Over dit artikel

De Autoriteit Persoonsgegevens (AP) stelt een functionaris gegevensbescherming (FG) verplicht bij verwerking van persoonsgegevens op grote schaal. Tot voor kort was er echter veel onduidelijkheid over wat de AP precies bedoelde met de vereiste ‘op grote schaal’. Onlangs heeft de AP hierover meer duidelijkheid verschaft.

Wanneer de verantwoordelijke of de verwerker hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere categorieën van gegevens of persoonsgegevens over strafrechtelijke veroordeling en strafbare feiten, is aanwijzing van een FG verplicht. In de zorg hebben vrijwel alle organisaties het verwerken van bijzondere persoonsgegevens als kerntaak, aangezien zij medische gegevens verwerken. Om deze reden zullen nagenoeg alle zorgorganisaties een FG aanstellen. De AP verduidelijkt de richtlijn rondom verwerking ‘op grote schaal’.

Huisartsen, ziekenhuizen, apotheken, zorggroepen en instellingen voor medisch specialistische zorg

Bij huisartsenpraktijken en instellingen voor medisch specialistische zorg, die geen ziekenhuizen zijn, is verwerking op grote schaal van toepassing wanneer zij meer dan 10.000 ingeschreven patiënten hebben óf meer dan 10.000 patiënten per jaar behandelen. Wanneer er persoonsgegevens verwerkt worden van ziekenhuizen, apotheken, huisartsenposten en zorggroepen, is er altijd sprake van verwerking op grote schaal, tenzij er sprake is van een solistisch werkende zorgverlener.

Overige zorgaanbieders

Valt een zorgaanbieder niet in één van de eerder genoemde categorieën, dan moet de organisatie zelf toetsen of een FG verplicht is. De AP stelt vier factoren op waaraan de organisatie kan toetsen:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt);
  • de hoeveelheid persoonsgegevens die verwerkt worden;
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar);
  • de geografische reikwijdte van de verwerking.

De AP zal ook hier op korte termijn nadere invulling aan geven, zodat de factoren concreter worden.

Een FG helpt een organisatie om AVG-proof te worden en te blijven. Om deze reden adviseert de AP ook andere zorgaanbieders om een FG aan te stellen. Eventueel is het mogelijk een FG te delen met meerdere zorgaanbieders. Daarnaast kan een FG ook extern worden ingehuurd voor een beperkt aantal uren. Hierdoor kunnen de organisatorische lasten beperkt worden. Deze mogelijkheden bestaan zowel voor organisaties waarbij een FG verplicht is als een vrijwillige aanstelling van een FG.

Blijf op de hoogte! Meld u aan
voor de AAG Nieuwsbrief.

Aanmelden

Deel dit artikel

Meer weten over dit onderwerp? Neem contact met mij op!

Monique Straver
Monique Straver senior payroll consultant
06 51562834
m.straver@aag.nl