Wel of geen FG aanstellen
Bij veel kleine zorgaanbieders leeft de vraag of zij een functionaris voor gegevensbescherming (FG) moeten aanstellen. Ook binnen kleine zorgaanbieders kunnen veel bijzondere persoonsgegevens worden verwerkt en die verwerking is onderdeel van de kernactiviteit, namelijk het verlenen van zorg.
Het aanstellen van een FG is in de volgende situaties verplicht:
- Voor overheden en publieke organisaties.
- Regelmatige en stelsmatige observatie op grote schaal.
- Het verwerken van bijzondere persoonsgegevens op grote schaal.
Met name punt 1 en 3 zorgen voor onduidelijkheid. Hieronder volgt een toelichting op beide punten.
Verplichte FG voor overheden en publieke organisaties
De Europese Unie erkent dat ook particuliere organisaties, zoals jeugdhulpzorgorganisaties en stichtingen, publiekrechtelijke taken kunnen uitoefenen. De persoonsgegevens worden dan ook verwerkt ten behoeve van het uitoefenen van een publiekrechtelijke taak. In die situatie adviseert de EU om een FG te benoemen.
Verplichte FG bij het verwerken van bijzondere persoonsgegevens op grote schaal
Bijzondere persoonsgegevens
Onder de AVG zijn medische gegevens bijzondere persoonsgegevens. Verwerking van deze gegevens mag alleen onder strikte voorwaarden.
Grote schaal
Wanneer verwerk je (bijzondere) persoonsgegevens op grote schaal? Voor de zorgsector komt de uitleg van ‘grote schaal’ neer op: ziekenhuizen grootschalig, individuele huisarts niet grootschalig. Het Nederlandse zorgveld en het sociale domein kan niet goed uit de voeten met deze toelichting, omdat we in Nederland nog heel veel tussenvormen kennen. De Autoriteit Persoonsgegevens (AP) heeft voor de zorg het begrip grootschalig daarom nader toegelicht:
- De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig.
- Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als:
o De zorginstelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
o én de gegevens van deze patiënten/ cliënten in één informatiesysteem staan.
Het criterium van 10.000 is geen definitie, maar een richtlijn. Zorgverleners moeten zelf (eigen verantwoordelijkheid) aan de hand van de volgende criteria bepalen of zij een FG willen aanstellen:
- het aantal betrokkenen
- de hoeveelheid persoonsgegevens
- de duur van de gegevensverwerking
- de geografische reikwijdte van de verwerking
- het risicoprofiel van de verwerking(en)
Redenen om toch een FG aan te stellen
Wanneer je als verwerkingsverantwoordelijke bepaalt dat je verwerkingen niet grootschalig zijn en ervoor kiest om geen Functionaris voor de Gegevensbescherming (FG) aan te stellen, is het zaak om goed op te schrijven waarom je dat niet doet. Het heeft namelijk wel degelijk voordelen om wél een FG te benoemen:
- Je laat als organisatie zien dat je de bescherming van persoonsgegevens belangrijk vindt en dat je als organisatie je verantwoordelijkheden neemt.
- De FG is één van de middelen om binnen je organisatie privacycompliance te bevorderen;
- Je kan terecht bij een privacyexpert voor advies bij privacy-gerelateerde vraagstukken;
- Je hebt een aanspreekpunt voor de AP.
Bovenstaande geldt zeker ook voor zorgaanbieders; onafhankelijk van hun grootte. Vooral omdat de verwerkingen in de zorg en in het sociaal domein vaak een hoog risicoprofiel hebben. De AP adviseert zorgaanbieders die niet verplicht zijn een FG aan te stellen, om ook een FG aan te stellen.