AP: 'Benoeming functionaris gegevensbescherming in zorg op orde'

Ziekenhuizen en zorgverzekeraars blijken stappen te hebben gezet met de benoeming van een functionaris gegevensbescherming (FG), een verplichting die hen is opgelegd vanuit de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) meldt dat alle gecontroleerde ziekenhuizen en zorgverzekeraars hebben een FG hebben aangesteld.

Een FG levert vanuit een onafhankelijke positie advies over de toepassing van privacywetgeving op een organisatie. Hiermee vervullen de FG's bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en de privacywetgeving na te leven.

Steekproefsgewijze controle

De AP controleert steekproefgewijs of organisaties voldoen aan de verplichtingen van de AVG. Zo werden eerder overheidsorganisaties gecontroleerd op FG's en werd een steekproef uitgevoerd bij private organisaties om te controleren of zij een register voor verwerkingsactiviteiten bijhouden. Nu is ook een controle uitgevoerd in de zorgsector; in totaal werden 91 ziekenhuizen en 33 zorgverzekeraars door de toezichthouder gecontroleerd op het benoemen van een FG.

Daarnaast moeten privacy-issues snel en in vertrouwen kunnen worden gemeld bij de FG. Hiervoor is het noodzakelijk dat iedereen rechtstreeks contact kan opnemen met de FG, zonder tussenkomst van andere personen. Bij de eerste controle van de AP liet dit bij bijna 25% van de organisaties nog te wensen over. Zo trof de toezichthouder van 17 ziekenhuizen en twee zorgverzekeraars geen contactgegevens van de FG aan op de website. Dit terwijl het verplicht is een direct telefoonnummer of e-mailadres van de FG te vermelden. Het is echter niet noodzakelijk de naam van de FG te vermelden. Bij organisaties die wel contactgegevens van hun FG op hun website vermelden, vond de AP bij de initiële controle bij drie ziekenhuizen en een zorgverzekeraar geen direct e-mailadres of doorkiesnummer.