Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Organisaties die vanuit kernactiviteit op grote schaal individuen volgen of in kaart brengen zijn daartoe ook verplicht. Organisaties zijn verder verplicht een FG te benoemen als ze op ‘grote schaal’ bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

De AP heeft nu het begrip ‘grootschaligheid’ verduidelijkt voor alle zorgaanbieders, zo blijkt uit een nieuwsbericht van de AP van 11 december 2018.

De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert AP altijd als grootschalig. Voor alle overige zorgaanbieders beschouwt de AP een verwerking als grootschalig als die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt én de gegevens van deze patiënten in één informatiesysteem staan.

Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Maar als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als andere zorgaanbieders – toch weer niet als grootschalig. De AP nuanceert hiermee haar eerdere standpunt over apothekers na afstemming met de KNMP, de brancheorganisatie voor apothekers.

Toch adviseert de AP ook zorgaanbieders die niet grootschalig verwerken om een FG aan te stellen of voor een beperkt aantal uren.

Wij zullen u daar graag mee helpen.

Bob Cordemeyer