Functionaris gegevensbescherming

Functionaris gegevensbescherming: FG via E|G

Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 wordt het voor veel zorgaanbieders verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Een FG zorgt ervoor dat uitvoering wordt gegeven aan de bedoeling van de AVG: bescherming van de privacy van cliënten.

De Functionaris Gegevensbescherming:

  • kan vragen op het gebied van privacy beantwoorden
  • verzamelt informatie over gegevensbewerking binnen het bedrijf
  • bewaakt de privacyregels in het bedrijf
  • herkent datalekken en wikkelt deze op de juiste wijze af
  • is contactpersoon voor patiënten en Autoriteit Persoonsgegevens (AP)
  • houdt het verwerkingsregister en datalekregister bij
  • herkent ook wanneer het nodig is om een Privacy Impact Assestment (PIA) uit te voeren bij wijziging in gegevensverwerking en verhoogd risico.

Autoriteit Persoonsgegevens verduidelijkt begrip grootschalig

Bij grootschalige verwerking van gegevens betreffende gezondheid. Wat onder grootschalig wordt verstaan was lange tijd niet duidelijk. Een kleine onderneming heeft geen FG nodig. Een grote onderneming, bijvoorbeeld een ziekenhuis, wel. Inmiddels heeft de Autoriteit Persoonsgegevens meer duidelijkheid gegeven over het begrip grootschalig in de zorg:

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

Functionaris Gegevensbescherming is altijd verplicht voor apotheken, ziekenhuizen en huisartsenposten

Apotheken, ziekenhuizen en huisartsenposten hebben altijd een Functionaris Gegevensbescherming nodig. Voor huisartsen en medisch specialistische zorg anders dan een ziekenhuis geldt als criterium: het jaarlijks behandelen of ingeschreven staan van 10.000 patiënten en het hebben staan van deze gegevens op één systeem.

Wanneer een Functionaris Gegevensbescherming?

Uit voorgaande kan ook afgeleid worden dat iedere organisatie die jaarlijks meer dan 10.000 patiënten ziet of heeft ingeschreven, een Functionaris Gegevensbescherming nodig heeft. Omgekeerd geldt evenwel niet dat iedereen die minder dan 10.000 patiënten per jaar ziet er vanuit kan gaan dat geen Functionaris Gegevensbescherming nodig is. Voor overige zorgaanbieders laat de Autoriteit Persoonsgegevens nog wat meer onduidelijkheid bestaan.

Criteria voor overige zorgaanbieders

Voor overige zorgaanbieders blijft een stuk meer onduidelijkheid bestaan:

“Voor deze zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

Deze factoren zijn:

  1. het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt)
  2. de hoeveelheid persoonsgegevens die worden verwerkt
  3. de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar)
  4. de geografische reikwijdte van de verwerking.

De AP probeert op korte termijn ook voor andere zorgaanbieders nadere duiding te geven.”

Voor deze zorgaanbieders is het dus nog afwachten wat wel en niet moet. De Autoriteit Persoonsgegevens adviseert andere zorgaanbieders wel een Functionaris Gegevensbescherming in te stellen, maar verplicht is dat dus niet:

De AP adviseert ook andere zorgaanbieders om een FG aan te stellen.

Wij delen de visie van de AP dat het – ook indien een Functionaris Gegevensbescherming niet verplicht is – verstandig kan zijn een Functionaris Gegevensbescherming aan te wijzen om de privacyregels in de organisatie goed in te bedden.

Gevolgen verduidelijking criteria

Het is positief dat de Autoriteit Persoonsgegevens op deze wijze meer duidelijkheid heeft gegeven voor apotheken, ziekenhuizen, huisartsen, huisartsenposten en medisch specialistische zorg. Tegelijkertijd betekent deze gegeven duidelijkheid ook dat de Autoriteit Persoonsgegevens van deze organisaties zal verwachten dat zij binnen bekwame tijd ook daadwerkelijk een Functionaris Gegevensbescherming hebben aangesteld. Voor deze organisaties geldt immers dat nu duidelijk is wat zij moeten doen en dat betekent ook dat de Autoriteit Persoonsgegevens in voorkomend geval zal toetsen of aan deze verplichting voldaan is. Gelet op de omstandigheid dat de Autoriteit Persoonsgegevens ziekenhuizen, apotheken en huisartsenposten expliciet noemt, ligt het in de lijn der verwachting dat deze zorgaanbieders op termijn ook door de Autoriteit Persoonsgegevens gecontroleerd zullen gaan worden. Ziekenhuizen moeten er op rekenen dat zij zondermeer gecontroleerd zullen worden en voor apotheken verwachten wij dat de Autoriteit Persoonsgegevens dit op termijn steekproefgewijs zal gaan doen.

Waaraan moet een Functionaris Gegevensbescherming voldoen?

De Wet geeft niet veel criteria voor een Functionaris Gegevensbescherming. Van belang is dat de Functionaris Gegevensbescherming makkelijk en direct te bereiken is, goed kan communiceren met zowel het bedrijf als patiënten, bekend is met Wet- en Regelgeving en de AVG in het bijzonder en die kan vertalen naar de dagelijkse praktijk.

Op welke manier kan een Functionaris Gegevensbescherming worden aangesteld?

Zorgaanbieders kunnen gezamenlijk een Functionaris Gegevensbescherming aanstellen, zowel monodisciplinair als multidisciplinair. Die Functionaris Gegevensbescherming moet dan kennis hebben van de branches van de aangesloten zorgaanbieders. Ook moeten er goede afspraken worden gemaakt over de taakinvulling van de Functionaris Gegevensbescherming en onafhankelijkheid. En uiteraard over de verdeling van de kosten. Zeker als grote en kleine organisatie gezamenlijk een Functionaris Gegevensbescherming aanstellen zal een redelijke verdeelsleutel moeten worden gevonden.

Het is ook mogelijk aan te sluiten bij de Functionaris Gegevensbescherming van een grotere zorgonderneming die deze ter beschikking wil stellen. Ook hiervoor geldt het vereiste van branchekennis en de noodzaak duidelijke afspraken te maken.

In de derde plaats is het mogelijk om binnen de eigen organisatie een Functionaris Gegevensbescherming aan te stellen, net zoals een BHV-er verplicht binnen elke organisatie moet zijn aangesteld, eigenlijk een privacy-BHV-er.

De interne Functionaris Gegevensbescherming kan niet de eigenaar van de onderneming zijn of een groot- aandeelhouder. Want de Functionaris Gegevensbescherming moet onafhankelijk kunnen opereren. Mede daarom heeft de Functionaris Gegevensbescherming ontslag bescherming.

Wat is de beste optie?

Dat is aan u. Maar als u snel en klein wilt beginnen, dan is een interne oplossing het eenvoudigst.

Wat behelst ons aanbod?

Opleiding en nascholing

Wij maken een intern benoemde Functionaris Gegevensbescherming tijdens een intensieve opleidingsdag bekend met wet- en regelgeving op het gebied van privacyveiligheid. Dit combineren wij met een handleiding, best practices en branchespecifieke informatie. De opleiding wordt verzorgd in Zeist in onze seminar ruimte “The Lodge”.

Daarna komt de Functionaris Gegevensbescherming jaarlijks een halve dag terug om ervaringen te delen en bijgeschoold te worden

Helpdesk

Wij stellen onze FG-helpdesk ter beschikking. Daar waar de Functionaris Gegevensbescherming voor een strategische keuze staat of bijvoorbeeld wil weten of er sprake is van een datalek en/of dat al dan niet moet worden gemeld, kunnen wij via de helpdesk snel antwoord geven en de Functionaris Gegevensbescherming begeleiden.

Wij bieden deze service aan voor een bedrag van € 350,00 exclusief BTW per jaar. Wij gaan uit van een driejarig contract, aangezien continuïteit van scholing en bijscholing van belang is voor een verantwoorde invulling van de FG positie.

Wilt u gebruik maken van deze mogelijkheid, vraag dan hier onze overeenkomst op:

Uw naam (verplicht)

Uw e-mail (verplicht)

Uw organisatie (verplicht)

Wilt u meer informatie over dit product dan kunt ook per mail contact opnemen met bras@eldermans-geerts.nl of geerts@eldermans-geerts.nl.