Nieuws

Begrip 'grootschalig' uitgelegd door de AP

privacy

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat bij een grootschalige verwerking van bijzondere persoonsgegevens zorgaanbieders verplicht zijn een Functionaris Gegevensbescherming (FG) aan te stellen. De AVG laat echter in het midden wat een verwerking ‘op grote schaal’ inhoudt. Eerder heeft de Autoriteit Persoonsgegevens (AP) het begrip 'grootschalig' uitgelegd voor ziekenhuizen, huisartsenposten en zorggroepen. Nu heeft de AP ook uitleg aan het begrip gegeven voor overige zorgaanbieders. Dit betekent voor de leden van de VGN dat zij op grote schaal gegevens verwerken als  zij van meer dan 10.000 cliënten persoonsgegevens verwerken in één informatiesysteem. 

Vrijwillig een FG aanstellen

Wanneer een organisatie niet grootschalig persoonsgegevens verwerkt, kan het nog steeds nuttig zijn om een FG aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

Het volledige bericht van de AP leest u hier

Reactie VGN

De VGN is verheugd dat de AP eindelijk uitleg aan het begrip grootschalige gegevensverwerking heeft gegeven. Hierdoor verdwijnt de onduidelijkheid over het verplicht aanstellen van een FG. 

Update: De VGN heeft naar aanleiding van dit artikel diverse vervolg vragen ontvangen over de uitleg die de AP aan het begrip 'grootschalig' heeft gegeven. Vragen zoals: gaat het om 10.000 cliënten op jaarbasis? Geldt de norm van 10.000 cliënten ook voor cliënten op wachtlijsten/cliënten uit zorg? Is 10.000 cliënten een 'harde' grens? 

De VGN zal deze vragen uitzoeken en zal hierover in gesprek gaan met de AP. Wij zullen u hierover informeren.

Wij adviseren u om de beslissing van het al dan niet aanstellen van een FG niet uitsluitend te concluderen op basis van de invulling die de AP aan het begrip 'grootschalig' heeft gegeven. Er spelen meerdere factoren een rol waardoor u kunt besluiten een FG aan te stellen. Denkt u hierbij aan het feit dat het gaat om bijzondere persoonsgegevens waarbij extra zorgvuldigheid wordt betracht. Bij deze beoordeling dient u de AVG, de UAVG, de richtlijnen voor functionarissen voor gegevensbescherming en de invulling van het begrip 'grootschalig' door de AP, in acht te nemen. 

Voor meer informatie of vragen kunt u contact opnemen met Lilly Wijnbergen, lwijnbergen@vgn.nl.

Deze pagina is een onderdeel van: