De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties zijn onder meer verplicht een functionaris voor de gegevensbescherming aan te stellen en moeten in bepaalde gevallen een zogenaamde DPIA doen. Maar hoe zit dit nu voor uw eigen zorginstelling?

In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. Maar verwerkt uw organisatie deze gegevens ook op grote schaal?

De AP maakte al eerder bekend dat de verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen altijd grootschalig is, ongeacht het aantal patiënten. Voor alle overige zorgaanbieders heeft de AP op 11 december jl. op haar website verduidelijkt dat de verwerking ook als grootschalig wordt beschouwd als:

• een praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als een organisatie gemiddeld meer dan 10.000 patiënten per jaar behandelt;
• én de gegevens van deze patiënten in één informatiesysteem staan.

De definitie grootschaligheid is daarmee voor (vrijwel) hele zorgsector gelijk. Daarnaast heeft de AP in het verlengde hiervan tevens haar eerdere standpunt ten aanzien van de gegevensverwerking door apothekers genuanceerd. Zo geeft de AP aan dat wanneer er minder dan 10.000 betrokkenen in het systeem van een apotheek zijn ingeschreven, de AP dat – net als bij andere zorgaanbieders – niet ziet als grootschalig.

Meer informatie?
Heeft u vragen over dit onderwerp? Wilt u meer informatie? Neem dan contact op met Sharinne Ibrahim of een van de andere advocaten van Team Privacy. Zij zijn u graag van dienst.

December, 2018