Per 1 januari 2018 moeten bepaalde zorginstellingen een FG hebben
Op 28 november 2017 is het Besluit elektronische gegevensverwerking door zorgaanbieders (verder: het Besluit) gepubliceerd in de Staatscourant. Het Besluit verplicht bepaalde zorgaanbieders met ingang van 1 januari 2018 om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. De Nederlandse wetgever loopt hiermee vooruit op de komst van de Algemene Verordening Gegevensbescherming (AVG).
Voor wie geldt de verplichting een FG aan te stellen?
De verplichting om een FG aan te stellen rust ingevolge artikel 2 lid 1 van het Besluit op de verantwoordelijke voor een elektronisch uitwisselingssysteem. Een elektronisch uitwisselingssysteem is een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier. Het gaat hier dus niet alleen om zorgaanbieders, maar ook om derden die dergelijke elektronische uitwisselingssystemen faciliteren.
Daarnaast rust deze verplichting op een instelling als bedoeld in artikel 1, eerste lid, van de Wet kwaliteit, klachten en geschillen zorg die op grote schaal gegevens verwerkt. Een instelling’ in de zin van de Wet kwaliteit, klachten en geschillen zorg is (a) een rechtspersoon die bedrijfsmatig zorg verleent, of (b) een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen of (c) een natuurlijke persoon die bedrijfsmatig zorg doet verlenen.
Op grote schaal?
In de toelichting bij het Besluit wordt voor een uitleg wat moet worden verstaan onder “op grote schaal” verwezen naar de AVG. In de AVG wordt “grootschalige gegevensverwerking” genoemd als criterium voor het aanstellen van een FG. De artikel 29 werkgroep (het advies -en overlegorgaan van Europese privacytoezichthouders) heeft in haar richtlijn van 13 december 2016 als voorbeeld voor grootschalige gegevensverwerking een ziekenhuis genoemd. En als voorbeeld voor niet-grootschalige gegevensverwerking, een individuele arts.
De reikwijdte van het Besluit is door de wetgever gelet op het voorgaande beperkt tot instellingen in de zin van de Wkkgz. Solistisch werkende zorgverleners vallen niet onder deze definitie. In beginsel geldt voor alle overige zorgaanbieders dus dat zij te maken krijgen met de vervroegde verplichtstelling van de FG per 1 januari 2018 als sprake is van een “grootschalige verwerking van persoonsgegevens”.
Klik hier voor het Besluit.
