellen van een FG of andere AVG-verplichtingen, neemt u dan contact op met de experts van de Marktgroep Zorg van Nysingh, die u hierover kunnen adviseren.

Simone de Brouwer, E: simone.debrouwer@nysingh.nl | T: 038 425 92 68 | M: 06 53 25 80 86 of Brenda Leferink, E: brenda.leferink@nysingh.nl| T: 038 425 92 64 | M: 06 47 32 45 08.

Actueel