Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) controleert de Autoriteit Persoonsgegevens (AP) steekproefsgewijs of organisaties aan de verplichtingen uit de AVG voldoen. In dat kader heeft de AP 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd op naleving van de verplichtingen uit de AVG met betrekking tot het aanstellen en registreren van een (verplicht gestelde) functionaris voor de gegevensbescherming (FG). Op 16 augustus 2018 hadden twee van de gecontroleerde ziekenhuizen nog geen FG aangemeld bij de AP. De AP heeft ze vier weken de tijd gegeven alsnog aan deze verplichting te voldoen, op straffe van een mogelijke boete.

Daarnaast zijn organisaties met een FG verplicht om de contactgegevens van de FG ter beschikking te stellen aan betrokkenen zodat een ieder direct contact met de FG kan opnemen (bijvoorbeeld door middel van een specifiek e-mailadres of direct telefoonnummer). Bij bijna 25% van de gecontroleerde organisaties werd aan deze verplichting niet (volledig) voldaan. Zo hadden zeventien ziekenhuizen en twee zorgverzekeraars de contactgegevens niet op hun website vermeld. Bovendien constateerde de AP dat er bij drie ziekenhuizen en één zorgverzekeraar die wél contactgegevens op hun website vermeldden, een direct telefoonnummer of direct emailadres van de FG ontbrak. De AP heeft de organisaties in kwestie verzocht dit te verbeteren.

Op haar website benadrukt de AP dat FG’s binnen organisaties een belangrijke functie vervullen nu zij vanuit een onafhankelijke positie kunnen adviseren over hoe de privacywetgeving moet worden toegepast binnen de organisatie en dat de FG derhalve op gemakkelijke wijze en zonder tussenkomst van anderen benaderd moet kunnen worden.