Home AP trekt de grens van 10.000 patiënten voor ‘grootschalige verwerkingen’ door naar andere zorgsectoren

KBS

14.12.2018

AP trekt de grens van 10.000 patiënten voor ‘grootschalige verwerkingen’ door naar andere zorgsectoren

Eerder dit jaar had de Autoriteit Persoonsgegevens (AP) voor een aantal categorieën zorgaanbieders al verduidelijkt wat moet worden verstaan onder ‘grootschalige verwerking’ van bijzondere persoonsgegevens, in de zin van de AVG. De AP maakte bekend dat de verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen volgens de AP altijd grootschalig is, ongeacht het aantal patiënten. Voor huisartsen en medische specialistische zorg trok de AP de grens bij 10.000 patiënten. Voor andere zorgaanbieders was echter nog niet duidelijk wat voor hen onder grootschalige verwerking dient te worden verstaan.

De AP bericht nu dat voor alle zorgaanbieders anders dan ziekenhuizen, huisartsenposten en zorggroepen (en dus niet alleen meer voor huisartsen en medisch specialistische zorg) de grens eveneens bij 10.000 patiënten ligt. Een verwerking kwalificeert voor deze categorieën zorgaanbieders dus als grootschalig indien:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  • én de gegevens van deze patiënten in één informatiesysteem staan.

Verder maakt de AP de nuancering dat verwerkingen van persoonsgegevens door apothekers al gauw als grootschalig worden beschouwd, omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Volgens de AP zou het dus goed zijn als apotheken een FG hebben. Niettemin, als er minder dan 10.000 betrokkenen in het systeem van een apotheek zijn ingeschreven, is –net als bij andere zorgaanbieders- geen sprake is van grootschaligheid.

Het is voor zorgaanbieders van belang om te weten of zij in de categorie ‘grootschalig’ vallen of niet. Als daarvan namelijk sprake is, is een functionaris voor de gegevensbescherming (FG) verplicht en dient in bepaalde gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd.

Mijn kantoorgenoot Niels van den Burg heeft al eerder een kritische noot geplaatst bij de grens van 10.000 patiënten. De AP licht namelijk niet toe, ook nu niet, waarom de grens bij 10.000 patiënten wordt getrokken. De grens blijft dan ook arbitrair.

Nieuws & kennis

Ook interessant?

  • Mondelinge overdracht van persoonsgegevens kan ook verwerking zijn in de zin van de AVG

  • Gegevensuitvraag NZa zorgvraagtypering Ggz (voorlopig) niet in strijd met hoger recht

  • Hof van Justitie EU beantwoordt prejudiciële vragen over verstrekking medisch dossier

    • Nieuwsbrief

    Altijd up to date?

    Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!

    Scroll naar boven