De Autoriteit Persoonsgegevens heeft 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of ze wel over een Data Protection Officer (DPO) beschikken, zoals door de nieuwe Europese privacywetgeving AVG verplicht wordt gesteld. Twee ziekenhuizen bleken geen DPO te hebben aangesteld.
Deze ziekenhuizen hebben vier weken de tijd gekregen om alsnog een DPO aan te wijzen. Een Data Protection Officer, ook wel functionaris voor de gegevensbescherming genoemd, is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een Data Protection Officer aan te stellen, ongeacht het type gegevens dat ze verwerken.
Naast de aanwezigheid van een Data Protection Officer controleerde de Autoriteit Persoonsgegevens ook of ziekenhuizen en zorgverzekeraars de contactgegevens van hun DPO hebben gepubliceerd. Bij een kwart bleek dit niet het geval te zijn. Het ging om zeventien ziekenhuizen en twee zorgverzekeraars. Organisaties zijn verplicht om een direct telefoonnummer of e-mailadres te vermelden waarmee de DPO te bereiken is.
Van de organisaties die wel contactgegevens op hun website hadden vermeld vond de toezichthouder bij drie ziekenhuizen en één zorgverzekeraar geen direct e-mailadres of doorkiesnummer. De organisaties zijn door de Autoriteit Persoonsgegevens verzocht om dit te verbeteren. Eerder controleerde de Autoriteit Persoonsgegevens of 400 overheidsorganisaties wel over een DPO beschikten.
De verplichting om een DPO aan te stellen geldt ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Als laatste geldt de verplichting voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Organisaties hebben ook de keuze om vrijwillig een Data Protection Officer aan te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.