Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Vanaf dat moment moeten bedrijven aan strengere privacyregels voldoen, waaronder ziekenhuizen en zorgverzekeraars. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze privacyregels. Zo kan de AP uit eigen beweging onderzoeken of er sprake is van mogelijke overtredingen van de AVG. Indien de AP een overtreding constateert, dan kan de AP handhavend optreden. De AP kan de organisatie bijvoorbeeld waarschuwen, maar ook een boete of een last onder dwangsom opleggen.
Aanstellen FG
Inmiddels heeft de AP bij 91 ziekenhuizen en 33 zorgverzekeraars onderzocht of zij verschillende verplichtingen uit de AVG naleven. De AP heeft onder andere onderzocht of de ziekenhuizen en zorgverzekeraars een functionaris gegevensbescherming (FG) hebben aangesteld die binnen de organisatie toezicht houdt op de naleving van de AVG. Uit het onderzoek kwam naar voren dat 2 ziekenhuizen op 16 augustus 2018 nog geen FG hadden aangesteld. De AP heeft deze ziekenhuizen vier weken de tijd gegeven om alsnog een FG aan te stellen. Doen de ziekenhuizen dat niet, dan kan een sanctie volgen.
De AVG vereist onder andere bij een grootschalige verwerking van bijzondere persoonsgegevens, waaronder medische gegevens, dat een FG verplicht is. In welke situaties hiervan sprake is, leest u in onze eerdere alert ‘Wanneer is een FG in de zorg verplicht?’. Indien u verplicht bent een FG aan te stellen, dan dient u de FG vervolgens aan te melden bij de AP. Dat kan via het ‘Aanmeldingsformulier functionaris voor de gegevensbescherming (FG)’.
Communiceren contactgegevens FG
Naast het aanstellen en het vervolgens aanmelden van de FG bij de AP, moet het voor iedereen mogelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit. De AP heeft geconstateerd dat bij 17 ziekenhuizen en 2 zorgverzekeraars geen contactgegevens van de FG op de website staan vermeld. Van de organisaties die wel de contactgegevens van de FG op de website hebben vermeld, constateerde de AP dat bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer stond vermeld. De AP heeft de organisaties verzocht om dit aan te passen.
Het is op grond van de AVG verplicht een direct telefoonnummer of een e-mailadres op de website van de organisatie te vermelden waarmee de FG te bereiken is. Wanneer een persoon meer informatie wil krijgen over bijvoorbeeld de persoonsgegevens die van hem worden verzameld, dan kan diegene de FG rechtstreeks bereiken. Het is overigens niet verplicht om ook de naam van de FG op de website te vermelden. Vaak worden de contactgegevens van de FG vermeld in de privacyverklaring. In de privacyverklaring wordt onder andere uitgelegd welke persoonsgegevens van welke personen worden gebruikt en voor welk doel deze gegevens worden gebruikt.
Vragen
Heeft u vragen over het aanstellen van een FG, het opstellen van een privacyverklaring of andere AVG verplichtingen, neemt u dan contact op met de experts van de Marktgroep Zorg van Nysingh, die u hierover kunnen adviseren.
Brenda Leferink is mede-auteur van dit blog. Brenda was bij Nysingh werkzaam van 2016 tot 2019.