Waar kunnen we u mee helpen?

    Artikel

    Steekproefonderzoek AP naar FG verplichting in zorgsector biedt beperkt inzicht

    Onlangs heeft de Autoriteit Persoonsgegevens (AP) steekproefsgewijs een onderzoek verricht onder bijna 100 ziekenhuizen en meer dan 30 zorgverzekeraars. De focus lag daarbij op de vraag of zij voldoen aan hun verplichting om een Functionaris voor de Gegevensbescherming (FG) te hebben. Sommige zorginstellingen bleken de contactgegevens van de FG onvoldoende vindbaar te hebben gemaakt op hun website, en een enkel ziekenhuis had nog geen FG aangesteld. Het is nu wachten op een vervolgonderzoek van de AP naar de kwaliteit van de aangestelde FG's, waaruit de zorgsector ook lessen kan trekken.

    FG in de zorgsector 

    Dat de FG verplichting in de zorgsector volop de aandacht van de AP heeft, is al eerder gebleken. In mei dit jaar heeft de AP criteria gepubliceerd wanneer zorginstellingen aan de FG verplichting moeten voldoen. Deze richtsnoeren hebben – zij het in beperkte mate – enige verduidelijking gebracht in de drempels die bepalen wanneer het verplicht is om een FG  aan te stellen. 

    Met het steekproefsgewijze onderzoek  is nu ook inzicht verkregen in hoe het momenteel staat met het vervullen van de FG verplichting als zodanig in de zorgsector. Uit het bericht van de AP volgt niet of zij in haar onderzoek ook heeft gekeken naar de wijze waarop daadwerkelijk invulling aan de FG plicht is gegeven. Dat is jammer, omdat juist dit het probleempunt blijkt in praktijk aangezien het nog knap lastig kan zijn om een geschikte kandidaat voor de FG functie te vinden. Het feit dat de meeste zorginstellingen uit het onderzoek voldaan blijken te hebben aan hun FG verplichting, is op zichzelf een minder bijzonder onderzoeksresultaat. Op basis van het Besluit elektronische gegevensverwerking door zorgaanbieders gold voor veel van hen immers al langer de FG verplichting, vooruitlopend op de AVG. 

    Aanspreekpunt

    Het belang van het aanstellen van een goede kandidaat als FG moet niet worden onderschat. Gelet op de diversiteit van zijn taken, moet het gaan om een onafhankelijke en multidisciplinaire figuur. De FG zal zowel kennis moeten hebben van het privacyrecht als zorg-specifieke regelgeving, en ook van de zorgsector zelf. Vanwege de gevoelige aard van de gegevensverwerkingen in de zorg zal van een FG in deze sector tevens een hoge mate van technische deskundigheid mogen worden verwacht ter bescherming van de patiënten en hun medische gegevens die worden verwerkt. Geen eenvoudig taak waar lichtzinnig over mag worden gedacht, zeker ook gelet op het feit dat de regelgeving op het gebied van de zorg uiteenlopend en voortdurend in ontwikkeling is.

    Contactgegevens

    Voor zowel de betrokkenen als de AP is de FG een belangrijk aanspreekpunt binnen de zorginstelling. Bij vragen over de gegevensverwerking of binnengekomen klachten, zal de AP contact opnemen met de FG. Opdat de FG ook echt toegankelijk is, zullen diens contactgegevens goed kenbaar gemaakt moeten worden. Hierbij volstaat het publiceren van een direct telefoonnummer of e-mailadres waarop de FG te bereiken is. Dit laatste mag een fg@bedrijf.com-adres zijn. De naam van de FG zelf hoeft niet te worden vermeld. Tevens vereist de AP dat de contactgegevens direct zichtbaar zijn op de website van de zorginstelling en zorgverzekeraar. Dat lijkt ons een vanzelfsprekendheid, maar het is goed dat de AP dit onderstreept. 

    Wat te doen?

    Nu is het alleen nog wachten op een echt onderzoek naar de kwaliteit van de aangestelde FG's zelf. Voordat het zover is, raden wij zorginstellingen aan om hun FG's tegen het licht van de AVG-eisen te houden en hen waar nodig de van bijscholing te voorzien. 

    Meer informatie?

    Heeft u vragen over privacy in de zorg? Neem dan contact op met het Privacy Team via Elisabeth Thole en Özer Zivali.