Reactie AP uitleg begrip grootschalige gegevensverwerking
Onlangs heeft de VGN samen met ActiZ, GGZ Nederland, NFU en de NVZ, verenigd in BoZ, de Autoriteit Persoonsgegevens (AP) om duidelijkheid gevraagd over het begrip 'grootschalige gegevensverwerking'. De uitleg van het begrip is o.a. van belang om te beoordelen of u als zorgorganisatie verplicht bent om een functionaris voor de gegevensbescherming (FG) aan te stellen. De AP heeft inmiddels gereageerd.
Kleinere instellingen ontzien
Uitgangspunt in de interpretatie van de AP is de omvang van de zorginstelling. Dit tegen de achtergrond van de wens van de Tweede Kamer om kleinere instellingen te ontzien van de verplichting om een FG aan te stellen. De AP is daarbij redelijkerwijs uitgegaan van een grens van 10.000 patiënten die bij een zorginstelling zijn ingeschreven of door een zorginstelling jaarlijks worden behandeld. Overstijgt het aantal - ingeschreven of jaarlijks behandelde - patiënten bij een zorginstelling de grens van 10.000, dan beschouwt de AP dat als een grote zorginstelling.
Wachtlijsten, cliënten uit-zorg en wettelijk vertegenwoordigers
De AP geeft aan dat patiënten die op een wachtlijst staan, patiënten die 'uit-zorg' zijn en wettelijk vertegenwoordigers niet meegerekend worden bij de grens van 10.000 patiënten. Zouden deze gegevens ook meetellen, dan zouden ook kleinere instellingen al gauw onder de FG verplichting vallen en dat was niet de bedoeling van de Tweede Kamer, aldus de AP.
Eigen verantwoordelijkheid
De AP benadrukt dat het gaat om een interpretatie. Als toezichthouder kan de AP geen wetgeving opstellen die dwingend voorschrijft in welke gevallen het aanwijzen van een FG verplicht is. Het is en blijft de verantwoordelijkheid van de verwerkingsverantwoordelijken en verwerkers zelf om, met inachtneming van het juridisch kader en op basis van de aanwezige risico's van de verwerking, te beoordelen of zij verplicht zijn om een FG aan te stellen. Ook benadrukt de AP de voordelen van het vrijwillig aanstellen van een FG.
De AP is momenteel bezig om de eerdere nieuwsberichten (van 31 mei en 11 december jl.) nader toe telichten door middel van FAQ's op haar website. De verwachting is dat deze in het voorjaar online te raadplegen zijn op de website van de AP.
De volledige brief vindt u als bijlage onder dit artikel.
Achtergrond
Op 11 december jl. heeft de AP uitleg gegeven over het begrip 'grootschalig' voor alle overige zorgaanbieders, waaronder leden van de VGN. De AP stelt dat er sprake is van grootschalige verwerking van persoonsgegevens als van meer dan 10.000 patiënten gegevens worden verwerkt in één informatiesysteem. Deze interpretatie riep de nodige vragen op. De brief van BoZ aan de AP vindt u hier.
Voor meer informatie of vragen kunt u contact opnemen met mr. L. (Lilly) Wijnbergen, lwijnbergen@vgn.nl.