Wel of geen fg?
De verplichting tot een FG is opgenomen in het ‘Besluit elektronisch gegevensverwerking door zorgaanbieders’. Twee categorieën zorgaanbieders moeten sinds het ingaan van de verplichting – op 1 januari, 2018 – een FG aanstellen:
-
De verantwoordelijke voor een elektronisch uitwisselingssysteem.
-
Zorgaanbieders die op grote schaal persoonsgegevens verwerken.
Wat bedoeld wordt met ’op grote schaal’ is vooralsnog onduidelijk. De Autoriteit Persoonsgegevens (AP) noemt als voorbeeld dat eenpitters niet grootschalig zijn en ziekenhuizen wel. In de praktijk schieten zorgaanbieders daar weinig mee op, want hierover bestaat nog veel onduidelijkheid.
Eigen afweging
Om te weten of u wel of niet een FG moet hebben, zult u uw organisatie en gegevensstromen onder de loep moeten nemen en zelf een afweging moeten maken over de noodzaak van een FG. Overigens is een FG aanstellen sowieso verstandig, gelet op alle andere privacyverplichtingen waar u aan moet voldoen. Dat vraagt wel om enige expertise. Zo zult u een verwerkingsregister moeten bijhouden, waarin u al uw gegevensstromen documenteert. Tevens zult u nieuwe of
