AP trekt (arbitraire) grens voor FG en DPIA in de zorg

01-06-2018

De Autoriteit Persoonsgegevens (AP) heeft voor een aantal categorieën zorgaanbieders verduidelijkt wat moet worden verstaan onder ‘grootschalige verwerking’ van bijzondere persoonsgegevens, in de zin van de Algemene verordening gegevensbescherming (AVG; van toepassing met ingang van 25 mei 2018). Belangrijk nieuws, want als sprake is van grootschalige verwerking, is een functionaris voor de gegevensbescherming (FG) verplicht en dient in bepaalde gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd.

 

Achtergrond: grijs gebied tussen individuele arts en ziekenhuis

In de AVG is bepaald dat een FG en DPIA verplicht zijn bij grootschalige verwerking van bijzondere persoonsgegevens (zoals gezondheidsgegevens). Duidelijk was dat de verwerking van persoonsgegevens van patiënten door een individuele arts of andere solistisch werkzame zorgprofessional niet en door een ziekenhuis wel grootschalig is. Het grote grijze gebied daartussen leidde tot vele vragen (ook in de Tweede Kamer), met de behoefte aan duidelijker richtlijnen. De AP geeft daar nu deels invulling aan, op de volgende wijze:

 

Ziekenhuizen, zorggroepen, huisartsenposten en apotheken

Het eerste uitgangspunt dat de AP hanteert is dat de verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende apotheker) altijd een grootschalige verwerking betreft. Deze partijen dienen derhalve een FG aan te stellen.

 

Huisartsen en medisch specialistische zorg

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, hanteert de AP als uitgangspunt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt, én;
  • de gegevens van deze patiënten in één informatiesysteem staan.

 

Overige zorgaanbieders

Voor andere zorgaanbieders geldt het criterium van 10.000 patiënten niet. Deze organisaties moeten nog steeds aan de hand van vier factoren zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij verplicht zijn een FG aan te stellen en (onder omstandigheden) een DPIA te doen.

 

Deze factoren zijn:

  • het aantal betrokkenen (het aantal patiënten over wie gegevens worden verwerkt);
  • de hoeveelheid persoonsgegevens die worden verwerkt;
  • de duur van de gegevensverwerking (in de zorg doorgaans vijftien jaar);
  • de geografische reikwijdte van de verwerking.

 

De AP heeft in haar bericht aangekondigd op korte termijn ook voor andere zorgaanbieders nadere duiding te geven.

 

Motivering?

De AP licht in haar bericht niet toe hoe zij tot de door haar geformuleerde uitgangspunten is gekomen. Dat het wenselijk is om kaders te scheppen onderschrijven wij, maar het is onbevredigend dat door de AP geen inzicht wordt gegeven waarom de lat thans op 10.000 patiënten/betrokkenen is komen te liggen.

 

Eerder hebben wij aangegeven dat het door de WP29 (het advies -en overlegorgaan van Europese privacytoezichthouders) geschetste spectrum (van solistisch werkzaam arts enerzijds en het ziekenhuis anderzijds) veel ruimte laat. Een gemiddelde huisarts verwerkt in 2018 bijvoorbeeld continue de gegevens van gemiddeld 2095 patiënten. Een ziekenhuis verwerkt in de regel gegevens van ruim meer dan 100.000 patiënten. Dat is een substantieel verschil.

 

Met de AP zijn wij van mening dat met name het aantal betrokkenen het onderscheidende element is van de eerder genoemde vier factoren. Gelet op het enorme verschil in aantal betrokkenen tussen een ziekenhuis enerzijds en een solistisch werkzaam zorgverlener anderzijds, kan de door de AP gekozen norm van 10.000 patiënten/betrokkenen –zonder nadere toelichting- echter niet goed worden verklaard. De verhouding lijkt zoek en de getrokken grens arbitrair. Wij vragen ons sterk af of de interpretatie van de AP houdbaar is.

 

Gelet op de eerder in de Tweede Kamer aangenomen motie waarin de regering is verzocht te bevorderen dat kleinere instellingen en bedrijven worden ontzien en het in artikel 2a van de UAVG opgenomen uitgangspunt dat de AP bij de toepassing van de AVG de specifieke behoeften van kleine, middelgrote en micro-ondernemingen (voor ‘kleine, middelgrote en micro-ondernemingen’ geldt een begrenzing van 250 werknemers, een jaaromzet van 50 miljoen euro of een balanstotaal van 43 miljoen euro) in aanmerking dient te nemen, had het bovendien logisch geweest om de lat aanzienlijk hoger te leggen dan bij 10.000 patiënten/betrokkenen.

 

Vragen?

Neem contact op met Niels van den Burg of Erik Luijendijk.