Conclusies taakuitoefening (4.2.7)

  1. De FG’s van de onderzochte ziekenhuizen hebben een belangrijke rol gespeeld bij de implementatie van de essentiële elementen van de AVG in de ziekenhuizen. Het verschilde daarbij of de FG uitsluitend een adviserende had of ook uitvoerende taken op zich nam.
  2. Alle FG’s van de onderzochte ziekenhuizen houden zich actief bezig met het creëren en bevorderen van een gegevensbeschermingscultuur binnen de ziekenhuizen. De FG’s ondernemen verschillende activiteiten en initiatieven om het privacybewustzijn in de organisatie te stimuleren. Daarnaast is het algemene beeld van de AP dat privacy en gegevensbescherming de nodige aandacht krijgen van raden van bestuur en dat adviezen van de FG’s er daadwerkelijk toe doen.
  3. In alle onderzochte ziekenhuizen is er sprake van gevraagde en ongevraagde advisering van de FG aan de raad van bestuur. De raad van bestuur vraagt de FG doorgaans om advies bij vraagstukken, overeenkomsten en projecten waarbij privacy een rol speelt en bij beveiligingsincidenten en datalekken. Daarnaast komen FG’s regelmatig met ongevraagde adviezen aan de raad van bestuur, bijvoorbeeld als berichten in de media of incidenten binnen de organisatie daartoe aanleiding geven. Het algemene beeld van de AP is dat de adviezen van de FG ertoe doen, aangezien alle ziekenhuizen aangeven dat de adviezen van de FG door de raden van bestuur worden opgevolgd. Vooral in kleinere ziekenhuizen is de FG dé privacy-vraagbaak van raad van bestuur en medewerkers op de werkvloer.
  4. Het toezicht op de naleving van de AVG door de FG’s vindt op veel verschillende manieren plaats, bijvoorbeeld aan de hand van contacten met en vragen van medewerkers, het opvragen van documenten, het periodiek controleren van de logging, het signaleren van trends uit incidenten en datalekken en het uitvoeren van audits. 
  5. In alle onderzochte ziekenhuizen geeft de FG advies bij DPIA’s. De adviezen hebben betrekking op de vraag of er al dan niet een DPIA moet worden uitgevoerd, hoe het format van de DPIA eruit moet zien en welke methodiek er moet worden gevolgd. In alle onderzochte ziekenhuizen behandelt de FG klachten van patiënten over privacy-aangelegenheden en is de FG op een of andere manier betrokken bij datalekken binnen het ziekenhuis. In de helft van de onderzochte ziekenhuizen is de FG belast met het opstellen en bijhouden van het register van verwerkingsactiviteiten.
  6. Het overgrote deel van de FG’s van de onderzochte ziekenhuizen heeft in het kader van de uitvoering van taken slechts sporadisch contact met de AP.