Op 24 juni 2019 heeft de AP middels het nieuwsbericht “FG’s in ziekenhuizen opereren goed” een onderzoeksrapport met conclusies en aanbevelingen gepubliceerd over functionarissen voor de gegevensbescherming (FG’s) in ziekenhuizen. In dit bericht concludeert de AP dat FG’s in ziekenhuizen “goed op weg zijn om een volwaardige positie te verwerven”.
Onderzoeksrapport: een ‘benchmark’ voor kleine en grote ziekenhuizen
Het onderzoeksrapport geeft een algemeen beeld hoe Nederlandse ziekenhuizen de FG hebben ingebed in de organisatie en hoe FG’s invulling geven aan hun rol. In het rapport komen verschillen naar voren tussen kleine en grote ziekenhuizen. Zo fungeert de FG in een klein ziekenhuis tot nu toe vooral als privacy-vraagbaak en komt hij/zij minder toe aan proactieve taken. Verder merkt de AP op dat voornamelijk kleine ziekenhuizen zich nog kunnen verbeteren door meer schriftelijke waarborgen door te voeren. Het rapport levert al met al een bruikbare ‘benchmark’ op voor de positie en rol van FG, voor met name ziekenhuizen.
Conclusies van het onderzoeksrapport
De AP concludeert dat de FG’s een belangrijke rol hebben gespeeld bij de AVG-implementatie. Zij bevorderen actief het privacybewustzijn van de organisatie door o.a. presentaties, teamvergaderingen of door informatie via intranet. FG’s komen met gevraagd en ongevraagd advies naar de Raad van Bestuur. Deze adviezen worden door de Raden van Bestuur opgevolgd. Verder geven FG’s advies bij DPIA’s, zijn zij betrokken bij datalekken, behandelen ze privacy-klachten van patiënten en zijn zij in de helft van de gevallen belast met het register van verwerkingsactiviteiten. Tot slot houden FG’s toezicht op verschillende manieren. Zij houden contact met medewerkers, vragen documenten op, doen periodieke controles, signaleren trends uit incidenten en datalekken, voeren audits uit, monitoren verbetermaatregelen en houden steekproefsgewijze controles. Het overgrote deel van de FG’s heeft slechts “sporadisch contact” met de AP, waarmee wordt bedoeld een of twee keer per jaar en doorgaans in het geval van een datalek.
Aanbevelingen aan de Raden van Bestuur en de FG’s
Hoewel de conclusies overwegend positief klinken, doet de AP nog wel een aantal aanbevelingen. Deze leest u ingekort hieronder:
Aanbevelingen aan de Raden van Bestuur:
• Stel interne regels en richtlijnen vast over de positie, de taken, werkzaamheden en bevoegdheden van de FG. Zorg voor een duidelijke afbakening met andere privacy-gerelateerde functies om belangenconflicten te voorkomen.
• Voorzie de FG van voldoende middelen om zijn/haar werkzaamheden goed uit te voeren en creëer draagvlak voor de FG binnen de organisatie. Dit kunt u doen door te laten zien dat het werk van de FG belangrijk is en door de Raad van Bestuur wordt gedragen.
• Onderhoud als Raad van Bestuur zelf actief contact met de FG.
Aanbevelingen aan de FG’s:
• Houd adviserende en toezichthoudende taken in balans. Probeer meer aandacht te besteden aan uw toezichthoudende rol.
• Maak duidelijk welke rol u wanneer inneemt en regel hoe te handelen indien sprake is van een belangenconflict.
• Maak interne afspraken over de verdeling van verantwoordelijkheden, bijvoorbeeld in geval van een datalek.
• Wees zichtbaar en gemakkelijk te vinden door collega’s binnen de organisatie. Zoek bijvoorbeeld regelmatig contact met de werkvloer.
• Wissel ervaringen uit met andere FG’s in de regio of de branche.
Juridische status van de aanbevelingen:
Bovenstaande aanbevelingen baseert de AP op schriftelijke inlichtingen van elf ziekenhuizen en op gesprekken met vijf ziekenhuizen. Volgens de AP zijn haar ‘bevindingen’ relevant voor de hele ziekenhuisbranche en daarbuiten. Wel maakt de AP een nuancering. De AP schrijft in haar rapport dat het “van belang is om te realiseren dat de aanbevelingen uitsluitend best practices zijn, die het goede functioneren van de FG binnen het ziekenhuis kunnen bevorderen”. De AP benadrukt dat het niet gaat om verplichtingen die bovenop de wettelijke regels gelden.
De aanbevelingen van de AP brengen de knelpunten aan het licht, maar bieden niet meteen oplossingen voor het risico op verstrengeling van taken, bevoegdheden en belangen in de praktijk. Dient de FG nu te vallen onder de afdeling Compliance, Juridische Zaken of direct onder de Raad van Bestuur? Op welke manier zou uw organisatie rekening moeten houden met deze aanbevelingen? Wij helpen u graag verder op weg.
Auteur:
Leonie van Sloten