Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermings-effectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?
AVG, Doelbinding, Wetenschap en Corona
Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?
Het beginsel van doelbinding is te vinden in de AVG. Daar staat dat (1) persoonsgegevens alleen voor specifieke en rechtmatige doeleinden mogen worden verzameld, en (2) vervolgens niet op een “met die doeleinden onverenigbare wijze” mogen worden gebruikt. Dat tweede is het beginsel van doelbinding en het volgt logischerwijs uit het eerste. Voorschrijven dat je alleen voor specifieke rechtmatige doeleinden iets mag verzamelen heeft geen zin, als je er vervolgens totaal iets anders mee mag gaan doen. Of er sprake is van goede “doeleinden” moet getoetst worden aan het artikel van de AVG waarin de “grondslagen” staan. Daar wordt regelmatig nogal moeilijk over gedaan, terwijl het dus gewoon neerkomt op de vraag: heb je een rechtmatig en goed doel om te doen wat je doet.
In dat wetsartikel over die grondslagen, staat ook uitgelegd wanneer je net iets anders met die gegevens mag gaan doen; als er een verenigbaar doel is. Netflix heeft bijvoorbeeld de NAW-gegevens van klanten primair verzameld om tegen betaling streaming te leveren. Toch mag het bedrijf die gegevens ook gebruiken om op te treden als er misbruik wordt gemaakt van de abonnementen. Dat hangt voldoende samen met elkaar en klanten kunnen ook redelijkerwijs verwachten dat zoiets gebeurt. Dat is dus “verenigbaar” gebruik van persoonsgegevens. Als daar geen sprake van is, als het onvoldoende samenhangt, dan zijn er drie mogelijkheden: een wet schrijft voor dat het toch mag, je hebt toestemming, of je moet gewoon nieuwe data verzamelen.
Dat laatste is natuurlijk een probleem voor wetenschappers. Want als data verzameld zijn om zorg te leveren aan iemand met klachten, dan is dat toch echt iets anders dan het gebruik van die data om te onderzoeken of je met behulp van AI eerder kunt achterhalen wat iemand heeft. Nog verder verwijderd wordt het verband, als je data verzameld hebt om cybercriminelen op te sporen, en vervolgens willen criminologen die data bestuderen om te onderzoeken waarom iemand eigenlijk cybercrimineel wordt. Valt zoiets te voorkomen? Dan is echt geen sprake meer van gebruik dat verband houdt met het eerdere doel, en het is ook geen gebruik dat de betrokkenen redelijkerwijs kunnen verwachten. Toestemming vragen aan die cybercriminelen, is een behoorlijk kansloze missie, maar nieuwe data genereren ook. En dus is er een wet nodig, die bepaalt dat zoiets is toegestaan.
Nu is het mooie dat ze dit in de AVG zelf al hebben opgelost. In het artikel over doelbinding staat direct erachter: de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd. In eenvoudiger bewoordingen: bij wetenschap geldt het beginsel van doelbinding gewoon niet.
Dat betekent natuurlijk niet dat álles ineens is toestaan onder het mom van wetenschap, statistiek of archivering. Hoewel er een algemene uitzondering is op het doelbindingsbeginsel ten behoeve van wetenschap, kan een specifiek onderzoek alsnog verboden zijn. Je moet immers ook voldoen aan andere vereisten uit de AVG, zoals dat je voldoende technische en organisatorische maatregelen neemt om de boel te beveiligen; anonimiseren bijvoorbeeld, of pseudonimiseren, of werken in een super-beveiligde verwerkingsomgeving waar je eigenlijk uitsluitend met een koevoet in komt (zoals de criminologen hebben bedacht).
Als de gegevens waar je mee werkt bijzondere persoonsgegevens zijn (wat gezondheidsgegevens dus zijn,) dan moet je bovendien een uitzondering hebben op het verbod die te gebruiken. Dit verbod is eigenlijk gewoon het medisch geheim. Het staat alleen niet in het gezondheidsrecht, maar in de AVG. Het geldt dus niet voor mensen met een bepaald beroep, maar gewoon voor iedereen. Heel handig. Een dergelijke uitzondering op het medisch geheim is: je mag gezondheidsgegevens gebruiken voor medisch wetenschappelijk onderzoek als je om toestemming hebt gevraagd, tenzij dat onredelijk is. Als het gaat om big data onderzoek, dan is dat onredelijk en is toestemming niet vereist.
Dat alles bij elkaar betekent dus: als je big data onderzoek doet naar bijvoorbeeld oversterfte en long-Covid, als de overheid dit financiert omdat het degelijk in elkaar steekt en echt nuttig is, als aan de vereisten is voldaan omdat gewerkt wordt in een zeer goed beveiligde verwerkingsomgeving, dan geldt het beginsel van doelbinding niet. Wat dat betreft heb je dus geen toestemming nodig. Misschien heb je wel nog toestemming nodig om het (universele) medisch geheim te doorbreken, maar dat is een andere kwestie. En daarvoor geldt: die toestemming is niet nodig, als het om zeer veel data gaat. Overigens worden die regels ten aanzien van toestemming anders onder de EHDS. Maar de AVG blijft daarnaast gewoon gelden, en er verandert dus niets aan de regel dat er een algemene uitzondering is op het beginsel van doelbinding ten behoeve van wetenschap.
De EHDS beoogt meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die bepaalt reeds dat dit hergebruik is toegestaan als er sprake is van een goed doel (zoals wetenschappelijk onderzoek), als de wet gevolgd wordt en als er maatregelen zijn genomen. Wat dat betreft brengt de EHDS niets nieuws. Toch is het revolutionair, wat er staat te gebeuren, onder meer omdat wetenschappers indirect een recht op data krijgen.
Wie moet data leveren aan de HDAB? Volgens de European Health Data Space Verordening (de EHDS) moeten houders van gezondheidsdata deze gaan aan leveren aan de nieuw op te richten Health Data Access Body, als iemand ze nodig heeft voor iets nuttigs, zoals medisch wetenschappelijk onderzoek. Voor wie geldt deze verplichting straks? Met 7 vragen komt u -denk ik- op het juiste antwoord.