Aanstellen Functionaris Gegevensbescherming huisartsen vaak onnodig

7 mei 2018
Toetsenbord-GDPR
Eerstelijn
Nieuws

Bij de meeste huisartsenpraktijken vindt geen grootschalige gegevensverwerking plaats. Het aanstellen van een Functionaris Gegevensbescherming (FB) in het kader van de privacy-regulering AVG is volgens de LHV dan ook in veel gevallen niet nodig. Volgens de brancheorganisatie voor huisartsen kan de verantwoordelijke toezichthouder geen uitsluitsel geven, alleen de indicatie dat een huisartsenpraktijk geen verplichting heeft een FB in te stellen.

Volgens de nieuwe privacywet AVG (GDPR) is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht wanneer organisaties op grote schaal bijzondere persoonsgegevens verwerken (zie ook onderaan dit artikel). De wet is echter onduidelijk over wat onder ‘grootschalig’ wordt verstaan, aldus de LHV. Dat heeft geleid tot veel vragen van huisartsen. De LHV stelt in te schatten dat de meeste huisartsenpraktijken niet grootschalig gegevens verwerken en dat het aanstellen van een FG dus niet per se hoeft. Uitsluitsel vanuit de overheid blijft uit, aldus de brancheorganisatie. Die heeft daarom de afgelopen maanden over allerlei aspecten van de AVG - in het bijzonder over de verplichting tot het aanstellen van een FG - , contact gehad met privacy-toezichthouder Autoriteit Persoonsgegevens (AP). De AP kan– op basis van de Europese verordening – ook niet meer duidelijkheid geven over waar de grens ligt tussen wel of geen grootschalige gegevensverwerking. De enige indicatie die de organisatie kan geven is: een solistische huisartspraktijk valt er niet onder, een ziekenhuis wel.

Kleine kans dat FG voor huisarts nodig is

De AP probeert regelmatig duiding te geven over de impact van de wet. De onduidelijkheid over een belangrijk onderdeel van de AVG is echter frustrerend is voor huisartsen die willen voldoen aan de nieuwe privacywetgeving. Reden voor de LHV om een eigen analyse te maken die vervolgens extern getoetst is door KBS Advocaten, een advocatenkantoor dat gespecialiseerd is in de gezondheidszorg. Dat stelt dat de kans gering is dat bij een samenwerking van enkele huisartsen sprake is van grootschalige verwerking.  Als reden hiervoor noemt KBS:
  • Een gemiddelde huisarts verwerkt in 2018 continu de gegevens van gemiddeld 2095 patiënten (bron: NZa). Een ziekenhuis verwerkt in de regel gegevens van ruim meer dan 100.000 patiënten. Bij 4-5 huisartsen komt dat neer op circa 10.000 patiënten. Zij zitten aan de onderkant van het spectrum tussen een solist en een ziekenhuis.
  • De hoeveelheid gegevens is beperkt tot wat noodzakelijk is voor de behandeling, heeft de verwerking een wettelijk afgebakende duur én valt deze onder het beroepsgeheim en is de geografische omvang van de verwerkte gegevens beperkt. Dus kan met kracht worden betoogd dat bij huisartsenpraktijken met meerdere huisartsen op grond van de AVG geen sprake is van grootschalig verwerken van bijzondere categorieën van persoonsgegevens.
  • De praktijkhouder is verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke moet een FG aanstellen als hij grootschalig gegevens verwerkt. Om de omvang van de patiëntgegevens per verwerkingsverantwoordelijk te bepalen, moet gekeken worden naar het aantal inschrijvingen-op-naam. Het grootste deel van de verwerkingsverantwoordelijken heeft tussen de 2.000 en 5.000 patiënten op naam ingeschreven staan.

Functionaris Gegevensbescherming kan nut hebben

Op basis van bovenstaand advies en op grond van eigen afwegingen schat de LHV in dat het voor veruit de meeste huisartsenpraktijken niet verplicht is om een FG aan te stellen. Wel benadrukt de brancheorganisatie dat iedere huisartsenpraktijk een eigen afweging maakt over het wel of niet aanstellen van een FG en dat deze afweging goed kan worden gemotiveerd. Bovendien kan een FG ook nuttig zijn. Bijvoorbeeld door te helpen met de implementatie van privacy-beleid en als aanspreekpunt voor patiënten. De LHV hoopt dat er op termijn meer duidelijkheid komt over wat onder grootschalige bewerking valt. Zo heeft de tweede Kamer bij het goedkeuren van de uitvoeringswet AVG in maart een motie aan genomen waarin wordt gevraagd om verduidelijking van het begrip ‘grootschalige verwerking’. De AP zal hier met de andere toezichthouders van Europese lidstaten over moeten overleggen, omdat het begrip EU-wijd gelijk moet zijn.

FG verplicht in drie gevallen

Volgens de Autoriteit Persoonsgegevens (AP) is een FG verplicht in drie gevallen. In alle drie de gevallen wordt de sector zorg & welzijn genoemd: Overheden en publieke organisaties: overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om zorg- en onderwijsinstellingen. Observatie: organisaties die vanuit hun kernactiviteiten grootschalig individuen volgen. Het kan gaan om profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Bijzondere persoonsgegevens: als organisaties op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. Meer weten over zinnige zorginnovaties én de implementatie?  Honderden zorgprofessionals krijgen tijdens de ICT&health World Conference op 22 juni inzichten, antwoorden, handvatten en de beste voorbeelden.  Wilt u ook aanwezig zijn? reserveer dan hier uw (voor de zorg gratis) toegangsticket! Want ook dit keer geldt, op is echt op.
Eerstelijn Security Databeschikbaarheid Wetgeving Privacy