AP verklaart grootschalige verwerking persoonsgegevens nader
Op 27 september 2018 publiceerden we een artikel over de grootschalige verwerking van persoonsgegevens in de zorg. Ondertussen zijn er nieuwe inzichten.
In 2018 heeft de Autoriteit Persoonsgegevens (AP) een uitspraak gedaan over wat een grootschalige verwerking in de zorgsector is. Eén en ander op aandringen van de huisartsen. Dat leidde tot onduidelijkheid. Een soortgelijk verzoek is later ook door BoZ bij de AP ingediend. ‘Wat is grootschalig?‘ De AP heeft ook daarop gereageerd. Deze reactie komt overeen met wat de AP al eerder had aangegeven. Maar ook die reactie leidde tot aanvullende vragen. In dit laatste geval waren dat vragen van een Functionaris voor de Gegevensbescherming (FG). Er is op dit moment helaas nog steeds geen duidelijkheid.
Bescherming persoonsgegevens: ethische kwestie
Hoe moet je deze reacties van de AP nu lezen? De AVG-consultants binnen Intrakoop leggen je dat graag uit. Zij zijn hier immers in gespecialiseerd.
Ten eerste, bescherming van persoonsgegevens is een ethisch vraagstuk. De reacties van de AP hebben geen juridische betekenis, zij zijn alleen een uitleg hoe de basisprincipes, die aan de AVG ten grondslag liggen, toegepast kunnen worden. Om dit goed toe te passen is dan ook een privacy professional nodig.
Ten tweede, er wordt gesproken over 10.000 dossiers. Dat aantal is slechts een indicatie waarop het zou kunnen uitkomen. In sommige situaties is dat lager, in andere situaties hoger. Het moet in elk geval onderbouwd zijn. Dat beoordelen vraagt om de specifieke deskundigheid van een privacy professional.
Voer een DPIA uit
Ten derde, de AP stuurt in zijn reacties op beide vragen aan op het uitvoeren van een Data Privacy Impact Assessment (DPIA). In de AVG is deze verplicht en deze had iedere organisatie al moeten uitvoeren bij de inwerkingtreding van de AVG in 2018. Zonder deze DPIA is het niet te bepalen of er daadwerkelijk sprake is van een grootschalige verwerking. Bovendien is dat niet eenmalig vast te stellen, het is een steeds veranderend getal. Mede door technologische- en maatschappelijke ontwikkelingen vindt de DPIA periodiek plaats. Wat nu niet grootschalig is, kan het straks wel zijn, of andersom.
Ten vierde, los van deze reacties heeft de AP zich ook uitgesproken over de wenselijkheid van gegevensverwerking in de zorg met een hoog risico. Deze moeten bij de AP worden gemeld en daar worden getoetst. De DPIA geeft niet alleen zicht op de omvang van de verwerking, maar ook over de mate van risico. Ook dat vraagt om specifieke deskundigheid.
Vrijwillig een FG benoemen kan zeker geen kwaad
Tot slot, in beide reacties roept de AP zorgaanbieders op om hoe dan ook vrijwillig over te gaan tot het benoemen van een FG. Immers, alle organisaties en zelfstandigen, ook in de zorgsector, moeten hoe dan ook voldoen aan de AVG. Binnen de zorg is dat een complexe taak, waardoor er eerder en meer fouten worden gemaakt. Een FG biedt dan uitkomst.
Kortom, het is geen kwestie van het aantal patiënten/cliënten of dossiers tellen. Er komt heel wat meer bij kijken. De AVG-consultants van Intrakoop staan daarom voor je klaar.