Heeft u als zorgverlener of zorginstelling een ‘FG’ nodig?

Sinds de AVG van toepassing is, zijn veel (zorg)organisaties verplicht om een zogenaamde ‘functionaris voor de gegevensbescherming’ (FG) aan te stellen. De AVG bevat ook voorschriften over de positie van een FG. Het is van belang dat een (zorg)organisatie daaraan voldoet. Echter, niet altijd is duidelijk of zorgverleners c.q. een zorginstelling verplicht zijn een FG aan te stellen. In deze blog wordt uiteengezet welke eisen aan de FG worden gesteld en wanneer een FG moet worden aangesteld.

FG – taakopvatting en positionering

De taken van de FG staan uitgewerkt in artikel 39 AVG. De FG heeft tot taak om de organisatie te informeren en adviseren over de wet- en regelgeving inzake de bescherming van (bijzondere) persoonsgegevens en om toe te zien op de naleving van die regels en het beleid van de organisatie ter zake. Bovendien moet de FG samenwerken met de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens (AP)) en optreden als aanspreekpunt voor de AP. Daarnaast moet een FG advies geven over het uitvoeren van een ‘Data protection impact assessment’ (DPIA). Op grond van (onder meer) de AVG kan een organisatie namelijk verplicht zijn een DPIA uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. In de AVG is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is met name het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie (bijzondere) persoonsgegevens verwerkt. De organisatie moet zelf bepalen of dat aan de orde is. Is er naar alle waarschijnlijkheid een hoog privacyrisico, dan mag een organisatie niet beginnen met het verwerken van persoonsgegevens voordat een DPIA is uitgevoerd (zie hiervoor ook de website van de Autoriteit Persoonsgegevens (AP).

De AVG verbindt ook duidelijke eisen aan de positionering van een FG (zie onder meer artikel 37 en artikel 38 AVG). Het is bijvoorbeeld essentieel, dat de FG onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie. Naast de wettelijke bepalingen heeft ook de AP concrete uitgangspunten opgesteld over onder meer de informatiepositie van de FG, de middelen die de FG nodig heeft en de toegang van de FG tot het bestuur van de organisatie. Meer informatie over de positionering van de FG vindt u hier, meer informatie over de FG in het algemeen vindt u hier.

Niet alle (zorg)organisaties die met persoonsgegevens te maken hebben, hoeven echter een FG aan te stellen. Hierna volgt een uitwerking van de vraag wanneer een FG in een zorginstelling moet worden aangesteld.

FG – wanneer?

De AVG bepaalt in het algemeen in welke gevallen een organisatie verplicht is een FG aan te stellen. Kort gezegd geldt de verplichting voor overheidsorganen en overheidsinstanties (met een uitzondering voor gerechten), voor organisaties die zich hoofdzakelijk bezighouden met de grootschalige, regelmatige en stelselmatige observatie van natuurlijke personen (bijvoorbeeld cameratoezicht in winkelcentra) en voor organisaties die hoofdzakelijk en op grote schaal bijzondere (waaronder medische) persoonsgegevens of strafrechtelijke gegevens verwerken. Onder de laatste categorie vallen doorgaans zorginstellingen. Bij veel kleine zorgorganisaties, jeugdzorginstellingen en praktijkverbanden waarbij meerdere zorgverleners onder een dak werken, leeft echter de vraag of zij een FG moeten aanstellen. Er worden immers veel bijzondere persoonsgegevens verwerkt en die verwerking is onderdeel van de kernactiviteit: het verlenen van zorg. Maar wanneer worden er nu op grote schaal (bijzondere) persoonsgegevens verwerkt? De AP heeft voor de zorg het begrip grootschalig nader toegelicht, u vindt dat hier. Het komt, samengevat, op het volgende neer:

  1. De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig;
  2. Voor alle overige zorgaanbieders (en ook voor apotheken) geldt, dat zij grootschalig persoonsgegevens verwerken als:
  • De praktijk of instelling meer dan 10.000 patiënten/cliënten heeft ingeschreven of als die gemiddeld meer dan 10.000 patiënten/cliënten per jaar behandelt;
  • En de gegevens van deze patiënten/cliënten in één informatiesysteem staan.

Het criterium van 10.000 is geen definitie, maar een richtlijn. Zorgverleners en zorginstellingen moeten zelf bepalen of zij een FG aanstellen. De verdere criteria die gehanteerd worden zijn: I) het aantal betrokkenen, II) de hoeveelheid persoonsgegevens, III) de duur van de gegevensverwerking, IV) de geografische reikwijdte van de verwerking en V) het risicoprofiel van de verwerking(en).

De bepaling van de grootschaligheid valt dus onder de eigen verantwoordelijkheid van de zorgverleners c.q. zorginstelling. Wordt ervoor gekozen, dat er geen sprake is van grootschalige verwerkingen én dus dat er geen FG wordt aangesteld, is het zaak wel goed op te schrijven wat de overwegingen daartoe zijn en dit vast te leggen.

N.B. De verplichting om een FG aan te stellen, geldt zowel voor verwerkingsverantwoordelijken als voor verwerkers die aan de hierboven genoemde voorwaarden voldoen (het verschil leest u hier).

Misschien is de conclusie, dat een FG niet verplicht is voor de zorginstelling, maar kan het toch voordelen hebben om alsnog wél een FG (of privacy expert) te benoemen, bijvoorbeeld om als instelling te laten zien dat je de bescherming van persoonsgegevens belangrijk vindt en je verantwoordelijkheden inziet en neemt. Maar bijvoorbeeld ook omdat een FG één van de middelen is om binnen de instelling privacycompliance te bevorderen, je bij de FG terecht kan voor advies bij privacy-gerelateerde vraagstukken en je een aanspreekpunt voor de AP hebt. De AP adviseert ook zorginstellingen die niet verplicht zijn een FG aan te stellen, dat wel te doen. In ieder geval gelden de wettelijke vereisten rondom het aanstellen van een FG in beginsel in dat geval niet. Let wel: wordt deze persoon wél FG genoemd, dan gelden de vereisten uit de AVG toch.

Conclusie

Het is voor elke (zorg)organisatie die met persoonsgegevens werkt, van belang om te bepalen of zij verplicht is een FG aan te stellen. Is zij dat niet, dan kan het – gelet op alle geldende vereisten – de voorkeur genieten om toch een FG of privacy expert aan te stellen (let wel op de functietitel gezien de gevolgen op grond van de AVG). Is uw organisatie wel verplicht een FG aan te stellen, dan is het van belang om aan alle vereisten ter zake de positionering en facilitering van die FG te voldoen, opdat de FG zijn of haar taken goed uit kan voeren.

Heeft u meer vragen over het aanstellen, de bevoegdheden en het functioneren van de FG, of anderszins vragen over de AVG en privacy in de zorg, neemt u dan contact op met Astrid Kiewiet.