Functionaris Gegevensbescherming (FG)
Versie 1.0.0 - juni 2026
Dit document legt vast of Remedice een Functionaris Gegevensbescherming (FG) moet aanwijzen op grond van Art. 37 AVG, wie die rol vervult, en hoe de onafhankelijkheid van de FG is geborgd. Het betreft uitsluitend de FG-positie van Remedice zelf als verwerker. De aparte FG-verplichting van de apotheek als verwerkingsverantwoordelijke staat in de DPIA en blijft de verantwoordelijkheid van de apotheek.
1. Toets aan Art. 37 AVG
Art. 37 lid 1 sub c verplicht een verwerkingsverantwoordelijke of verwerker een FG aan te wijzen wanneer de kernactiviteit bestaat uit grootschalige verwerking van bijzondere persoonsgegevens (Art. 9). De verplichting geldt expliciet ook voor de verwerker.
Voor Remedice is aan dit criterium voldaan:
- Kernactiviteit. De medicatiebeoordeling-module verwerkt gezondheidsgegevens van patienten. Dat is geen ondersteunende of incidentele verwerking maar de hoofdfunctie van de dienst.
- Bijzondere categorie. Medicatiehistorie, contra-indicaties, allergieen en labwaarden zijn gezondheidsgegevens in de zin van Art. 9 lid 1.
- Grootschalig. Remedice bedient meerdere apotheken, elk met honderden patienten. Het aantal betrokkenen, het gegevensvolume en de duur van de verwerking maken de verwerking grootschalig volgens de criteria van de EDPB-richtsnoeren (WP243).
Remedice wijst daarom een FG aan.
2. Aanwijzing
| Veld | Waarde |
|---|---|
| Rol | Functionaris Gegevensbescherming van Remedice |
| Vervuld door | De oprichter en eigenaar van Remedice |
| Contact | privacy@remedice.nl |
| Gepubliceerd | Contactgegevens in de privacyverklaring |
| Gemeld bij de AP | Actiepunt: aanmelden via het meldformulier van de Autoriteit Persoonsgegevens |
Art. 37 lid 7 verplicht Remedice de contactgegevens van de FG te publiceren en aan de Autoriteit Persoonsgegevens (AP) door te geven. De functionele contactgegevens staan in de privacyverklaring. De naam van de aangewezen natuurlijke persoon wordt aan de AP doorgegeven via het meldformulier en hoeft niet publiek te worden gemaakt.
3. Belangenverstrengeling (Art. 38 lid 6)
Art. 38 lid 6 staat toe dat de FG andere taken vervult, mits die niet tot belangenverstrengeling leiden. De FG mag niet de doeleinden en middelen van de verwerking bepalen.
Remedice is op dit moment een eenpersoonsonderneming. De oprichter bepaalt de doeleinden en middelen van de verwerking en vervult tegelijk de FG-rol. Dit staat op gespannen voet met de onafhankelijkheidseis van Art. 38 lid 6. Remedice benoemt dit risico expliciet en treft de volgende maatregelen om het te beperken:
- Gescheiden vastlegging. De FG-adviesfunctie wordt apart gedocumenteerd. Adviezen, toetsingen en bezwaren van de FG worden vastgelegd los van de operationele besluitvorming, zodat de FG-rol herleidbaar en controleerbaar blijft.
- Externe expertise bij materiele afwegingen. Bij wezenlijke privacy-afwegingen (nieuwe verwerking, een nieuw subverwerker, een wijziging in het risicoprofiel) schakelt Remedice externe privacy-juridische expertise in. Daardoor is het oordeel niet uitsluitend afhankelijk van de persoon die de verwerking bepaalt.
- Her-evaluatie-trigger. Zodra Remedice de eerste medewerker aanneemt, wordt de FG-rol verplaatst naar een persoon zonder zeggenschap over doeleinden en middelen, of naar een externe FG. Dezelfde her-evaluatie vindt plaats bij een wezenlijke schaalvergroting van het aantal aangesloten apotheken of patienten.
Remedice claimt geen volledige onafhankelijkheid van de FG zolang de oprichter de rol vervult. De maatregelen hierboven beperken het restrisico tot een voor deze fase aanvaardbaar niveau.
4. Taken van de FG (Art. 39)
De FG van Remedice heeft de volgende taken:
- Informeren en adviseren van Remedice over verplichtingen onder de AVG en aanverwante wetgeving.
- Toezien op de naleving van de AVG, het interne privacybeleid en de verwerkersovereenkomst met de apotheken.
- Adviseren over en toezien op de uitvoering van de DPIA.
- Optreden als contactpunt voor de Autoriteit Persoonsgegevens en met de AP samenwerken.
- Optreden als aanspreekpunt voor betrokkenen en voor de apotheken bij vragen over de verwerking en de uitoefening van betrokkenenrechten.
5. Positie en middelen (Art. 38)
De FG wordt tijdig betrokken bij vraagstukken over de bescherming van persoonsgegevens, kan de taken onafhankelijk uitvoeren en rapporteert aan de hoogste leiding. De FG krijgt toegang tot de verwerkingen, de auditlogging en de documentatie die nodig zijn om de taken uit te voeren. Zolang de oprichter de rol vervult, gelden de mitigaties uit hoofdstuk 3.
6. Verhouding tot de informatiebeveiligingsfunctie
De FG is een AVG-rol en staat los van de informatiebeveiligingsfunctie uit het NEN 7510 managementsysteem. De "information security officer" richt zich op de beheersmaatregelen voor informatiebeveiliging. De FG richt zich op de rechtmatigheid van de verwerking en de rechten van betrokkenen. Beide rollen worden in deze fase door dezelfde persoon vervuld, met dezelfde her-evaluatie-trigger als in hoofdstuk 3.
7. Review
Dit document wordt jaarlijks beoordeeld en eerder zodra de her-evaluatie-trigger uit hoofdstuk 3 zich voordoet of de wet- en regelgeving wijzigt.