Weer een functionaris erbij
Het is lang onduidelijk geweest of alleen zorginstellingen met meer dan 250 medewerkers wettelijk verplicht zouden worden een privacyfunctionaris aan te stellen of alle zorginstellingen. Maar inmiddels biedt de op handen zijnde Europese verordening over privacy duidelijkheid op dit punt: het gaat gelden voor alle zorginstellingen, ongeacht de grootte.
Deze beslissing betekent dat ook kleine zorginstellingen, zoals organisaties voor eerstelijns zorg, met deze verplichting te maken krijgen. Verschillende van deze zorginstellingen hebben al een bezoek van het College Bescherming Persoonsgegevens gehad, dus ze weten dat het onderwerp privacy van patiëntgegevens van overheidswege hoog op de agenda staat.
Toch is het de vraag in hoeverre de verplichte aanstelling van een privacyfunctionaris de instellingen nu zo veel extra werk gaat bezorgen. Ze weten immers, juist door de toegenomen aandacht voor het onderwerp in de afgelopen jaren, al dat ze zorgvuldig met de gegevens van hun patiënten moeten omgaan. Het feit dat de boetes in de toekomst hoger worden als ze dit niet doen, zal betekenen dat ze hierop nog wat scherper gaan letten dan nu, maar in grote lijnen sluit deze verordening gewoon aan bij wat al dagelijkse praktijk voor ze is, en ligt het dus niet voor de hand dat de gemiddelde privacyfunctionaris in een zorginstelling structureel overuren zal gaan draaien.
Natuurlijk werpt dit de vraag op of de verplichte aanstelling van een privacyfunctionaris dan wel zo waardevol is. Jan Vesseur verwoordde op Twitter gisteren precies mijn gevoel hierover: “Ik heb liever een patiëntveiligheidsfunctionaris’.