AVG: Make good from bad

20 juli 2018

Nog niet zo lang geleden is de AVG-wet in werking getreden. Daarbij zijn een hoop nieuwe regels bijgekomen, waaronder het aanstellen van een functionaris gegevensbescherming. Wat is zijn rol en vanaf wanneer dient deze binnen uw zorginstelling aangesteld te worden?

Millennium bug 2.0?

Even leek het er op alsof de tijden rondom Y2K (de ‘millennium bug’) weer herleefde, maar dit keer met een nieuwe datum: 25 mei 2018. Dat is de datum waarop het allemaal zou gebeuren. D-Day in privacy land. Inmiddels is de AVG in werking getreden en heeft de Autoriteit Persoonsgegevens nog niet massaal invallen gedaan in allerlei organisaties en lijken de dampen op het strijdveld enigszins op te trekken. Het lijkt tot nu toe allemaal mee te vallen. Wel komt er langzaam aan iets meer duidelijkheid over het begrip ‘grootschalig’ en daarmee welke zorginstellingen en zorgaanbieders een functionaris gegevensbescherming moeten hebben. Zo lijken ziekenhuizen, huisartsenposten en apotheken in beginsel de klos en geldt het voor de rest van de zorgwereld in ieder geval de functionaris gegevensbescherming verplichting als je minimaal 10.000 patiënten hebt geregistreerd in het systeem. Jawel geregistreerd, het gaat immers om de hoeveelheid persoonsgegevens die je verwerkt. En dat kan, gelet op de lange bewaarplicht op grond van de WGBO, voor zorgaanbieders, snel aantikken.

Burgerlijke ongehoorzaamheid

Wat opvalt is dat de discussie zich vooral toespitst op de vraag wie wanneer een functionaris gegevensbescherming moet hebben. Dat zal typisch iets Nederlands zijn, dat wij eigenlijk alleen iets willen doen als het moet en, als wij kijken naar ons gedoogbeleid voor soft drugs, zelfs dan nog liever niet. Burgerlijk ongehoorzaamheid is diep geworteld in onze cultuur. Maar je kan ook op een andere manier naar de functionaris gegevensbescherming kijken. Eerder hebben wij wel eens een vergelijking gemaakt met de Functionaris Gegevensbescherming als soort privacy BHV-er, die weet hoe je de brandblusser moet bedienen als er brand is. Maar je zou de Functionaris Gegevensbescherming ook kunnen vergelijken met de brandblusser zelf. Iets wat je in je organisatie nodig hebt om het brandje geblust te krijgen. En natuurlijk kunnen wij dan kijken naar de vraag “Wanneer ben ik verplicht om een brandblusser te hebben?’’. In situaties waarin er een brandje is kan het echter – ook als je daartoe niet verplicht bent – de moeite waard zijn om een brandblusser in huis te hebben. Dit is ook zonder al te veel kosten te regelen.

Functionaris gegevensbescherming met de buren

Die brandblusser kan bij jou liggen, of bij de buren. En daar liggen wel kansen. Want diegene die er voor kiest de brandblusser te kopen, verplicht of onverplicht, en deze te delen met de buren, maakt daar wel vrienden. Want ook de buren vragen zich wellicht af of zij verplicht waren een brandblusser aan te schaffen of niet of vinden het in ieder geval ook wel fijn als er in ieder geval een brandblusser in het gebouw aanwezig is. En dat is het mooie, want op grond van de AVG mag je de brandblusser ook met anderen delen. Een typisch voorbeeld waar dit voor geldt is de apotheek in een gezondheidscentrum. De apotheek is in de meeste gevallen gehouden een functionaris gegevensbescherming te hebben. Voor huisartsen is dit minder snel het geval. Maar een aantal samenwerkende huisartsenpraktijken hebben vaak wel een functionaris gegevensbescherming nodig. Dan is het toch niet meer dan logisch dat de apotheek die toch aan de functionaris gegevensbescherming moet, dit regelt en deze ter beschikking stelt aan de huisartsen in het gezondheidscentrum die ook tegen deze verplichting aan hikken? Twee vliegen in een klap.

BHV-er

Wat wel wat gek geregeld is op grond van de AVG, is dat de brandblusser ook op verre afstand mag staan. Om eerlijk te zijn geloven wij daar niet in. De functionaris gegevensbescherming kan zijn werk het best doen als die dicht bij de organisatie verblijft, waar toezicht op gehouden moet worden. En dat kan. Het is helemaal niet nodig om een aparte persoon aan te nemen die als functionaris gegevensbescherming in de organisatie opereert. Dit kan ook eenvoudig bereikt worden door een bestaand personeelslid te scholen. Dit personeelslid kan dan in de dagelijkse werkzaamheden gewoon dingen doen die zij of hij altijd doet. Net als de BHV-er bij ‘normale’ calamiteiten, kan de functionaris gegevensbescherming dan bij een privacycalamiteit handelen zoals hij of zij geleerd heeft. Daardoor kan iedereen veilig het pand verlaten, dankzij de verplichte of onverplichte FG-brandblusser.

Deel dit verhaal:

Heeft u vragen over dit onderwerp?

Neem dan contact met ons op via:

030-2332218
post@eldermans-geerts.nl

Belangrijk zorgnieuws ontvangen?

Meld u nu aan voor de nieuwsbrief met juridisch nieuws over de zorg.
Aanmelden
  • Meld u nu aan voor onze nieuwsbrief!
    Wilt u op de hoogte worden gehouden van de laatste ontwikkelingen en veranderingen op juridisch gebied? Via onze nieuwsbrief krijgt u automatisch de laatste nieuwtjes via de e-mail toegestuurd.
  • Inschrijven nieuwsbrief