De Autoriteit Persoonsgegevens (AP) heeft meer duidelijkheid gegeven over ‘grootschalige gegevensverwerkingen’ in de zorg. De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties die als kerntaak op grote schaal bijzondere persoonsgegevens verwerken, om een Functionaris voor de gegevensbescherming (FG) aan te stellen en voor bepaalde verwerkingen een Data Protection Impact Assessment (DPIA) uit te voeren.

Gezondheidsgegevens kwalificeren als bijzondere persoonsgegevens onder de AVG en organisaties in de zorg verwerken bijna altijd als kerntaak bijzondere persoonsgegevens. Het is voor organisaties in de zorg daarom van belang om te weten of zij persoonsgegevens op grote schaal verwerken.

De AP stelt ten eerste dat er bij ziekenhuizen, zorggroepen, huisartsenposten en apotheken altijd sprake is van grootschalige gegevensverwerking. Dit betekent dus dat deze organisaties verplicht zijn om een FG aan te stellen en om voor diverse verwerkingen een DPIA uit te voeren.

Voor huisartspraktijken en instellingen voor medisch specialistische zorg, geldt dat er sprake is van grootschalige verwerking indien meer dan 10.000 patiënten zijn ingeschreven of meer dan 10.000 patiënten per jaar worden behandeld en de gegevens van deze patiënten in één informatiesysteem staan.

Voor overige zorgaanbieders geeft de AP een viertal factoren aan de hand waarvan zij dienen te beoordelen of zij grootschalig persoonsgegevens verwerken, zij wel of geen FG moet aanstellen en of zij een DPIA moet uitvoeren. Deze factoren zijn:

  • Het aantal patiënten van wie gegevens worden verwerkt;
  • De hoeveelheid persoonsgegevens die worden verwerkt;
  • De duur van de gegevensverwerking; en
  • De geografische reikwijdte van de verwerkingsactiviteit.

De AP heeft aangekondigd dat zij voornemens is om ook voor de overige zorgaanbieders meer duidelijkheid te verschaffen over de vraag wanneer sprake is van een grootschalige gegevensverwerking.