AppleMark
De invulling van de Algemene Verordening Gegevensbescherming (AVG) roept in de praktijk nog altijd vragen op. Zo is onduidelijk wanneer er sprake is van grootschalige gegevensverwerking. Daardoor is evenmin helder wanneer zorgorganisaties een privacy-functionaris moeten aanstellen.
Dit blijkt uit een adviesaanvraag van de Landelijke Huisartsen Vereniging (LHV) bij de Autoriteit Persoonsgegevens (AP). De AVG, die op 25 mei van kracht wordt, voorziet onder meer in de verplichte aanstelling van een functionaris voor gegevensbescherming (FG). Deze persoon moet binnen de organisatie toezicht gaan houden op de toepassing en naleving van de AVG. De verplichting geldt alleen organisaties die zich bezig houden met de verwerking van bijzondere persoonsgegevens op grote schaal. Maar volgens de LHV is de wet onduidelijk over wat onder ‘grootschalig’ wordt verstaan.
Navraag door de LHV bij de Autoriteit Persoonsgegevens (AP) leidde niet tot meer duidelijkheid. De privacytoezichthouder kon op basis van de Europese verordening niet aangeven waar de grens ligt tussen wel of geen grootschalige gegevensverwerking. De enige indicatie is: een solistische huisartspraktijk valt er niet onder, een ziekenhuis wel. Daarmee lijkt zich een groot grijs gebied af te tekenen.
Grootschalig
Advocaat Niels van den Burg acht de kans klein dat bij een samenwerking van enkele huisartsen sprake is van grootschalige verwerking. Een ziekenhuis verwerkt in de regel gegevens van meer dan 100.000 patiënten. Een huisarts verwerkt de gegevens van gemiddeld een ruime tweeduizend patiënten. Bij vier of vijf huisartsen gaat het dan om zo’n 10.000 patiënten. “Dan zitten zij dus aan de onderkant van het spectrum tussen een solist en een ziekenhuis”, aldus Van den Burg.
“Daarnaast is de hoeveelheid gegevens beperkt tot wat noodzakelijk is voor de behandeling, heeft de verwerking een wettelijk afgebakende duur én valt deze onder het beroepsgeheim en is de geografische omvang van de verwerkte gegevens beperkt.” Volgens de advocaat kan daarom “met kracht worden betoogd” dat bij huisartsenpraktijken met meerdere huisartsen op grond van de AVG geen sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens.
Niet verplicht
De LHV verwacht op basis van het juridisch advies en op grond van eigen afwegingen dat het voor veruit de meeste huisartsenpraktijken niet verplicht is om een FG aan te stellen, maar benadrukt ook dat huisartsenpraktijken een eigen afweging moeten maken. Ook kan het volgens de LHV voordelen hebben om wel voor een FG te kiezen. “Een FG kan huisartsenpraktijken immers van advies voorzien, helpen met de implementatie van privacybeleid en aanspreekpunt voor patiënten zijn”, aldus de branchevereniging.
In de Tweede Kamer is in maart een motie aangenomen waarin wordt gevraagd om verduidelijking van het begrip ‘grootschalige verwerking’. Omdat de uitleg van dit begrip in heel Europa gelijk moet zijn, zal de AP met andere toezichthouders in Europa overeenstemming moeten bereiken.
