Vanaf 25 mei 2018  zijn overheidsinstanties en publieke organisaties verplicht een FG aan te stellen. Dit geldt ook voor zorginstellingen.

De Wet bescherming persoonsgegevens maakt het echter mogelijk om voor een bepaalde sector nadere regels te stellen. Zo is op 1 januari 2018 het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. Dit om uitdrukking te geven aan het grote belang dat gehecht wordt aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.

Op grond van dit besluit is een zorgaanbieder als verantwoordelijke voor een “elektronisch uitwisselingssysteem” verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting  geldt dus al per 1 januari 2018 en niet pas vanaf 25 mei 2018. Hetzelfde geldt voor instellingen als bedoeld in artikel 1 eerste lid Wet kwaliteit, klachten en geschillen zorg die op grote schaal gegevens verwerken. Wat betekent dit nu concreet?

Met een elektronisch uitwisselingssysteem wordt een systeem bedoeld aan de hand waarvan zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar maken. Veel zorgaanbieders beschikken over een dergelijk systeem.

Voor wat betreft het “op grote schaal verwerken van gegevens” door instellingen als bedoeld in artikel 1 eerste lid Wet kwaliteit, klachten en geschillen, geldt dat de artikel 29 werkgroep als voorbeeld voor een grootschalige gegevensverwerking een ziekenhuis heeft genoemd. Als voorbeeld van niet-grootschalige gegevensverwerking noemt de werkgroep gegevensverwerking door een individuele arts.

De inwerkingtreding van het besluit heeft dus tot gevolg dat een groot aantal zorgaanbieders al per 1 januari 2018 verplicht is een FG aan te stellen en dus niet pas per 25 mei 2018. Zorgaanbieders opgelet dus!

Wilt u meer weten over privacy in de zorg? Neemt u dan contact op met Natascha van Duuren.