Het kan u onmogelijk zijn ontgaan: sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit heeft de nodige reuring veroorzaakt. Ook voor zorgaanbieders brengt dit nieuwe verantwoordelijkheden mee. Zo kunt u verplicht zijn een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Doel van dit artikel is antwoord te geven op de vraag óf u een FG moet aanstellen, en zo ja, waar u op moet letten.
Op grond van artikel 37 van de AVG zijn verschillende organisaties verplicht een FG aan te stellen die binnen de organisatie toezicht houdt op de toepassing en naleving van verplichtingen vanuit de AVG. Nog niet zo lang geleden is onder de Wkkgz de Klachtenfunctionaris in het leven geroepen. In hoeverre verschilt de FG van deze functionaris? Met andere woorden: wat doet een FG, wat is de toegevoegde waarde van een FG voor zorgorganisaties en wie is geschikt om deze rol te vervullen?
Van de FG wordt verwacht dat hij een toezichthouder is die beschikt over bovengemiddelde vakkennis van privacywetgeving én van de praktijk van gegevensbescherming. Dit betekent dat de FG in ieder geval kennis moet hebben van nationale en Europese privacywet- en regelgeving, de gegevensverwerking en de IT-omgeving van uw organisatie alsook van de zorgsector waarin u actief bent. Daarnaast moet de FG in staat zijn om binnen uw organisatie een cultuur van gegevensbescherming te ontwikkelen.
De belangrijkste taak van de FG is er voor te zorgen dat de AVG wordt nageleefd. Dit doet hij door intern toezicht te houden en informatie te verzamelen over de wijze waarop gegevens binnen de organisatie worden verwerkt. Daarbij controleert de FG of de verwerkingen voldoen aan de eisen van de AVG. Op basis van deze kennis informeert en adviseert de FG de organisatie of doet de FG aanbevelingen. De FG voert zijn taken onafhankelijk uit. Dit betekent in ieder geval dat de werkgever de FG geen instructies mag geven over de uitvoering van zijn taken.
Het is de verantwoordelijkheid van de organisatie zelf om een FG aan te stellen met de juiste competenties. Daarbij geldt in het algemeen: hoe complexer de organisatie, hoe deskundiger de FG. Volgens de Autoriteit Persoonsgegevens (AP) moet de FG in ieder geval de nationale en Europese gegevensbeschermingswetten en -gebruiken in de vingers hebben.
In principe kan iedereen, zowel intern als extern, als FG worden aangesteld. Er mag echter geen sprake zijn van een conflicterend belang met de organisatie. Dit houdt met name in dat de FG geen positie in de organisatie mag hebben die ertoe leidt dat hij het doel van en de middelen voor het verwerken van de persoonsgegevens bepaalt. Dit is een nadere uitwerking van het eerde genoemde vereiste van onafhankelijkheid van de FG.
Wat betreft de aanstelling, geldt dat is vereist dat (zorg-)organisaties de contactgegevens van de FG publiceren en de contactgegevens van de FG doorgeven aan de Autoriteit Persoonsgegevens (AP). Niettemin is het aanstellen van een FG onder de AVG niet altijd verplicht. Welke omstandigheden bepalen of het verplicht is?
In ieder geval moet een FG worden aangesteld wanneer sprake is van grootschalige verwerking van bijzondere persoonsgegevens. Denk bijvoorbeeld aan het op grote schaal verwerken van gegevens over iemands gezondheid door zorgaanbieders. Dit brengt natuurlijk meteen een verduidelijkingsvraag mee: wanneer is sprake van “grootschalige gegevensverwerking” van “bijzondere persoonsgegevens”?
Daarover bracht de AP recentelijk meer duidelijkheid. Ziekenhuizen, apotheken, huisartsenposten en zorggroepen moeten altijd een FG aanstellen. Huisartsenpraktijken en instellingen voor medisch-specialistische zorg die geen ziekenhuizen zijn, moeten een FG aanstellen als:
die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt; én
de gegevens van deze patiënten in één informatiesysteem staan.
Voor de overige zorgaanbieders geldt het criterium van 10.000 patiënten niet. Zij moeten aan de hand van de volgende vier factoren zelf beoordeelden of zij verplicht zijn een FG aan te stellen:
het aantal patiënten over wie gegevens worden verwerkt;
de hoeveelheid persoonsgegevens die worden verwerkt;
de duur van de gegevenswerking;
de reikwijdte van de verwerking.
Hoewel de AP te kennen heeft gegeven binnenkort ook voor deze zorgaanbieders meer duidelijkheid te willen bieden, zal deze groep “overige zorgaanbieders” voor nu dus zelf een inschatting moeten maken of een FG verplicht is.
Heeft uw organisatie nog geen FG en twijfelt u of deze verplicht is? Gebruik dan dit artikel als een eerste check. Let daarbij op de eisen die gesteld worden aan de aard en grootte van de organisatie en vergeet vooral niet om de aanstelling van een FG aan te melden op de website van de Autoriteit Persoonsgegevens.
Dit artikel is ook te vinden in de dossiers Privacy in de zorg en AVG
Meer artikelen van Kennedy van der Laan
