AppleMark
Op 11 december heeft de autoriteit persoonsgegevens (AP) het begrip “grootschalig” nader gedefinieerd. Dit begrip is belangrijk omdat het bepaalt of wel of geen functionaris gegevensbescherming (FG) moet worden aangesteld.
De AP heeft conform verwachting de in mei van dit jaar aangekondigde maatstaf van 10.000 patiënten geduid als een algemene grens, waarbij sprake is van grootschalige verwerking van persoonsgegevens. Voor ziekenhuizen, huisartsenposten en zorggroepen is dat altijd het geval. Deze partijen verwerken, ongeacht het aantal patiënten, volgens de AP altijd grootschalig gegevens.
Wat betekent dit in de praktijk?
Met het verwerken van de gegevens van meer dan 10.000 patiënten in één informatiesysteem kunnen ook kleinere zorgaanbieders te maken hebben. Want het gaat niet om 10.000 actieve patiënten, het gaat om het aantal patiënten waarvan de gegevens in één informatiesysteem verwerkt worden. Dat zijn dus ook de oude patiënten die nog in het systeem staan, bijvoorbeeld passanten waarvan gegevens geregistreerd staan of patiënten die zijn overgestapt naar een andere aanbieder en waarvan de gegevens worden bewaard op grond van de bewaarplicht van 15 jaar. Als je dat bij elkaar optelt, dan zal in de praktijk snel sprake zijn van deze grens.
Voorbeeld
Conform de bedoeling van de AP zal een solistisch werkende zorgaanbieder hier geen hinder van ondervinden en hier niet aan voldoen, maar bijvoorbeeld drie fulltime werkende fysiotherapeuten, die jaarlijks veel verschillende patiënten zien tijd, kunnen op basis van hun bewaarplicht al vrij snel aan dit aantal komen en op die grond gehouden zijn een functionaris gegevensbescherming aan te stellen. Voor de beantwoording van de vraag of een functionaris gegevensbescherming nodig is, moet dus goed gekeken wordt naar het aantal registraties in het informatiesysteem, ook naar gegevens van personen die nog wel in het systeem staan, maar door de zorgaanbieder allang niet meer als (actieve) patiënt ervaren worden.
Professionalisering
Los van de vraag of het wel of niet verplicht is, kan het aanstellen van een FG nuttig zijn. Dit geeft de AP ook aan. Alles wordt meer en meer data-gestuurd. Privacy wordt steeds belangrijker, zeker in de zorg. Wie deze ontwikkelingen negeert, komt vroeg of laat in de problemen. Het is belangrijk dat een zorgorganisatie is ingericht op het waakzaam omgaan met gegevens en dat ook naar buiten toe uitstraalt. Het aanstellen van een FG is een goede stap in verdere professionalisering van de organisatie, ongeacht of het verplicht is.
Kitty ten Bras
Eldermans|Geerts
