Functionaris Gegevensbescherming in de zorg? Ja, al vanaf 1 juli 2017

Publicatiedatum

13 april 2017

Business Unit

DPA Privacy

In mei 2018 wordt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) van kracht en zijn bepaalde organisaties verplicht om een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aan te stellen. Moet uw organisatie een FG aanstellen? Regelmatig kom ik in de privacy praktijk organisaties tegen met deze vraag. In dit artikel leg ik uit dat in ieder geval alle zorginstellingen in Nederland een FG zullen moeten aanstellen.

Functionaris Gegevensbescherming

De functie van een FG is die van een onafhankelijk, intern toezichthouder, die zorgt voor naleving van de privacywetgeving. Hij of zij houdt toezicht op en adviseert over de verwerking van persoonsgegevens binnen de organisatie. De FG is contactpersoon voor betrokkenen m.b.t. verwerking van persoonsgegevens en is de intermediair richting de toezichthouder, de Autoriteit Persoonsgegevens. De FG houdt ook een register van de gegevensverwerkingen bij.

Een FG kan zowel iemand van binnen als van buiten de organisatie zijn. De betrokkenheid van een FG versterkt het vertrouwen van klanten en personeel dat een organisatie op een goede manier met de persoonsgegevens omgaat. De aanwezigheid van een FG zal ook een positieve impuls geven aan het privacy bewustzijn binnen een organisatie waarmee het gevaar van (hoge) boetes als gevolg van het schenden van privacyregels wordt beperkt. De FG is het geweten van het bedrijf met betrekking tot privacy aspecten.

Welke organisaties moeten een FG aanstellen?

Wel of niet een FG is een onderwerp waarover veel onduidelijkheid bestaat. De huidige Nederlandse privacywet, de Wet bescherming persoonsgegevens (Wbp), kent de mogelijkheid om een FG aan te stellen op vrijwillige basis. De AVG verplicht bepaalde soorten bedrijven een FG aan te wijzen. Het gaat daarbij om:

  • Publieke instellingen die persoonlijke data verwerken (behalve gerechtelijke instellingen);
  • Organisaties waarbij systematische monitoring van individuen onderdeel is van de kernactiviteit;
  • Organisaties waarbij verwerking van specifieke datacategorieën (bijzondere persoonsgegevens zoals gezondheidsdata of geloofsovertuiging ) onderdeel is van de kernactiviteit.

Over de eerste categorie bestaat geen misverstand, gemeentes, waterschappen en alles wat een publieke instelling is, moet een FG aanstellen, vanaf het moment dat de AVG van kracht wordt. Maar bij de volgende twee categorieën wordt het vager. Want, ik hoor u denken: “is systematische monitoring of verwerking van specifieke datacategorieën een kernactiviteit van mijn organisatie?”

De AVG kent meerdere van dit soort algemene, min of meer open normen. Deze normen zullen in de komende jaren nader ingevuld moeten gaan worden. Enerzijds zal dit gebeuren door richtlijnen van de toezichthouders, anderzijds door de rechtspraak.

Alle nationale privacy toezichthouders werken samen in een Europese werkgroep die advies verstrekt over hoe bepaalde artikelen geïnterpreteerd moeten worden. In december 2016 heeft deze werkgroep een richtlijn gepubliceerd om de FG bepalingen van de AVG te verduidelijken. Gelukkig is de werkgroep in haar advies erg duidelijk voor wat de zorg betreft. Wanneer de verwerking van persoonsgegevens een onlosmakelijk deel uitmaakt van de kernactiviteit van het bedrijf, stelt ze dat de organisatie een FG moet aanstellen. De werkgroep geeft hierbij expliciet het voorbeeld van een ziekenhuis. De kernactiviteit van een ziekenhuis is het bieden van gezondheidszorg. Echter, een ziekenhuis kan deze gezondheidszorg niet veilig en effectief aanbieden zonder de verwerking van medische gegevens van de patiënt – dit zijn bijzondere persoonsgegevens.

Daarom wordt de verwerking van deze gegevens beschouwd als een van de kernactiviteiten van een ziekenhuis en moet elk ziekenhuis dus een FG aanstellen. Ik zou dit standpunt willen doortrekken naar iedere instelling, die enige vorm van zorg verleent – zorgverlening zonder verwerking van medische gegevens is ondenkbaar. Bovendien is het aanstellen van een FG voor de zorg in Nederland, zoals hierboven al genoemd, in de wet vastgelegd en gaat dit al in op 1 juli 2017.

Per wanneer moet de organisatie een FG aanstellen?

Vanaf het moment dat de AVG van kracht is moet iedere zorginstelling in Europa een FG hebben benoemd. Echter, de situatie in Nederland is nog net iets anders, hier is de deadline voor het aanstellen van een FG voor zorginstellingen niet mei 2018, maar juli 2017. Wat is het geval? Op 4 oktober 2016 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) aangenomen en per 1 juli 2017 treedt deze wet in werking. Tegelijk met deze wet is bepaald dat alle zorginstellingen een FG moeten aanstellen. Hiermee geeft de wetgever uiting aan het grote belang dat ze hecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.

De boodschap voor alle zorginstellingen in Nederland is daarom duidelijk; het aanstellen van een FG is vanaf 1 juli 2017 onontkoombaar.

DPA Privacy is gespecialiseerd in de selectie en bemiddeling van privacy counsels voor interim-opdrachten en privacy advies. De interim privacy counsels zijn in dienst bij DPA, of aan ons verbonden zzp’ers. Neem contact op met Paul Schraven, business line manager DPA Privacy. Hij kan u nadere info verstrekken op telefoonnummer 06 52 30 22 40 of email paul.schraven@dpa.nl.

Delen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

  • *