Wanneer is een Functionaris Gegevensbescherming (FG) verplicht?

Dit is geregeld in artikel 37 van de AVG. Voor zorgorganisaties zijn met name twee specifieke wettelijke gronden relevant om te bepalen of de aanstelling van een FG verplicht is:

Grond 1. Grootschalige verwerking van bijzondere persoonsgegevens

Zorgorganisaties verwerken gezondheidsgegevens, dat een bijzondere categorie persoonsgegevens is (artikel 9 AVG). De FG is verplicht bij 'op grote schaal', gebaseerd op:

het aantal betrokkenen (absoluut of percentage);
het volume van de gegevens;
de duur en geografische omvang.

Grond 2. Regelmatige en stelselmatige observaties

Zorgorganisaties volgen patiënten/cliënten structureel via dossiers en monitoring bij:

gebruik van EPD/ECD-systemen en bijbehorende logdata;
cameratoezicht, domotica en val- of dwaaldetectie;
digitale monitoring en apps voor behandeling en leefstijl.

Wat zegt de Autoriteit Persoonsgegevens (AP)?

De AP hanteert als uitgangspunt dat zorgorganisaties die structureel en op grote schaal gezondheidsgegevens verwerken als kernactiviteit, in beginsel een FG moeten aanstellen. Vanwege de gevoeligheid van deze gegevens is de drempel in de zorgsector relatief snel bereikt.

In de praktijk vallen veel zorgorganisaties ook onder de aanstellingsplicht, vanwege de regelmatige en stelselmatige observatie van patiënten/clienten via EPD/ECD systemen, dossiers en digitale monitoring. Gezien de aard van deze gevoelige gezondheidsgegevens en omvang van de betrokkenen helpt een onafhankelijke FG om AVG-risico's te beheersen en toezicht door de AP correct te borgen.

Praktische vuistregel per type zorgorganisatie

Ziekenhuis / GGZ-instelling / Verpleeghuis

Ja, verplicht

Thuiszorgorganisatie

Ja, in vrijwel alle gevallen

Tandartspraktijk

Doorgaans niet verplicht

Apotheek / Grote groepspraktijk

Twijfelgeval - beoordeling nodig

Huisartsenpraktijk (solo/duo)

Doorgaans niet verplicht

Belangrijk!

Zelfs wanneer een FG formeel niet verplicht is, blijven alle AVG-verplichtingen gewoon van toepassing. Dit betekent onder meer:

een actueel en correct verwerkingsregister;
geldige verwerkersovereenkomstenmet alle verwerkers;
een duidelijk en actueel privacybeleid;
correcte afhandeling van inzage- en verwijderingsverzoeken;
een werkbare procedure voor datalekken;
aandacht voor privacy by design en by default.

Een FG op afstand kan dan alsnog zinvol zijn als professionele ondersteuning, zonder de formele aanstellingsverplichting, maar wél met de voordelen van deskundige begeleiding en onafhankelijk toezicht.

Voor de meeste zorgorganisaties is een FG verplicht of sterk aanbevolen. Bij twijfel is een zorgvuldige beoordeling noodzakelijk - precies waar wij u kunnen ontzorgen.