Zorgaanbieders zijn wettelijk verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen wanneer zij op grote schaal bijzondere persoonsgegevens verwerken. Deze verplichting volgt uit de Algemene Verordening Gegevensbescherming (AVG) en is van toepassing op vrijwel alle zorgaanbieders, gezien de aard en omvang van de gegevensverwerking binnen de zorg.
Wanneer is een FG verplicht?
De Autoriteit Persoonsgegevens (AP) heeft verduidelijkt dat de verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen altijd als grootschalig wordt beschouwd. Voor andere zorgaanbieders geldt dat sprake is van grootschalige verwerking indien:
-
De praktijk of instelling meer dan 10.000 patiënten of cliënten heeft ingeschreven of gemiddeld meer dan 10.000 patiënten of cliënten per jaar behandelt; en
-
De gegevens van deze patiënten in één informatiesysteem (bijvoorbeeld een EPD of ECD) worden verwerkt.
In dergelijke gevallen is het aanstellen van een FG verplicht.
Wettelijke taken van de FG
De FG heeft een onafhankelijke toezichthoudende en adviserende rol binnen de organisatie. Op grond van de AVG heeft de FG de volgende kerntaken:
-
Toezien op naleving van de AVG, interne beleidsregels en bewustwording binnen de organisatie;
-
Adviseren over gegevensbeschermingseffectbeoordelingen (DPIA’s);
-
Informeren en adviseren van bestuur, management en medewerkers over hun verplichtingen;
-
Samenwerken met de Autoriteit Persoonsgegevens en optreden als aanspreekpunt;
-
Rapporteren over risico’s en incidenten met betrekking tot persoonsgegevens.
De FG dient toegang te hebben tot alle relevante processen en beslissingsniveaus en moet zonder belangenverstrengeling kunnen opereren.
Belang van onafhankelijkheid
De AVG vereist dat de FG zijn of haar taken volledig onafhankelijk kan uitvoeren. Dit betekent dat de FG geen belangen mag behartigen die strijdig zijn met de verantwoordelijkheden van de functie. In kleinere zorgorganisaties leidt dit vaak tot spanning, omdat medewerkers meerdere rollen combineren of onvoldoende afstand tot de besluitvorming kunnen bewaren.
Externe invulling als praktische oplossing
Voor veel zorgaanbieders is het daarom logisch om de FG-functie extern te beleggen. Een externe FG biedt:
-
Objectiviteit en onafhankelijkheid;
-
Expertise op het gebied van gegevensbescherming in de zorg;
-
Continuïteit, ook bij ziekte of verloop;
-
Toegang tot actuele kennis van wetgeving, jurisprudentie en toezichtbeleid.
Door de inzet van een externe FG voldoet de organisatie niet alleen aan de wettelijke verplichting, maar wordt gegevensbescherming ook zichtbaar professioneel geborgd.
abaud als externe FG voor de zorg
abaud levert ervaren functionarissen gegevensbescherming die vertrouwd zijn met de zorgsector. Wij combineren hierbij juridische kennis met praktisch inzichten.
Wil je weten of jouw organisatie voldoet aan de AVG-verplichting rondom de FG? Neem contact op met Maud de Wildt voor een vrijblijvend gesprek.
