ADVOCATEN | ZORG MAKELAARS | JURISTEN | ADVISEURS IN ZORG | WWW. ELDERMANS-GEERTS.NL
Door: Daniël Post en Karik van Berloo
FG: vaker verplicht dan gedacht DE
CASUS
U heeft al jaren een goedlopende tandartsenpraktijk. Behalve u werken er sinds enkele jaren naast u in de praktijk meerdere tandartsen, een aantal mondhygiënisten en tandartsassistentes. De patiënten worden sinds jaar en dag ontvangen door de praktijk-manager. De praktijk zit op een mooie locatie, midden in het dorp, en beschikt over een vast patiëntenbestand van circa 7.500 patiënten. De patiënten komen overwegend uit het dorp en het patiëntenbestand wisselt nauwelijks. Met dit aantal patiënten draait de praktijk een prima omzet. En, niet onbelangrijk, de praktijk blijft onder de door de privacyautoriteit gestelde grens van 10.000 patiënten, waardoor de praktijk geen functionaris gegevensbescherming hoeft aan te stellen. Of toch wel?
54 DENTZ
Z
orgorganisaties die op grote schaal persoonsgegevens verwerken, zijn verplicht een functionaris gegevensbescherming (FG) aan te stellen. De Autoriteit Persoonsgegevens (AP) maakte recent bekend dat tandartspraktijken op grote schaal persoonsgegevens verwerken als: • een praktijk meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt én • de gegevens van deze patiënten in één informatiesysteem staan. Het verwerken van de persoonsgegevens van 10.000 patiënten in één informatiesysteem klinkt als iets waar kleinere praktijken niet snel mee te maken zullen hebben. Toch klopt die aanname niet. Want het gaat niet om 10.000 actief behandelde patiënten, het gaat om het aantal patiënten waarvan de gegevens in
één informatiesysteem verwerkt worden. Dat zijn dus ook de oude of voormalige patiënten die nog in het systeem staan, patiënten die in het weekend een noodbehandeling hebben gekregen of die behandeld zijn in het kader van de weekenddienst. Denk ook aan patiënten van een verwijspraktijk die maar één of twee keer door die praktijk gezien worden. Dat loopt dus al snel op, zeker aangezien patiëntengegevens op grond van de wettelijke bewaarplicht vijftien jaren bewaard moeten blijven. Daarmee wordt die grens van 10.000 patiënten voor veel praktijken toch opeens een minder ver-van-het-bed-show. Stel dat de voorbeeldpraktijk in het kader, naast de 7.500 actieve patiënten, nog 2.200 patiënten heeft die vertrokken zijn, maar van wie er nog wel een dossier in het systeem staat en nog van 400 patiënten een dossier in het systeem staat, die eerder een behandeling hebben gehad