Op grond van artikel 37 van de Algemene verordening gegevensbescherming (“AVG”) zijn verschillende organisaties verplicht een functionaris voor gegevensbescherming (“FG”) aan te stellen die binnen de organisatie toezicht houdt op de toepassing en naleving van verplichtingen uit de AVG. Ook zorginstellingen die op grote schaal bijzondere persoonsgegevens verwerken zijn hiertoe verplicht. Maar hoe zit dat voor samenwerkingsverbanden in de zorg? Dient een samenwerkingsverband zélf een FG aan te stellen of dient dit per betrokken organisatie afzonderlijk te gebeuren? Tot slot: hoe dient de FG te worden aangemeld bij de Autoriteit Persoonsgegevens (AP)? Hieronder vindt u een antwoord op deze vragen, zodat uw organisatie die deel uitmaakt van een samenwerkingsverband in lijn handelt met de AVG.
Zorggroepen (de Autoriteit Persoonsgegevens (“AP”) verstaat hieronder een samenwerkingsverband van verschillende zorgaanbieders) behandelen vaak grote hoeveelheden patiënten per jaar en wisselen onderling veel medische informatie uit. Medische informatie is aan te merken als een bijzondere categorie van persoonsgegevens. Volgens de AVG is aanstelling van een FG verplicht als bijzondere categorieën van persoonsgegevens op grote schaal worden verwerkt. De AP hanteert als uitgangspunt dat zorggroepen op grote schaal medische informatie (en dus: een bijzondere categorie persoonsgegevens) verwerken. De aanstelling van een FG voor zorggroepen is dan ook verplicht. Partijen die weliswaar in een samenwerkingsverband betrokken zijn, maar zelf niet of nauwelijks bijzondere persoonsgegevens verwerken en hier ook niets over te zeggen hebben vallen buiten deze verplichting.
Uit artikel 37 AVG blijkt dat het aanstellen van de FG een eigen verplichting is van elke verwerkingsverantwoordelijke en verwerker. Dat betekent dat elke zorginstelling, als verwerkingsverantwoordelijke of verwerker binnen het samenwerkingsverband, in beginsel verplicht is om een eigen FG aan te stellen. Gelukkig bestaat er ook een meer praktische oplossing.
De AP stelt dat binnen een concern met verschillende organisaties gebruik kan worden gemaakt van één FG. Hoewel de AP dat niet met zoveel woorden zegt, menen we dat deze constructie ook voor samenwerkingsverbanden in de zorg geldt. In de praktijk komt dat erop neer dat één organisatie de FG aanmeldt bij de AP (zie hierna “Aanmelden FG”) en in de toelichting aangeeft dat de FG eveneens optreedt voor de overige organisaties die binnen het samenwerkingsverband in de zorg persoonsgegevens verwerken. Uiteraard zullen er bij deze constructie binnen het samenwerkingsverband goede afspraken moeten worden gemaakt over de wijze waarop de FG wordt ingezet.
Zo dient de gezamenlijke FG goed bereikbaar te zijn voor de organisaties binnen het samenwerkingsverband. Om te verzekeren dat de FG goed bereikbaar is, dienen de contactgegevens van de FG breed beschikbaar te zijn, in ieder geval op de website van alle betrokken organisaties. Zowel intern als extern contact met de FG dient direct mogelijk te zijn, telefonisch of via een ander veilig communicatiekanaal. Daarnaast dient de FG daadwerkelijk in staat te zijn om de wettelijke taken van een FG in de praktijk uit te voeren. Aangezien de FG meerdere taken heeft, moeten de organisaties binnen het samenwerkingsverband verzekeren dat één enkele FG, indien nodig bijgestaan door een team, deze taken efficiënt kan uitvoeren ondanks het feit dat hij of zij voor meerdere organisaties is aangesteld. Het is ook belangrijk om binnen het samenwerkingsverband af te spreken aan wie de FG rapporteert. Hier kan per organisatie een aparte contactpersoon voor worden aangesteld of er kan een team worden aangewezen binnen het samenwerkingsverband dat het contact met de FG onderhoudt. Wij adviseren deze afspraken vast te leggen in de samenwerkingsovereenkomst.
Elke aangestelde FG dient geregistreerd te worden bij de AP via haar website. Dit kan via het aanmeld- en wijzigingsformulier FG. Bij de inzet van één gezamenlijke FG voor het samenwerkingsverband in de zorg moet in de toelichting worden vermeld voor welke organisaties de FG optreedt.
Elke organisatie binnen het samenwerkingsverband in de zorg is verplicht om een FG aan te stellen, tenzij de organisatie niet of nauwelijks bijzondere categorieën van persoonsgegevens verwerkt en hier ook niets over te zeggen heeft. Per organisatie kan een afzonderlijke FG worden aangesteld of één gezamenlijke FG voor het gehele samenwerkingsverband. Houd bij het aanstellen van een gezamenlijke FG de voorwaarden van de bereikbaarheid en de praktische uitvoering goed in de gaten en leg de afspraken vast in de samenwerkingsovereenkomst.