Bij een grootschalige verwerking vereist de AVG dat er een Functionaris Gegevensbescherming (FG) moet worden aangesteld en dat er in bepaalde gevallen een DPIA uitgevoerd moet worden. Maar wanneer heb je als organisatie te maken met grootschaligheid?
1. Nooit grootschalig
Een individuele aanbieder (in de zorg ook wel eenpitter genoemd).
Onder een individuele aanbieder verstaan wij een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling. Werkt een enkele arts of apotheker bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen (zoals oren uitspuiten of het verstrekken van geneesmiddelen), dan is er sprake van een instelling en niet van een ‘individuele arts’ in de zin van de AVG.
2. Altijd grootschalig
- Een ziekenhuis
- Zorggroepen; een zorggroep is een samenwerkingsverband van verschillende zorgverleners vaak gericht op ketenzorg en onder regie van een huisarts. Ook de LHV is van mening dat een zorggroep grootschalig gegevens verwerkt.
- Huisartsenposten; let op dit is dus géén huisartsenpraktijk. Het gaat om huisartsenzorg buiten kantooruren. Deze zorg valt onder de verantwoordelijkheid van 50 huisartsendienstenstructuren (HDS’en). De fysieke locatie waar deze zorg wordt verleend is de huisartsenpost (HAP), waarvan er in Nederland 119 zijn. Een HDS kan één of meerdere HAP’s omvatten.
- Apotheken (niet zijnde ‘eenpitters’)
3. Grootschalig indien sprake is van een zorginstelling waar meer dan 10.000 patiënten zijn ingeschreven óf gemiddeld meer dan 10.000 patiënten per jaar worden behandeld én de gegevens van deze patiënten in één informatiesysteem zijn opgeslagen.
- huisartsenpraktijken. Een huisarts heeft gemiddeld ongeveer 2100 ingeschreven patiënten dus bij iets minder dan 5 fte huisartsen in één praktijk, is geen sprake van grootschalige gegevensverwerking.
- instellingen voor medisch specialistische zorg niet zijnde ziekenhuizen (want daar is hoe dan ook sprake van grootschalige gegevensverwerking). Dit zijn de zogenaamde zelfstandige behandelcentra zoals bv een oogkliniek of heupkliniek.
4. Grootschalig indien is voldaan aan de criteria uit de guidelines
Het criterium van 10.000 geldt alleen voor de hierboven genoemde zorgverleners. De Autoriteit Persoonsgegevens zal op termijn ook voor andere zorgverleners invulling geven aan het begrip grootschaligheid. Tandartsen, fysiotherapeuten, thuiszorgorganisaties enz. moeten zelf aan de hand van de criteria uit de guidelines bepalen of zij grootschalig gegevens verwerken. Dat is hun eigen verantwoordelijkheid. De criteria zijn:
- het aantal betrokkenen
- de hoeveelheid persoonsgegevens
- de duur van de gegevensverwerking
- de geografische reikwijdte van de verwerking.