Filters

Functionaris voor de Gegevensbescherming

Mondzorgpraktijken zijn in bepaalde situaties verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de praktijk toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Wanneer is een mondzorgpraktijk verplicht een FG aan te stellen? En wat houdt deze functie in? En wie kan er als FG aangesteld worden? Op deze pagina staan adviezen en mogelijkheden voor het aanstellen van een FG.

Wanneer is het aanstellen van een Functionaris voor de gegevensbescherming verplicht

Volgens de AVG is het aanstellen van een Functionaris voor de gegevensbescherming verplicht als op grote schaal bijzondere persoonsgegevens worden verwerkt.

Bijzondere persoonsgegevens zijn bijvoorbeeld gezondheidsgegevens.

De Autoriteit Persoonsgegevens (AP) heeft dit verduidelijkt, en aangegeven dat bij mondzorgpraktijken een verwerking grootschalig is als:

  1. die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  2. én de gegevens van deze patiënten in één informatiesysteem staan.

Als aan deze 2 voorwaarden is voldaan, is de mondzorgpraktijk verplicht een Functionaris voor de gegevensbescherming aan te stellen. Ook betekent dit dat de mondzorgpraktijk in bepaalde gevallen een Data Protection Impact Assesment (DPIA) moet uitvoeren.

De verwerking van persoonsgegevens van patiënten door een individuele tandarts, wordt overigens niet als grootschalig beschouwd.

Zelf bepalen of grootschalige verwerking van persoonsgegevens geldt: leg overwegingen vast

De daadwerkelijke bepaling of de mondzorgpraktijk grootschalig persoonsgegevens verwerkt, valt onder de eigen verantwoordelijkheid van de mondzorgpraktijk. Als de mondzorgpraktijk van mening is  dat de verwerking niet grootschalig is en ervoor kiest om geen Functionaris voor de gegevensbescherming aan te stellen, dan is het zaak om goed vast te leggen wat de overwegingen zijn. De Autoriteit Persoonsgegevens kan hier namelijk naar vragen.

Ook als een mondzorgpraktijk niet grootschalig persoonsgegevens verwerkt, kan het nuttig zijn om een Functionaris voor de gegevensbescherming aan te stellen. Een Functionaris voor de gegevensbescherming kan de mondzorgpraktijk van advies voorzien en aanspreekpunt zijn voor patiënten en de praktijk ondersteunen bij vragen over informatiebeveiliging en privacy.

Wat houdt de functie van Functionaris voor de gegevensbescherming in

De Functionaris voor de gegevensbescherming:

  • houdt binnen de mondzorgpraktijk toezicht op en adviseert over hoe zorgvuldig wordt omgegaan met de persoonsgegevens van patiënten en medewerkers;
  • is een interne toezichthouder;
  • is het aanspreekpunt voor patiënten van uw praktijk bij vragen over privacy en informatiebeveiliging;
  • is het aanspreekpunt van de Autoriteit Persoonsgegevens bij vragen en/of datalekken.

De Functionaris voor de gegevensbescherming is nooit eindverantwoordelijk voor de naleving van de AVG, dat blijft de mondzorgpraktijk als verwerkingsverantwoordelijke.

Positie van de FG

Om ervoor te zorgen dat de Functionaris voor de gegevensbescherming betrokken wordt bij beslissingen of zaken die verband houden met de bescherming van persoonsgegevens, is het belangrijk dat:

  • de Functionaris voor de gegevensbescherming op tijd en adequaat wordt betrokken. Bijvoorbeeld doordat de Functionaris voor de gegevensbescherming meteen wordt geraadpleegd als zich een datalek of een ander beveiligingsincident voordoet;
  • de Functionaris voor de gegevensbescherming ondersteund wordt in de uitvoering van zijn taken. Denk hierbij aan actieve steun vanuit de praktijkeigenaar (als verwerkingsverantwoordelijke), voldoende tijd om de taken uit te voeren, voldoende praktische ondersteuning en scholing;
  • de Functionaris voor de gegevensbescherming onafhankelijk zijn rol kan vervullen. Dit kan gewaarborgd worden door ervoor te zorgen dat de Functionaris voor de gegevensbescherming geen instructies krijgt over hoe hij zijn taken als Functionaris voor de gegevensbescherming uit moet voeren, en dat er ook geen belangenverstrengeling is tussen de FG-taken en de eventuele andere taken of functies van de FG. Ook mag de mondzorgpraktijk de Functionaris voor de gegevensbescherming niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn FG-taken;
  • patiënten en medewerkers moeten contact op kunnen nemen met de FG;
  • de Functionaris voor de gegevensbescherming gehouden is tot geheimhouding, en;
  • de Functionaris voor de gegevensbescherming mag geen conflicterende belangen hebben.

Taken van de FG

De Functionaris voor de gegevensbescherming heeft een aantal taken:

  • informeert en adviseert de mondzorgpraktijk over de verplichtingen op grond van de AVG.
  • ziet toe op de naleving van de AVG binnen de organisatie.
  • rapporteert aan de verwerkingsverantwoordelijke over de uitvoering van zijn taken.
  • adviseert op uw verzoek over een DPIA en ziet toe op de uitvoering daarvan.
  • is de schakel tussen de mondzorgpraktijk en de Autoriteit Persoonsgegevens, en heeft wanneer dat nodig is contact met de Autoriteit Persoonsgegevens.

Wat moet een Functionaris voor de gegevensbescherming weten en kunnen

Van een Functionaris voor de gegevensbescherming wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van gegevensbescherming. Dit betekent in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de mondzorgpraktijk uitvoert;
  • begrip van informatietechnologie (IT) en informatiebeveiliging;
  • kennis van de organisatie van de praktijk en de sector waarin die actief is;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Wie kan er als Functionaris voor de gegevensbescherming worden aangesteld

Het is niet noodzakelijk dat de Functionaris voor de gegevensbescherming bij de praktijk in loondienst is; dit kan uiteraard wel. Er zijn verschillende opties:

  • een medewerker binnen de mondzorgpraktijk kan als Functionaris voor de gegevensbescherming worden aangesteld;
  • met een aantal praktijken of binnen de kring of regio, kan één Functionaris voor de gegevensbescherming worden aangesteld en gedeeld;
  • er kan vanuit een extern bedrijf een Functionaris voor de gegevensbescherming worden aangesteld op basis van een dienstverleningsovereenkomst. HR Rendement heeft recent een vergelijking gemaakt tussen aanbieders van een externe FG.

Als de Functionaris voor de gegevensbescherming met meerdere praktijken samen is aangesteld of vanuit een externe bedrijf is aangesteld, moet de Functionaris voor de gegevensbescherming wel goed bereikbaar zijn vanuit elke praktijk. Dit betekent dat de contactgegevens van de Functionaris voor de gegevensbescherming voor iedereen goed bekend zijn, en het maken van een afspraak met de Functionaris voor de gegevensbescherming helder beschreven is en praktisch is uitgewerkt.

Meer informatie over de Functionaris voor de gegevensbescherming op de website van de Autoriteit Persoonsgegevens

Wie vallen er onder het begrip ‘ingeschreven patiënten’?

Om te bepalen wie er onder het begrip ‘ingeschreven patiënten’ vallen, moet gekeken worden naar alle personen die als patiënt 'in zorg' zijn bij de mondzorgpraktijk. Patiënten die op een wachtlijst staan of 'uit zorg' zijn, worden niet meegerekend bij de grens van 10.000 patiënten.

Wat wordt bedoeld met één informatiesysteem?

Hiermee wordt bedoeld dat de gegevens van uw patiënten bijvoorbeeld in één tandarts informatiesysteem (TIS) staan.

Binnen een kostenmaatschap wordt gebruik gemaakt van één tandarts informatiesysteem. De verschillende praktijkhouders binnen de kostenmaatschap hebben allemaal minder dan 10.000 ingeschreven patiënten, maar gezamenlijk hebben zij méér dan 10.000 ingeschreven patiënten. Moet verplicht een Functionaris voor de gegevensbescherming worden aangesteld?

Nee, dat hoeft niet. Voor het verplicht aanstellen van een Functionaris voor de gegevensbescherming moet een praktijkhouder meer dan 10.000 patiënten hebben ingeschreven (of gemiddeld meer dan 10.000 patiënten per jaar behandelen) én moeten de gegevens van deze patiënten in één informatiesysteem staan.

Binnen een kostenmaatschap zijn alle praktijkhouders zelf verwerkingsverantwoordelijke in de zin van de AVG en hebben alle praktijkhouders een eigen patiëntenbestand. De grens van 10.000 ingeschreven patiënten wordt zodoende niet door de individuele praktijkhouders gehaald.