Persoonsgegevensbescherming zorgsector Spanje

Tips voor zorgsector

De Spaanse toezichthouder, de AEPD heeft een aantal tips gegeven aan medisch en administratief personeel. Die tips gaan over persoonsgegevensbescherming in de zorgsector in Spanje. Zoals waarschijnlijk bekend zijn medische gegevens een bijzondere categorie van persoonsgegevens. Dat betekent dat de verwerking van deze gegevens in principe verboden is en alleen onder bepaalde condities is toegestaan. Een van die condities is medische hulpverlening.

Bescherming

Dat betekent natuurlijk wel dat die gegevens goed beschermt moeten worden. Omdat verlies of ongeoorloofde toegang tot die gegevens grote gevolgen voor het slachtoffer in kwestie kan hebben. En ook al spreekt dat voor zich, veelal zijn medische instellingen niet voorbereid op hun verantwoordelijkheden met betrekking tot die beveiliging. Dat komt omdat er geen duidelijke regels bestaan omtrent het werken met dat soort gegevens; omdat personeel niet ingelicht of getraind is; omdat (extra) beveiliging te duur is; of omdat er simpelweg geen tijd om regels, training of beschermingsmaatregelen te treffen.

Zowel de Nederlandse Autoriteit Persoonsgegevens als de Spaanse AEPD hebben daarvoor een aantal tips opgesteld: Tips Spaanse toezichthouder:

Persoonsgegevensbescherming zorgsector Spanje
Tips van de Spaanse toezichthouder over persoonsgegevensbescherming zorgsector Spanje

Functionaris Persoonsgegevens verplicht of niet?

De Nederlandse autoriteiten hebben duidelijk gemaakt, in meer detail dan de Spaanse, dat ook huisartsen een FG (een functionaris voor de gegevensbescherming) moeten aanstellen.

“Voor huisartsenpraktijken geldt dat zij verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen als zij grootschalig gegevens verwerken. Zij doen dit als zij meer dan 10.000 ingeschreven patiënten hebben én de gegevens van deze patiënten in één huisartseninformatiedossier (HIS) staan.

Voor een individuele huisarts en een huisartsenpraktijk met minder dan 10.000 patiënten, geldt de verplichting voor een FG niet.

Let op: De AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling. Werkt een huisarts bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen, dan is er geen sprake van een ‘individuele arts’ in de zin van de AVG.

Huisartsenposten en zorggroepen verwerken altijd grootschalig gegevens. Zij zijn dus altijd verplicht een FG aan te stellen.”  

 

In Spanje zegt de wet daarover dat individuele dokters geen FG hoeven aan te stellen, ook al zijn zij verplicht de patientgegevens/ dossiers op te slaan:

Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. 

Contact

Mocht u meer willen weten over de persoonsgegevensbescherming in de zorgsector in Spanje? Neem dan contact met ons op via de website of bel: 0034 610 739 364, we helpen u graag.