Nieuws
image

AP verklaart wat grootschalige gegevensverwerking in de zorg is

donderdag 31 mei 2018, 15:30 door Redactie, 2 reacties

De Autoriteit Persoonsgegevens heeft op de eigen website uitleg gegeven over wanneer er sprake is van grootschalige gegevensverwerking in de zorg. De nieuwe privacywetgeving vereist namelijk bij grootschalige verwerking dat er een functionaris voor de gegevensbescherming (FG) is aangesteld.

Ook moet er in bepaalde een data protection impact assessment (DPIA) worden gedaan. De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. In het geval van zorgaanbieders is dit van een aantal zaken afhankelijk.

Bij huisartsenpraktijken en instellingen voor medisch specialistische zorg is er sprake van grootschalige verwerking als er meer dan 10.000 patiënten staan ingeschreven of gemiddeld per jaar worden behandeld én de gegevens van deze patiënten in één informatiesysteem staan. In het geval van ziekenhuizen, zorggroepen, huisartsenposten en apotheken is de verwerking van patiëntgegevens altijd grootschalig en moet er dus een FG zijn aangesteld.

Voor andere zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten aan de hand van vier factoren zelf beoordelen of er grootschalig gegevens worden verwerkt. Het gaat om het aantal patienten waarvan gegevens worden verwerkt, de hoeveelheid verwerkte persoonsgegevens, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking.

Voor organisaties die niet grootschalig gegevens verwerken kan het volgens de Autoriteit Persoonsgegevens nog steeds nuttig zijn om een FG aan te stellen. De functionaris voor de gegevensbescherming kan organisaties helpen bij het voldoen aan de AVG. De toezichthouder adviseert zorgaanbieders dan ook om een FG aan te stellen. Om de kosten en organisatorische lasten te beperken is het mogelijk om de FG te "delen" met andere zorgaanbieders of voor een beperkt aantal uren in te huren.

Reacties (2)
31-05-2018, 20:22 door karma4 - Bijgewerkt: 31-05-2018, 20:23
Heeft het AP dit afgestemd met de partners in EU verband?
Zo niet dan heeft het AP de GDPR niet begrepen.
De hele bedoeling is namelijk niet solistisch nationale eigen interpretaties.
Hiervoor had het AP al 2 jaar de tijd om op te acteren. Dat ze nu ineens achteraf acteren is ook al niet goed.
01-06-2018, 07:52 door Anoniem
Bij huisartsenpraktijken en instellingen voor medisch specialistische zorg is er sprake van grootschalige verwerking als er meer dan 10.000 patiënten staan ingeschreven of gemiddeld per jaar worden behandeld én de gegevens van deze patiënten in één informatiesysteem staan.
Da's slordig geformuleerd door AP. Zoals het er staat mag een informatiesysteem vrolijk over de 10000 patiëntdossiers heengaan zonder FG als er maar een tweede informatiesysteem is patiëntdossiers waar een (mogelijk klein) deel van de dossiers in is ondergebracht. Ik vermoed dat AP bedoelt dat er een FG nodig is zodra er gegevens over meer dan 10000 patiënten in één informatiesysteem staan.

Ik denk niet dat er veel instellingen zijn die dit aangrijpen om ermee te gaan sjoemelen, maar dat is geen excuus om een richtlijn niet exact te formuleren, da's gewoon duidelijker.

De richtlijn voor andere instellingen is helemaal vaag. Het geeft een paar zaken aan die een rol spelen in de beslissing maar geen enkel houvast voor hoe die vervolgens beoordeeld moeten worden. Gelukkig geeft AP aan te proberen daar op korte termijn duidelijker over te zijn. Maar net als iedereen die zich aan de AVG moet houden heeft AP twee jaar de tijd gehad om zich voor te bereiden. Met welk recht kan AP organisaties erop aanspreken dat na te hebben gelaten als ze er zelf kennelijk ook niet erg ver mee zijn gekomen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search