Functionaris Gegevensbescherming voor de apotheek: nodig of niet?

22 mei 2018

Volgens de nieuwe privacywet AVG is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht als op grote schaal bijzondere persoonsgegevens worden verwerkt. Maar de wet is onduidelijk over wat onder ‘grootschalig’ wordt verstaan. Dat leidt tot veel vragen onder apothekers. Aan de hand van vier factoren bepaalt de apotheker of het aanwijzen van een FG noodzakelijk is, zo blijkt uit nader juridisch advies dat is uitgevoerd in opdracht van de KNMP en uit contact met de Autoriteit Persoonsgegevens (AP).

Om te beoordelen of het aanstellen van een Functionaris Gegevensbescherming (FG) noodzakelijk is, wordt gekeken of de apotheek verantwoordelijk is voor de verwerking van bijzondere categorieën van gegevens. Medische gegevens vallen onder deze categorieën, voor het verwerken van deze gegevens gelden striktere eisen. Het verwerken van deze gegevens heeft meer risico’s voor de patiënt en vraagt dus om een extra zorgvuldige behandeling door de apotheker.

In de Tweede Kamer is in maart 2018 een motie aangenomen waarin wordt gevraagd om verduidelijking van het begrip ‘grootschalige verwerking’. Uitleg van dit begrip moet in heel Europa gelijk zijn, daarom zal de AP met andere toezichthouders in Europa overeenstemming moeten bereiken. Een duidelijk ‘afkappunt’ is dus nog niet te geven.

Vier factoren

Aan de hand van vier factoren kan een inschatting gemaakt worden, of er sprake is van de noodzaak tot het aanstellen van een FG:

1.       Aantal patiënten
Een gemiddelde apotheek verwerkt de persoonsgegevens van bijna 8.000 patiënten. Dit is ongeveer 0,05% van de Nederlandse bevolking. Op regioniveau is dit percentage iets hoger. Er valt nog niet te voorspellen hoe de AP en/of de rechter de omvang gaat wegen. Als het aantal patiënten wordt afgezet tegen een grotere populatie, zoals inwoners in de regio, dan is het te verdedigen dat er geen sprake is van grootschalige verwerking in een gemiddelde apotheek.
Impact voor de apotheek: ●●○○○

2.       De hoeveelheid gegevens
Een apotheek verwerkt onder meer van patiënten de naam, het adres, het burgerservicenummer, verzekeringsgegevens en medische gegevens van de patiënt. Met deze gegevens kan snel een totaalbeeld van de gezondheidstoestand van een patiënt worden gegeven. Daarom kwalificeert de AP en/of een rechter de persoonsgegevens die een gemiddelde apotheek verwerkt waarschijnlijk als veel.
Impact voor de apotheek: ●●●○○

3.       De duur of permanentie van de verwerking
De persoonsgegevens van patiënten moeten op grond van de wet gedurende 15 jaar worden bewaard. Dit is een lange periode, waardoor het aannemelijk is dat de AP en/of een rechter de verwerking op basis van dit onderdeel als grootschalig zal kwalificeren.
Impact voor de apotheek: ●●●●○

4.       Geografische reikwijdte van de verwerking
Medicatiegegevens kunnen landelijk worden gedeeld, maar in de praktijk is de geografische reikwijdte vaak beperkt tot regioniveau. Op grond daarvan is het zeer verdedigbaar dat de gegevensverwerking geografisch beperkt is. Om die reden zal de AP en/of een rechter de verwerking op basis van dit onderdeel niet als grootschalig kwalificeren.
Impact voor de apotheek: ●○○○○

Onderbouwing

Op basis van de vier genoemde factoren, kan een inschatting gemaakt worden of het aanstellen van een FG noodzakelijk is. Als de apotheek van mening is dat een FG niet noodzakelijk is, moet de apotheker dit goed uit kunnen leggen. De AP hecht groot belang aan aantoonbare inspanningen.
De aanbeveling luidt dan wel om iemand binnen de organisatie verantwoordelijk te maken voor privacy. Het profiel van deze rol kan dan erg lijken op die van de verplichte FG, maar de apotheker heeft dan meer flexibiliteit in de daadwerkelijke invulling van de rol.
Een FG kan een apotheek van advies voorzien, helpen met de implementatie van privacybeleid en een aanspreekpunt voor patiënten zijn. Dit zijn mogelijke voordelen als de apotheker kiest om wel een FG in te schakelen.

Een apotheek hoeft niet zijn eigen FG in de apotheek te hebben. Een apotheker kan ook kiezen om met andere organisaties een FG aan te stellen: door de gezamenlijke inzet van apotheken, vanuit een bestaande samenwerkingsrelatie met andere zorgaanbieders uit de eerste lijn of door het aansluiten bij grotere zorgondernemingen.

Meer informatie over het aanstellen de FG 

Zelfstandige apotheek is geen individuele beroepsbeoefenaar

In overweging 91 AVG staat dat de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts of door een advocaat (‘eenpitters’) niet kan worden beschouwd als een grootschalige verwerking. Bij een apotheek is geen sprake van een individuele apotheker en daarmee valt de apotheek niet onder deze uitzondering van overweging 91 AVG.

Uit recente cijfers van de Stichting Farmaceutische Kengetallen (SFK) blijkt dat de gemiddelde apotheek 5,6 fte in dienst heeft. Echter, dit betekent niet dat er daarmee ook meteen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens. Daarvoor zijn de vier bovenstaande criteria opgesteld.

 

 

 

 

Dit nieuwsbericht is onderdeel van nieuwscategorie: Praktijkvoering