Criteria voor grootschalige verwerking in de zorg

Een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt, is op grond van artikel 37 lid 1 sub c AVG verplicht een FG aan te stellen. Omdat zorgverleners per definitie bijzondere persoonsgegevens verwerken, is het voor hen van belang te weten wanneer hun verwerking het label “grootschalig” krijgt opgeplakt. Op 31 mei 2018 heeft de AP hiervoor een richtlijn gepubliceerd.

Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, wordt de grens voor grootschalige verwerking getrokken bij 10.000 patiënten (ingeschreven of jaarlijks behandeld). En dan alleen voor zover deze gegevens zich in één systeem bevinden. Verwerkingen door ziekenhuizen en huisartsenposten zijn volgens de AP altijd grootschalig. Voor de beoordeling van andere zorgverleners geldt de 10.000 grens niet, maar wordt een set van vier criteria gegeven, op basis waarvan de beoordeling moet plaatsvinden:

  • het aantal patiënten van wie gegevens worden verwerkt
  • de hoeveelheid gegevens
  • de duur van de verwerking
  • de geografische reikwijdte van de verwerking

Hoe deze criteria moeten worden toegepast vermeldt de AP nog niet. Beloofd wordt hierop later terug te komen…