Privacywet is verduidelijkt: Bij minder dan 10.000 patiënten FG niet verplicht

 
Privacywet is verduidelijkt: Bij minder dan 10.000 patiënten FG niet verplicht
De Autoriteit Persoonsgegevens (AP), die toeziet op naleving van de privacywet AVG, heeft een nadere uitleg gegeven van ‘grootschalige gegevensverwerking’. Daarmee krijgen huisartsenpraktijken eindelijk antwoord op de vraag of zij wel of niet verplicht zijn een Functionaris Gegevensbescherming (FG) aan te stellen. De AP legt de grens bij 10.000 patiënten ingeschreven op naam.

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG nodig is en moet in bepaalde gevallen een DPIA worden gedaan. De AP schrijft op haar website dat een huisartsenpraktijk wordt gezien als grootschalige gegevensverwerker als:

  • die praktijk meer dan 10.000 patiënten heeft ingeschreven;
  • én de gegevens van deze patiënten in één informatiesysteem (HIS) staan.

Die laatste toevoeging is belangrijk. Het gaat dus om 10.000 op naam van één praktijk(houder) ingeschreven patiënten die in één HIS staan. Voorbeeld: een HOED met één HIS met in totaal meer dan 10.000 patiënten is dus niet verplicht een FG aan te stellen als de patiënten op naam van de verschillende praktijkhouders (verwerkingsverantwoordelijken) staan ingeschreven en iedere praktijkhouder daardoor minder dan 10.000 patiënten heeft.

Huisartsenposten en zorggroepen zijn altijd grootschalige gegevensverwerkers. Zij zijn dus altijd verplicht een FG aan te stellen.

Onduidelijkheid over apotheekhoudend huisartsenpraktijken

De AP is van mening dat apotheken ook gezien moeten worden als grootschalige gegevensverwerkers. De LHV heeft de AP gevraagd om duidelijkheid te geven over apotheekhoudend huisartsen. Wij willen weten of deze groep huisartsen onder de norm valt voor huisartsenpraktijken of voor apothekers. Daarop hebben we nog geen antwoord gekregen.

Meer over de Functionaris Gegevensbescherming en andere vereisten vanuit de AVG, vindt u in het dossier Privacywet AVG.