Heeft uw zorginstelling al een Functionaris voor de Gegevensbescherming?

Functionaris voor de Gegevensbescherming (FG)

Op grond van artikel 37 van de AVG zijn verschillende organisaties verplicht een FG aan te stellen die binnen de organisatie toezicht houdt op de toepassing en naleving van verplichtingen vanuit de AVG. Nog niet zo lang geleden is onder de Wkkgz de Klachtenfunctionaris in het leven geroepen. In hoeverre verschilt de FG van deze functionaris? Met andere woorden: wat doet een FG, wat is de toegevoegde waarde van een FG voor zorgorganisaties en wie is geschikt om deze rol te vervullen?

Verantwoordelijkheden FG

Van de FG wordt verwacht dat hij een toezichthouder is die beschikt over bovengemiddelde vakkennis van privacywetgeving én van de praktijk van gegevensbescherming. Dit betekent dat de FG in ieder geval kennis moet hebben van nationale en Europese privacywet- en regelgeving, de gegevensverwerking en de IT-omgeving van uw organisatie alsook van de zorgsector waarin u actief bent. Daarnaast moet de FG in staat zijn om binnen uw organisatie een cultuur van gegevensbescherming te ontwikkelen.

Taken FG

De belangrijkste taak van de FG is er voor te zorgen dat de AVG wordt nageleefd. Dit doet hij door intern toezicht te houden en informatie te verzamelen over de wijze waarop gegevens binnen de organisatie worden verwerkt. Daarbij controleert de FG of de verwerkingen voldoen aan de eisen van de AVG. Op basis van deze kennis informeert en adviseert de FG de organisatie of doet de FG aanbevelingen. De FG voert zijn taken onafhankelijk uit. Dit betekent in ieder geval dat de werkgever de FG geen instructies mag geven over de uitvoering van zijn taken.

Een FG aanstellen

Het is de verantwoordelijkheid van de organisatie zelf om een FG aan te stellen met de juiste competenties. Daarbij geldt in het algemeen: hoe complexer de organisatie, hoe deskundiger de FG. Volgens de Autoriteit Persoonsgegevens (AP) moet de FG in ieder geval de nationale en Europese gegevensbeschermingswetten en -gebruiken in de vingers hebben.

In principe kan iedereen, zowel intern als extern, als FG worden aangesteld. Er mag echter geen sprake zijn van een conflicterend belang met de organisatie. Dit houdt met name in dat de FG geen positie in de organisatie mag hebben die ertoe leidt dat hij het doel van en de middelen voor het verwerken van de persoonsgegevens bepaalt. Dit is een nadere uitwerking van het eerde genoemde vereiste van onafhankelijkheid van de FG.

Wat betreft de aanstelling, geldt dat is vereist dat (zorg-)organisaties de contactgegevens van de FG publiceren en de contactgegevens van de FG doorgeven aan de Autoriteit Persoonsgegevens (AP). Niettemin is het aanstellen van een FG onder de AVG niet altijd verplicht. Welke omstandigheden bepalen of het verplicht is?

Grootschalige gegevensverwerking in de zorg

In ieder geval moet een FG worden aangesteld wanneer sprake is van grootschalige verwerking van bijzondere persoonsgegevens. Denk bijvoorbeeld aan het op grote schaal verwerken van gegevens over iemands gezondheid door zorgaanbieders. Dit brengt natuurlijk meteen een verduidelijkingsvraag mee: wanneer is sprake van “grootschalige gegevensverwerking” van “bijzondere persoonsgegevens”?

Voorwaarden verplicht aanstellen FG voor specifieke zorgaanbieders

Daarover bracht de AP recentelijk meer duidelijkheid. Ziekenhuizen, apotheken, huisartsenposten en zorggroepen moeten altijd een FG aanstellen. Huisartsenpraktijken en instellingen voor medisch-specialistische zorg die geen ziekenhuizen zijn, moeten een FG aanstellen als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt; én
  • de gegevens van deze patiënten in één informatiesysteem staan.

Overige zorgaanbieders moeten zelf toetsen

Voor de overige zorgaanbieders geldt het criterium van 10.000 patiënten niet. Zij moeten aan de hand van de volgende vier factoren zelf beoordeelden of zij verplicht zijn een FG aan te stellen:

  • het aantal patiënten over wie gegevens worden verwerkt;
  • de hoeveelheid persoonsgegevens die worden verwerkt;
  • de duur van de gegevenswerking;
  • de reikwijdte van de verwerking.

Hoewel de AP te kennen heeft gegeven binnenkort ook voor deze zorgaanbieders meer duidelijkheid te willen bieden, zal deze groep “overige zorgaanbieders” voor nu dus zelf een inschatting moeten maken of een FG verplicht is.

Doe de check!

Heeft uw organisatie nog geen FG en twijfelt u of deze verplicht is? Gebruik dan dit artikel als een eerste check. Let daarbij op de eisen die gesteld worden aan de aard en grootte van de organisatie en vergeet vooral niet om de aanstelling van een FG aan te melden op de website van de Autoriteit Persoonsgegevens.

Op zoek naar meer informatie? Kijk dan op gdpr.kvdl.nl! Op deze site geeft het privacy team van Kennedy Van der Laan handige info over de AVG.

Auteur

Michèle van Lopik – Met dank aan Hugo Hieltjes.

Comments are closed.

Cookie instellingen