FG: vaker verplicht dan gedacht bij tandartspraktijken

functionaris-gegevensbescherming

U heeft al jaren een goedlopende tandartsenpraktijk. Behalve u werken er sinds enkele jaren naast u in de praktijk meerdere tandartsen, een aantal mondhygiënisten en tandartsassistentes. De patiënten worden sinds jaar en dag ontvangen door de praktijk-manager. De praktijk zit op een mooie locatie, midden in het dorp, en beschikt over een vast patiëntenbestand van circa 7.500 patiënten. De patiënten komen overwegend uit het dorp en het patiëntenbestand wisselt nauwelijks. Met dit aantal patiënten draait de praktijk een prima omzet. En, niet onbelangrijk, de praktijk blijft onder de door de privacyautoriteit gestelde grens van 10.000 patiënten, waardoor de praktijk geen functionaris gegevensbescherming hoeft aan te stellen. Of toch wel?

Zorgorganisaties die op grote schaal persoonsgegevens verwerken, zijn verplicht een functionaris gegevensbescherming (FG) aan te stellen. De Autoriteit Persoonsgegevens (AP) maakte recent bekend dat tandartspraktijken op grote schaal persoonsgegevens verwerken als:

  • een praktijk meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt én
  • de gegevens van deze patiënten in één informatiesysteem staan.

Het verwerken van de persoonsgegevens van 10.000 patiënten in één informatiesysteem klinkt als iets waar kleinere praktijken niet snel mee te maken zullen hebben. Toch klopt die aanname niet. Want het gaat niet om 10.000 actief behandelde patiënten, het gaat om het aantal patiënten waarvan de gegevens in één informatiesysteem verwerkt worden. Dat zijn dus ook de oude of voormalige patiënten die nog in het systeem staan, patiënten die in het weekend een noodbehandeling hebben gekregen of die behandeld zijn in het kader van de weekenddienst. Denk ook aan patiënten van een verwijspraktijk die maar één of twee keer door die praktijk gezien worden. Dat loopt dus al snel op, zeker aangezien patiëntengegevens op grond van de wettelijke bewaarplicht vijftien jaren bewaard moeten blijven.

Daarmee wordt die grens van 10.000 patiënten voor veel praktijken toch opeens een minder ver-van-het-bed-show. Stel dat de voorbeeldpraktijk in het kader, naast de 7.500 actieve patiënten, nog 2.200 patiënten heeft die vertrokken zijn, maar van wie er nog wel een dossier in het systeem staat en nog van 400 patiënten een dossier in het systeem staat, die eerder een behandeling hebben gehad in het kader van een weekenddienst. Dan is de grens van 10.000 patiënten gehaald: voor deze praktijk is een FG vereist.

Wie mag?

Wie mag FG mag worden? Theoretisch gezien kan iedereen FG worden, maar niet iedereen past goed in die rol. Sterker nog, niet iedereen mag FG worden. Een FG moet onafhankelijk zijn en met een frisse blik naar keuzes en beleid kunnen kijken. Daarom mag de eigenaar van een organisatie dat niet zijn. De FG moet buiten het dagelijks bestuur staan, maar indien nodig, daar wel bij betrokken worden voor de privacyaspecten. Een FG moet niet alleen onafhankelijk zijn, maar ook capabel genoeg. Hij of zij moet daarbij een bepaald denkniveau hebben en de organisatie goed kunnen overzien. Dit kan ook prima een pientere assistente zijn.Los daarvan moet een FG de nodige kennis over wetgeving en ICT in huis hebben.

Niet iedereen mag FG worden

Die kennis hoeft niet gelijk aanwezig te zijn en hoeft ook niet volledig te zijn. Van belang is met name dat de FG problemen signaleert en dan de juiste hulp inschakelt. De praktijk moet zorgen dat de FG zijn of haar werk goed kan uitvoeren. Denk daarbij aan de volgende zaken:

  • Een FG heeft ontslagbescherming, ongeveer gelijk als die van een OR-lid. Houd daar rekening mee bij de keuze van de persoon binnen uw organisatie.
  • De FG moet voldoende tijd krijgen om de werkzaamheden als FG goed te kunnen uitvoeren.
  • De FG moet in staat gesteld worden eigen conclusies te trekken, onafhankelijk van de praktijk(eigenaar).
  • Als zich een incident of datalek voordoet, moet de FG ingelicht worden. Die weet namelijk wat er moet gebeuren.

Te regelen

Veel van de softwareprogramma’s die in de mondzorg worden gebruikt, bevatten een functionaliteit waarmee het aantal patiënten redelijk eenvoudig inzichtelijk kan worden gemaakt. Het is dus verstandig daar goed naar te kijken. Gaat uw praktijk over de grens van 10.000 patiënten heen, dan zorgt u dat u de juiste FG aanstelt om aan de wettelijke verplichting te voldoen. Een FG voor een tandartsenpraktijk kan gelukkig snel aan het werk. Met één opleidingsdag en een externe helpdesk kan iemand FG worden. De ANT biedt hierbij passende ondersteuning. Mocht u interesse of vragen hebben, neem dan contact op met de ANT.

Dit artikel verscheen in DENTZ MAGAZINE – nummer 1 – jaargang 11 – 2019

Specialisten over dit onderwerp

Gerelateerde items