Wel of geen Functionaris Gegevensbescherming (FG) voor kleinere zorgaanbieders?

FG huren | Functionaris Gegevensbescherming inhuren

Veel kleinere zorgaanbieders vragen zich af of zij een Functionaris Gegevensbescherming (FG) moeten aanstellen. Er is geen eenduidig antwoord op deze vraag. Het hangt af van de specifieke situatie van de organisatie, zoals de aard, schaal en risico’s van de gegevensverwerking.

De Autoriteit Persoonsgegevens (AP) benadrukt dat ook kleine organisaties een FG moeten overwegen als zij veel bijzondere persoonsgegevens verwerken. Dat geldt dus niet alleen voor grote zorginstellingen, maar ook voor bijvoorbeeld huisartsenposten, fysiotherapiepraktijken of organisaties in de jeugdzorg.

 

Wanneer is een FG verplicht?

Op grond van artikel 37 van de AVG is het aanstellen van een FG verplicht voor:

  • Overheidsinstanties en publieke organisaties. Deze organisaties zijn verplicht een FG aan te stellen, ongeacht het type persoonsgegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten, provincies of zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

 

  • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of hun activiteiten in kaart brengen. Den hierbij aan bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables. Hierbij gaat het onder meer om het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

 

  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvan dit een kernactiviteit is. Voorbeelden van bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras /etniciteit, politieke opvatting of geloofsovertuiging.

 

  • Organisaties die strafrechtelijke persoonsgegevens verwerken.

 

  •  Organisaties met publieke taken: ook particuliere organisaties kunnen hieronder vallen.

 

De Europese Unie erkent dat niet alleen overheden, maar ook particuliere organisaties met een publieke taak onder deze verplichting kunnen vallen. Denk bijvoorbeeld aan:

  • een jeugdhulporganisatie die namens de gemeente ondersteuning biedt;
  • een stichting die zorg levert op basis van een gemeentelijke opdracht;
  • of een zorginstelling die onder een wettelijke regeling werkt, zoals de Wet maatschappelijke ondersteuning (Wmo) of de Jeugdwet.

 

In deze gevallen worden persoonsgegevens verwerkt voor het uitvoeren van een publiekrechtelijke taak. De EU en de AP adviseren dan om een FG aan te stellen, ook als de organisatie formeel niet onder de overheid valt.

Een FG zorgt in dat geval voor onafhankelijk toezicht op de naleving van privacyregels en helpt de organisatie om zorgvuldig met persoonsgegevens om te gaan.

 

Verwerking van bijzondere persoonsgegevens op grote schaal

Onder de AVG zijn medische gegevens en andere gevoelige informatie, zoals gegevens over gezondheid, etniciteit, religie of strafrechtelijk verleden, “bijzondere persoonsgegevens”. Deze mogen alleen worden verwerkt onder strikte voorwaarden. Voor zorgorganisaties is dat vrijwel altijd aan de orde, omdat medische gegevens een kernonderdeel van hun dienstverlening zijn.

 

Wat bedoelt de AP met “grootschalige verwerking”?

De term “grootschalig” is in de AVG niet precies gedefinieerd. Voor de zorgsector heeft de Autoriteit Persoonsgegevens (AP) daarom extra uitleg gegeven.

De AP beschouwt verwerking als grootschalig in de volgende situaties:

  • Ziekenhuizen, huisartsenposten en zorggroepen worden altijd als grootschalig aangemerkt.
  • Andere zorgaanbieders verwerken grootschalig persoonsgegevens als:
    • zij meer dan 10.000 patiënten of cliënten hebben ingeschreven of jaarlijks behandelen, én
    • de gegevens van deze personen in één centraal informatiesysteem worden opgeslagen.

Deze grens van 10.000 is geen harde regel, maar een praktische richtlijn. De AP verwacht dat zorgaanbieders zelf beoordelen of hun verwerkingen grootschalig zijn.

Voorbeeldsituaties

  • Een huisartsenpraktijk met 7.000 patiënten die gegevens in één systeem verwerkt, zal waarschijnlijk niet als grootschalig worden gezien.
  • Een zorggroep met 15.000 cliënten verspreid over meerdere locaties, die in één elektronisch patiëntendossier werkt, valt wél onder grootschalige verwerking.
  • Een praktijk voor psychologische zorg met 3.000 cliënten, maar zeer gevoelige en langdurige dossiers, moet zelf beoordelen of het risicoprofiel reden is om toch een FG aan te stellen.

 

Factoren die meewegen om zelf te beoordelen

De AP noemt een aantal criteria waarmee organisaties kunnen bepalen of ze een FG moeten aanstellen:

  • Het aantal betrokkenen van wie gegevens worden verwerkt;
  • De hoeveelheid en gevoeligheid van de gegevens;
  • De duur van de gegevensverwerking (eenmalig of continu);
  • De geografische reikwijdte van de verwerking;
  • Het risicoprofiel van de verwerkingen (bijvoorbeeld kans op datalekken of misbruik).

 

Ook als de verwerking niet grootschalig is, kan een hoog risicoprofiel toch reden zijn om een FG te benoemen, zeker binnen de zorg en het sociaal domein.

 

Waarom kan het toch verstandig zijn kan om een FG aan te stellen?

Zelfs als de wet het niet verplicht, kan het vrijwillig aanstellen van een FG voordelen opleveren:

  • Het laat zien dat je privacy en gegevensbescherming serieus neemt;
  • De FG helpt bij AVG-compliance en bewustwording binnen de organisatie;
  • Je hebt een aanspreekpunt voor privacyvraagstukken en contact met de AP;
  • Het vergroot het vertrouwen van cliënten, medewerkers en partners.

 

Voor zorgaanbieders, groot én klein, is dit een belangrijk signaal van transparantie en professionaliteit.

 

FG-as-a-Service: praktische hulp voor kleinere zorgaanbieders

Voor veel kleine zorgaanbieders is het lastig om een interne FG aan te nemen. Een moderne oplossing is FG-as-a-service van De Privacy Experts: een externe specialist die dezelfde wettelijke rol vervult, maar flexibel en betaalbaar inzetbaar is.

Met FG-as-a-service van De Privacy Experts profiteer je van:

  • Onafhankelijk toezicht en deskundig advies;
  • Ondersteuning bij vragen over AVG en privacybeleid;
  • Hulp bij datalekken, DPIA’s en interne procedures;
  • Geen vaste loonkosten of langdurige opleidingstrajecten.

 

Zo voldoe je aan je privacyverplichtingen, zonder onnodige administratieve druk en kun je je blijven richten op het verlenen van zorg.

Veelgestelde vragen

Wanneer is een Functionaris Gegevensbescherming (FG) verplicht in de zorg?

Een FG is verplicht voor zorgorganisaties die bijzondere persoonsgegevens op grote schaal verwerken of publieke taken uitvoeren. Denk aan ziekenhuizen, huisartsenposten, zorggroepen en jeugdzorginstellingen die namens de gemeente werken.

Geldt de FG-verplichting ook voor kleinere zorgaanbieders?

Niet altijd. Kleine zorgaanbieders, zoals zelfstandige huisartsen of fysiotherapeuten, vallen vaak buiten de verplichte FG-regel. Toch adviseert de Autoriteit Persoonsgegevens (AP) om wél een FG te overwegen als er structureel gevoelige medische gegevens worden verwerkt.

Wat bedoelt de Autoriteit Persoonsgegevens met ‘grootschalige verwerking’?

De AP ziet verwerking als grootschalig wanneer een organisatie meer dan 10.000 patiënten heeft of jaarlijks behandelt en de gegevens in één informatiesysteem worden opgeslagen. Deze grens is een richtlijn en geen harde regel.

Wat zijn voorbeelden van organisaties met een publieke taak?

Voorbeelden zijn jeugdhulpinstellingen, stichtingen in het sociaal domein, of zorgaanbieders die werken onder de Wmo of Jeugdwet. Zij verwerken persoonsgegevens voor het uitvoeren van een publieke taak en wordt geadviseerd een FG aan te stellen.

Wat zegt de Autoriteit Persoonsgegevens over kleine zorgaanbieders en de FG?

De AP benadrukt dat ook kleine zorgaanbieders vaak gevoelige persoonsgegevens verwerken. Daarom is het verstandig om altijd te beoordelen of een FG wenselijk is, zelfs als het niet wettelijk verplicht is. Documenteer die afweging goed.

Deel dit artikel via:

Gerelateerde artikelen

Menu