Wat is een DPIA, wat niet?

Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermingseffectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?

Wat is de DPIA wel?

De DPIA is het verslag van een grondige denk-sessie. Men heeft het plan opgevat om iets te gaan doen met persoonsgegevens, maar dat kan risicovol zijn ten aanzien van de privacy. In de DPIA wordt daarom stap voor stap uiteengezet welke verwerkingen men exact van plan is en met welk doel; wat de risico’s zijn; of deze risico’s afdoende kunnen worden afgedekt; of het geheel conform de AVG is; of de eventuele niet af te dekken rest-risico’s in verhouding staan tot het doel; en of de plannen op grond van dit alles uitgevoerd mogen worden of toch maar niet. Het is met andere woorden een uitgebreide, stapsgewijze analyse of bepaalde plannen nu wel zo’n goed idee zijn, in het licht van de privacy. Onder omstandigheden moeten de betrokkenen hierin meegenomen worden, zoals patiëntenverenigingen of werknemers (via de OR).

Wat is de DPIA niet?

De DPIA is geen ritueeltje. Veelal wordt gebruik gemaakt van model DPIA’s. Daar is niets mis mee als ze op de juiste manier worden gebruikt, namelijk als hulpmiddel om een grondige analyse uit te voeren. Wanneer het model echter gebruikt wordt als een formulier dat nu eenmaal ingevuld moet worden, dan gaat het mis. De DPIA is niet bedoeld om te bereiken dat iets gedaan mag worden, maar om een antwoord te vinden op de vraag of iets gedaan mag worden. De DPIA is bovendien geen marketingtool. Hij is bedoeld voor interne overweging en niet om extern te laten zien hoe geweldig veel belang men hecht aan de AVG. Ook is het niet verstandig om DPIA’s uit te voeren voordat de vraag is beantwoord of men eigenlijk wel verwerkingsverantwoordelijke is. Een verwerker is iemand die persoonsgegevens verwerkt in opdracht van iemand anders; de controller. De verwerker mag zichzelf niet tot controller maken. Door DPIA’s uit te voeren ten aanzien van gegevens waar men geen controller van is, loopt men het risico dat wel te doen.

Wanneer moet het?

De DPIA moet worden uitgevoerd “wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” DPIA’s zijn met name vereist bij:

Een systematische en uitgebreide beoordeling van persoonlijke aspecten, gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor rechtsgevolgen zijn verbonden of die bepaalde personen op vergelijkbare wijze wezenlijk treffen;
Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens;
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Alles wat door de Autoriteit Persoonsgegevens op de DPIA lijst is geplaatst.

Nota bene, verwerking van bijzondere persoonsgegevens vereist dus niet altijd een DPIA. Dat is alleen het geval als er sprake is van grootschalige verwerking. Wat er gebruikelijk gedaan wordt bij individuele zorgverleners valt hier niet onder.

Wanneer hoeft het niet?

Een DPIA moet bij verwerkingen die ‘waarschijnlijk een hoog risico’ inhouden, maar is het duidelijk dat er geen risico’s zijn, dan hoeft het dus niet. Het hoeft bovendien niet telkens opnieuw voor soortgelijke verwerkingen; doet men als academisch ziekenhuis regelmatig medisch wetenschappelijk onderzoek met eigen gezondheidsgegevens in de eigen beveiligde verwerkingsomgeving, dan hoeft er niet telkens opnieuw een DPIA te worden uitgevoerd. De set data is wellicht anders, maar de verwerkingen zijn soortgelijk. Een DPIA hoeft ook niet als sprake is van een wettelijk verplicht of een wettelijke taak, mits bij het opstellen van die wet al een effectbeoordeling heeft plaatsgevonden (tenzij die wet alsnog een DPIA voorschrijft natuurlijk).

Rol van de functionaris gegevensbescherming

Anders dan veelal wordt gedacht, wordt de DPIA niet uitgevoerd door de functionaris gegevensbescherming (FG). Wel moet de verwerkingsverantwoordelijke bij de FG (als hij die heeft) advies inwinnen. Als er overigens daadwerkelijk een plicht bestaat tot het doen van een DPIA, dan zal het meestal ook verplicht zijn om een FG aan te stellen. De FG weet zelf niet wat de verwerkingsverantwoordelijke precies in gedachten heeft, aan risicovolle verwerkingen. Dit moet dus aan de FG worden uitgelegd, waarbij uiteen wordt gezet wat het plan is en waarom, welke risico’s men ziet, welke beveiliging men in gedachten heeft. De FG adviseert dan of die geplande maatregelen afdoende lijken, of het conform de AVG lijkt te zijn. Maar de FG verricht de analyse zelf niet, en neemt ook niet het besluit of een plan door mag gaan. En de FG heeft zeker niet de rol om zomaar groene vinkjes uit te delen.

AVG, Doelbinding, Wetenschap en Corona

Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?

In dat wetsartikel over die grondslagen, staat ook uitgelegd wanneer je net iets anders met die gegevens mag gaan doen; als er een verenigbaar doel is. Netflix heeft bijvoorbeeld de NAW-gegevens van klanten primair verzameld om tegen betaling streaming te leveren. Toch mag het bedrijf die gegevens ook gebruiken om op te treden als er misbruik wordt gemaakt van de abonnementen. Dat hangt voldoende samen met elkaar en klanten kunnen ook redelijkerwijs verwachten dat zoiets gebeurt. Dat is dus “verenigbaar” gebruik van persoonsgegevens. Als daar geen sprake van is, als het onvoldoende samenhangt, dan zijn er drie mogelijkheden: een wet schrijft voor dat het toch mag, je hebt toestemming, of je moet gewoon nieuwe data verzamelen.

Het beginsel van doelbinding is te vinden in de AVG. Daar staat dat (1) persoonsgegevens alleen voor specifieke en rechtmatige doeleinden mogen worden verzameld, en (2) vervolgens niet op een “met die doeleinden onverenigbare wijze” mogen worden gebruikt. Dat tweede is het beginsel van doelbinding en het volgt logischerwijs uit het eerste. Voorschrijven dat je alleen voor specifieke rechtmatige doeleinden data mag verzamelen heeft geen zin, als je er vervolgens totaal iets anders mee mag gaan doen. Of er sprake is van goede “doeleinden” moet getoetst worden aan het artikel van de AVG waarin de “grondslagen” staan. Daar wordt regelmatig nogal moeilijk over gedaan, terwijl het dus gewoon neerkomt op de vraag: heb je een rechtmatig en goed doel om te doen wat je doet.

Dat laatste is natuurlijk een probleem voor wetenschappers. Want als data verzameld zijn om zorg te leveren aan iemand met klachten, dan is dat toch echt iets anders dan het gebruik van die data om te onderzoeken of je met behulp van AI eerder kunt achterhalen wat iemand heeft. Nog verder verwijderd wordt het verband, als je data verzameld hebt om cybercriminelen op te sporen, en vervolgens willen criminologen die data bestuderen om te onderzoeken waarom iemand eigenlijk cybercrimineel wordt. Valt zoiets te voorkomen? Dan is echt geen sprake meer van gebruik dat verband houdt met het eerdere doel, en het is ook geen gebruik dat de betrokkenen redelijkerwijs kunnen verwachten. Toestemming vragen aan die cybercriminelen, is een behoorlijk kansloze missie, maar nieuwe data genereren ook. En dus is er een wet nodig, die bepaalt dat zoiets is toegestaan.

Nu is het mooie dat ze dit in de AVG zelf al hebben opgelost. In het artikel over doelbinding staat direct erachter: de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd. In eenvoudiger bewoordingen: bij wetenschap en statistiek geldt het beginsel van doelbinding gewoon niet.

Dat betekent natuurlijk niet dat álles ineens is toestaan onder het mom van wetenschap, statistiek of archivering. Hoewel er een algemene uitzondering is op het doelbindingsbeginsel ten behoeve van wetenschap, kan een specifiek onderzoek alsnog verboden zijn. Je moet immers ook voldoen aan andere vereisten uit de AVG, zoals dat je voldoende technische en organisatorische maatregelen neemt om de boel te beveiligen; anonimiseren bijvoorbeeld, of pseudonimiseren, of werken in een super-beveiligde verwerkingsomgeving waar je eigenlijk uitsluitend met een koevoet in komt (zoals de criminologen hebben bedacht).

Als de gegevens waar je mee werkt bijzondere persoonsgegevens zijn (wat gezondheidsgegevens dus zijn,) dan moet je bovendien een uitzondering hebben op het verbod die te gebruiken. Dit verbod is eigenlijk gewoon het medisch geheim. Het staat alleen niet in het gezondheidsrecht, maar in de AVG. Het geldt niet voor mensen met een bepaald beroep, maar gewoon voor iedereen, ten aanzien van bepaalde soorten data. Heel handig. Een dergelijke uitzondering op het medisch geheim is: je mag gezondheidsgegevens gebruiken voor medisch wetenschappelijk onderzoek als je om toestemming hebt gevraagd, tenzij dat onredelijk is. Als het gaat om big data onderzoek, dan is dat onredelijk en is toestemming niet vereist.

Dat alles bij elkaar betekent dus: als je big data onderzoek doet naar bijvoorbeeld oversterfte en long-Covid, als de overheid dit financiert omdat het degelijk in elkaar steekt en echt nuttig is, als aan de vereisten is voldaan omdat gewerkt wordt in een zeer goed beveiligde verwerkingsomgeving, dan geldt het beginsel van doelbinding niet. Wat dat betreft heb je dus geen toestemming nodig. Misschien heb je wel nog toestemming nodig om het (universele) medisch geheim te doorbreken, maar dat is een andere kwestie. En daarvoor geldt: die toestemming is niet nodig, als het om zeer veel data gaat. Overigens worden die regels ten aanzien van toestemming anders onder de EHDS. Maar de AVG blijft daarnaast gewoon gelden, en er verandert dus niets aan de regel dat er een algemene uitzondering is op het beginsel van doelbinding ten behoeve van wetenschap en statistiek.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Maand: mei 2025

Wat is een DPIA, wat is het niet?