De Autoriteit Persoonsgegevens (AP) heeft begin april organisaties opgeroepen om hun Functionaris gegevensbescherming (FG) met een nieuw webformulier online aan te melden bij de AP. Via haar website heeft de AP laten weten dat FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, na 25 mei 2018 komen te vervallen.
Voor organisaties die hun FG reeds eerder hebben aangemeld kan dit betekenen zij hun FG opnieuw moeten aanmelden.
De AP geeft als reden voor de verplichte aanmelding via het online webformulier, dat de Algemene verordening gegevensbescherming (AVG) andere eisen stelt aan de aanstellingen en het aanmelden van een FG dan de huidige Wet bescherming persoonsgegevens (Wbp). Gelet hierop heeft de AP van organisaties aanvullende informatie nodig over de FG. Bijvoorbeeld of er sprake is van een verplichte of van een vrijwillige FG. Om de informatie (AVG) compleet te krijgen, moeten alle FG’s worden aangemeld met het daarvoor bestemde online aanmeldingsformulier.
Maar wie dient nu precies een FG aan te stellen?
Onder de AVG kunnen organisaties verplicht zijn een FG aan te stellen. Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. Een organisatie dient onder meer een FG aan te wijzen als zij op grote schaal bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerkt.
Maar hoe bepaalt u of u als zorgaanbieder volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? In de AVG staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van de situatie van uw organisatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:
- het aantal betrokkenen (de mensen van wie u gegevens verwerkt)
- de hoeveelheid gegevens die u verwerkt
- de duur van de gegevensverwerking
- de geografische reikwijdte van de verwerking.
De Europese privacytoezichthouders noemen onder meer een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Individuele artsen daarentegen beschouwen de privacytoezichthouders niet als grootschalige verwerkers van bijzondere persoonsgegevens; zij hoeven geen FG aan te stellen.
Daarnaast geldt voor een zorgaanbieder op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders reeds de verplichting om een FG aan te stellen wanneer zij verantwoordelijk is voor een “elektronisch uitwisselingssysteem”. Hetzelfde geldt voor instellingen als bedoeld in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz) die op grote schaal gegevens verwerken. Deze uit het besluit voortvloeiende verplichting om een FG in te stellen geldt al per 1 januari 2018 en gaat derhalve niet pas vanaf 25 mei 2018 in.
Meer weten over privacy al dan niet in relatie tot de Wmo of de Jeugdwet? Neem dan contact op met Sharinne Ibrahim .
Mei 2018
