Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermings-effectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?
Wie moet aanleveren aan de HDAB?
Zeven stappen
EHDS-data moeten worden aangeleverd aan de Health Data Access Body als sprake is van een “houder” in de zin van de EHDS. Nu is dat een ingewikkeld geformuleerde kwestie en daarom moet ik hier een expliciet voorbehoud maken; ik doe een poging het te begrijpen en uit te leggen, meer dan dat is nu niet mogelijk. Alternatieve interpretaties heb ik evenwel (nog) niet kunnen vinden. Om te bepalen of data door iemand onder de EHDS moeten worden aangeleverd, moeten naar mijn idee zeven stappen worden doorlopen, waarvan onderstaande mij de meest logische volgorde leek:
- Zijn de betreffende data EHDS-data?
- Uitzondering voor rechtspraak, strafrecht en veiligheid?
- De micro-uitzondering?
- Als sprake is van persoonsgegevens: is de houder verwerkingsverantwoordelijke?
- Beschikt men rechtmatig over de data?
- Kan men feitelijk beschikken over de data?
- Valt men ook verder binnen de definitie van een houder?
Welke data sowieso niet
Allereerst dient de vraag te worden beantwoord, of sowieso sprake is van EHDS-data. Als dat niet het geval is, dan is de EHDS niet van toepassing. Voor zover dergelijke data in handen zijn van de rechterlijke macht, of overheden die zich bezighouden met strafrecht of openbare veiligheid, zijn de data ook niet op te vragen. De volgende vraag die moet worden beantwoord, is of de houder een beroep kan doen op de micro-uitzondering; er hoeven geen data te worden aangeleverd door partijen die daar te klein voor zijn. Brussel meende dat dit een te zware administratieve belasting zou vormen. Er staat daarom in de EHDS dat niet hoeft te worden voldaan aan deze verordening door natuurlijke personen, door individuele wetenschappers, of door organisaties die bestaan uit minder dan tien man en die een omzet draaien van minder dat 2 Mio. Echter, soms zijn data die cruciaal zijn voor medisch-wetenschappelijk onderzoek, nu juist in handen van dergelijke kleine partijen. In de uitvoeringswetgeving die in Nederland nog zal worden geschreven, kan daarom opgenomen worden dat dergelijke micro-data(houders) alsnog worden meegenomen onder het bereik van de EHDS.
Wel verantwoordelijken, niet verwerkers
Vervolgens dient te worden vastgesteld of de opgevraagde data persoonsgegevens zijn in de zin van de AVG. Dat zijn gegevens over personen die identificeerbaar zijn; de AVG is dus pas van toepassing als redelijkerwijs kan worden achterhaald over welke personen de gegevens gaan, want alleen dan is de privacy in het geding. Om te bepalen of een natuurlijke persoon identificeerbaar is (AVG overweging 26): “moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.” Dit is een relatief criterium: wat voor mij geen persoonsgegevens zijn (zoals een lijstje met BSN nummers), zijn dat voor het CBS vaak wel. Het is bovendien een context en tijd gerelateerd criterium. Gegevens die voor mijzelf geen persoonsgegevens zijn, zijn dat opeens wel (ook voor mij dus) als ik ze overdraag aan iemand voor wie het wel persoonsgegevens zijn. Als (en alleen als) er sprake blijkt te zijn van persoonsgegevens, dan moet in het kader van de EHDS de vraag worden gesteld of de houder van die data verwerkingsverantwoordelijke is, of uitsluitend een verwerker. Een verwerker is iemand die data verwerkt in opdracht van een verantwoordelijke, ook wel (joint)-controller genoemd. De term verantwoordelijke is niet een moreel begrip (iemand die zich verantwoordelijk zou moeten voelen), maar een feitelijk begrip (degene die bepaalt wat er met persoonsgegevens gedaan wordt). Het gaat om degene die daadwerkelijk beslissingen neemt over wat er met data gedaan wordt en waarom. Bijvoorbeeld een boekhouder, ingeschakeld door een diëtiste, is uitsluitend verwerker. De diëtiste is de verantwoordelijke die de besluiten neemt en die daarom verplicht is om zich te houden aan de AVG, en binnenkort dus ook aan de EHDS. De verwerkings-verantwoordelijke moet beide wetten naleven, de verwerker laat dat over aan zijn opdrachtgever. Een administratiekantoor van een zorgverlener, hoeft dus geen gezondheidsgegevens beschikbaar te maken voor (o.a.) onderzoek. Let echter op; dit onderscheid geldt uitsluitend als het om persoonsgegevens gaat. Ten aanzien van geanonimiseerde data, kan iedereen een verzoek van de HDAB krijgen, zo lijkt. Overigens moet men in gedachten houden dat de EHDS-verplichtingen dus rusten op alle AVG-verantwoordelijken en niet alleen op de partijen waar de data zijn ontstaan. Dus als een universiteit data heeft gekregen van een ziekenhuis om te analyseren, dan rust de EHDS-verplichting vervolgens op allebei. Als men in een project samenwerkt als joint-controllers ook. Academische instellingen kunnen dus de vruchten gaan plukken van deze verordening, maar krijgen ook verplichtingen om zelf data beschikbaar te stellen.
Rechtmatigheidstoets
Check vervolgens aan de twee eisen die in de EHDS onder de definitie van houder staan. Samengevat komen die eisen erop neer dat men het recht (of de plicht) moet hebben om met de betreffende data te werken. De HDAB kan dus niet data opvragen die eigenlijk niet mogen bestaan, omdat ze bijvoorbeeld al lang geleden vernietigd hadden moeten worden. De andere eis is dat men de data feitelijk kan aanleveren. Een overheid mag immers nooit iemand een plicht opleggen waar hij niet aan kan voldoen. .
Tot slot: de vage definitie
De laatste vraag is of men een houder is in de zin van de EHDS: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie.” Het belangrijkste is dat het gaat om: “elke natuurlijke of rechtspersoon of overheidsinstantie (…) in de gezondheidszorg of de zorgsector.” Het gaat dus niet alleen om overheid, niet alleen om ondernemingen, maar ook om (grotere) maatschappen van artsen. Bovendien gaat het niet uitsluitend om datahouders in de gezondheidszorg, maar ook die in de zorg. De zorgsector is daarbij gedefinieerd als “elke professionele dienst (…) met inbegrip van preventieve en ondersteunende maatregelen, om essentiële activiteiten van het dagelijks leven uit te voeren.” Dus ook de gegevens van kinderdagverblijven, UvA student-begeleiders, of coaches van asielzoekers, lijken hieronder te vallen (maar de Europese rechters zullen dat t.z.t. bepalen). Bovendien zijn inbegrepen ieder “die producten of diensten ontwikkelt die bedoeld zijn voor de gezondheidszorg of de zorgsector.” Dit betekent dat commerciële partijen ook verplicht worden om data aan te leveren aan wetenschappers (als aan de overige voorwaarden is voldaan).
De definitie van houder is zo breed dat het niet zinvol lijkt om te onderzoeken wie er allemaal wél onder valt. Beter kan men de vraag stellen; als het gaat om gegevens zoals opgenomen in het EHDS-lijstje, als men AVG-verantwoordelijke is (ipv verwerker,) en men bovendien niet onder de micro-uitzondering valt, kan het dan zijn dat je niet valt binnen deze definitie van EHDS datahouder? Het enige antwoord dat mogelijkerwijs correct leek, was de (grotere) begrafenisondernemer. De laatste vraag, of men valt binnen deze definitie, zal dus meestal met ja worden beantwoord, als de eerdere 6 vragen bevestigend zijn beantwoord.
Pas op met het omdraaien van stappen
Tot slot: draai deze stappen niet zomaar om; je kunt weldegelijk EHDS-houder zijn (aanbieder van diensten aan zorgondernemingen, zoals vervoerders van lichaamsmaterialen), maar niet over EHDS-data beschikken. Vandaar dus dat het verstandiger is om te beginnen met de vraag of het sowieso EHDS data zijn, en als laatste vraag pas te beantwoorden of men houder is. Concluderend: zeer veel partijen zullen als houder van EHDS data deze op verzoek van de HDAB moeten aanleveren: alle gezondheidszorg- of zorgaanbieders, verpleeghuizen, dagopvang, alle vergoedingsdiensten, sterfteregisters, universiteiten, aanbieders van producten of diensten voor de gezondheidszorg aanbieden, inclusief aanbieders van fitbits, en dat alles ongeacht of het overheden, non-profit, of commerciële entiteiten zijn.
Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?
De EHDS beoogt meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die bepaalt reeds dat dit hergebruik is toegestaan als er sprake is van een goed doel (zoals wetenschappelijk onderzoek), als de wet gevolgd wordt en als er maatregelen zijn genomen. Wat dat betreft brengt de EHDS niets nieuws. Toch is het revolutionair, wat er staat te gebeuren, onder meer omdat wetenschappers indirect een recht op data krijgen.