Op 11 december jl. heeft de AP uitleg gegeven over het begrip 'grootschalig' voor alle overige zorgaanbieders, waaronder leden van de VGN. De AP stelt dat er sprake is van grootschalige verwerking van persoonsgegevens als van meer dan 10.000 patiënten gegevens worden verwerkt in één informatiesysteem. Deze interpretatie roept de nodige vragen op. In een brief aan de AP vraagt de VGN samen met ActiZ, GGZ Nederland, NVZ en de NFU, verenigd in BoZ, om duidelijkheid over het begrip grootschalige gegevensverwerking.
BoZ stelt de volgende vragen aan de AP:
* Op welke manier moet de grens van meer dan 10.000 patiënten geïnterpreteerd worden? Is dit een ‘harde grens’?
* Betreft het meer dan 10.000 patiënten op jaarbasis?
* Tellen patiënten die uit zorg zijn mee voor de grens van meer dan 10.000 patiënten? Voor deze patiënten bewaren onze leden het dossier van de cliënt vijftien jaar of zoveel langer als uit de zorg van een goed hulpverlener voortvloeit op grond van art. 7:454 lid 3 van de Wet op de geneeskundige behandelingsovereenkomst (WGBO).
* Patiënten kunnen alleen ingeschreven staan (zonder dat ze zorg of ondersteuning ontvangen) of op een wachtlijst staan. Tellen deze patiënten mee voor de grens van meer dan 10.000 patiënten?
* Zorgaanbieders verwerken niet alleen gegevens van patiënten maar ook van (wettelijk) vertegenwoordigers. Telt de verwerking van persoonsgegevens van (wettelijk) vertegenwoordigers mee voor de grens van meer dan 10.000 patiënten?
* Wat wordt verstaan onder een systeem, is dat enkel het ECD of het gehele softwarepakket?
* Wanneer de verwerking van persoonsgegevens van patiënten verdeeld wordt over twee systemen (met elk 8000 bijvoorbeeld), is er dan sprake van een grootschalige gegevensverwerking? Maakt het hierbij uit of er een koppeling bestaat tussen deze systemen?
* Hoe verhoudt de uitkomst van een DPIA zich tot het al dan niet verplicht aanstellen van een functionaris gegevensbescherming? Uit een DPIA kan de conclusie voortvloeien dat er sprake is van een hoog risico van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen, terwijl er géén sprake hoeft te zijn van een grootschalige gegevensverwerking2.
* Welke factoren dienen zorgaanbieders volgens de AP nog meer in overweging te nemen voor de beslissing van het al dan niet aanstellen van een functionaris gegevensbescherming?
De volledige brief vindt u als bijlage onder dit artikel.
Voor meer informatie of vragen kunt u contact opnemen met mr. L. (Lilly) Wijnbergen, lwijnbergen@vgn.nl.
