naar 9. Ga verder naar 7
11 Is er sprake van een verwerking waarvan reeds eerder een vergelijkbare verwerking met vergelijkbare risico’s is
uitgevoerd?
Het uitvoeren van een PIA
niet verplicht.
Het uitvoeren van een PIA
1. Threshold PIA
Voorafgaand aan de verwerkingen dient een threshold PIA (zie tabel 6.1) te worden uitgevoerd. Indien de threshold PIA uitwijst dat er sprake is van specifieke risico’s voor de rechten en vrijheden van betrokkenen is het uitvoeren van een PIA noodzakelijk en dient de rest van het stappenplan te worden gevolgd.
2. Verantwoordelijke
De vervolgstap voor het uitvoeren van een PIA is het aanwijzen van een verantwoordelijke. In overeenstemming met artikel 33 lid 1 dient de voor de verwerking verantwoordelijke , of kan iemand anders namens hem, de PIA uit te voeren. LifeLines is verantwoordelijk voor de verwerkingen en dient daarmee de PIA uit te voeren of iemand namens haar de PIA te laten uitvoeren.
3. Omschrijving van de verwerkingsactiviteiten
In overstemming met artikel 33 lid 3 sub a moet een PIA bevatten: een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking en, in voorkomend geval, de gerechtvaardigde belangen die worden nagestreefd door de voor de verwerking verantwoordelijke. Daarmee dient LifeLines te omschrijven hoe de persoonsgegevens worden verwerkt voor wetenschappelijk onderzoek en dat er sprake is van een gerechtvaardigd belang met onderzoek doen naar healthy ageing. In de omschrijving van de verwerkingsactiviteiten moet de context van de gegevensverwerking worden meegenomen.
Met in achtneming van artikel 33 lid 3 sub h dient de PIA ook een lijst te bevatten met ontvangers of categorieën van ontvangers. In het geval van LifeLines dient in het PIA rapport te worden opgenomen welke wetenschappers of organisaties persoonsgegevens ontvangen van LifeLines. Omdat LifeLines op het moment van het opstellen van de PIA nog niet weet aan wie de persoonsgegevens allemaal worden overgedragen, zal deze lijst gedurende de hele levenscyclus moeten worden geüpdatet. Indien de gegevens worden doorgegeven naar een derde land of een internationale organisatie moet in de PIA documentatie worden opgenomen dat er sprake is van passende waarborgen om de
bescherming van persoonsgegevens te garanderen.137
LifeLines bewaart de gegevens voor minstens 30 jaar. Ook deze termijn zal moeten worden opgenomen in het PIA rapport en indien deze termijn verandert, zal dit ook in de PIA dienen te worden meegenomen.
4. De gegevens
Het PIA rapport dient te bevatten een beoordeling van de noodzaak en evenredigheid
van de verwerkingen met betrekking van het doel.138 Hierbij moet de context worden
meegenomen. De verwerking moet aansluiten bij de intenties van de betrokkenen. De PIA moet aantonen dat LifeLines de persoonsgegevens enkel overdraagt aan derden indien dit noodzakelijk is voor wetenschappelijk onderzoek naar healthy ageing, en dat dit onderzoek niet redelijkerwijs kan plaatsvinden zonder de persoonsgegevens. Voor de afgifte van de persoonsgegevens moet een evenredigheidsafweging worden gemaakt waarin de context wederom terug komt.
137 Artikel 33 lid 3 sub i aangenomen teksten Algemene verordening gegevensbescherming. 138 Artikel 33 lid 3 sub b aangenomen teksten Algemene verordening gegevensbescherming.
5. De risico’s
Voor een PIA is het verplicht om een omschrijving te geven van de mogelijke risico’s voor rechten en vrijheden van betrokkenen. Zoals eerder in deze paper betoogd, zal hierbij rekening moeten worden gehouden dat ‘autonome effecten’ niet hoeven te worden meegenomen in de PIA. Indien de gegevens reeds legitiem aanwezig zijn bij derden zal de verwerking van persoonsgegevens door LifeLines geen invloed hebben op de risico’s voor betrokkenen en hoeft het niet worden meegenomen in de PIA.
6. Consultatie
In hoofdstuk 4 is aangetoond dat het noodzakelijk is voor een PIA om te consulteren met betrokkenen. In het geval van LifeLines zullen zowel opmerkingen van participanten als de ontvangers van de persoonsgegevens moeten worden meegenomen in de PIA.
7. Maatregelen
Tot slot dient het PIA rapport een overzicht te bevatten van alle waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen. In het geval van LifeLines kan er worden gedacht aan het pseudonimiseren van de persoonsgegevens en het slechts beperkt toegankelijk maken van de persoonsgegevens. Ook dient in het rapport aan te worden getoond dat er maatregelen in plaats zijn om de hoeveelheid persoonsgegevens die worden overgedragen te beperken tot niet meer dan noodzakelijk.
8. Nalevingscontrole
Na uitvoering van de PIA wordt er periodiek, ten minste eens per twee jaar of indien de specifieke risico’s veranderd zijn, een nalevingscontrole uitgevoerd. Zoals uit hoofdstuk 4 blijkt, moeten de specifieke risico’s in samenhang met het context criterium worden gelezen. Er zal hoogstens sprake zijn van specifieke risico’s indien er aanvullende informatie wordt verstrekt waarmee de gepseudonimiseerde persoonsgegevens herleidbaar zijn tot een individu.
Tijdens de nalevingscontrole moet blijken of LifeLines in overeenstemming met het PIA rapport handelt. Zoals eerder betoogd moet tijdens de nalevingscontrole duidelijk worden wat er is gebeurd met de opmerkingen van betrokkenen. In geval de nalevingscontrole inconsistenties in de naleving van de PIA laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te
kunnen komen.139
139
Artikel 33bis lid 3 aangenomen teksten Algemene verordening gegevensbescherming.
HOOFDSTUK 7
CONCLUSIE
Deze paper beoogt een bijdrage te leveren aan het debat rondom de algemene
verordening gegevensbescherming. Onder de algemene verordening
gegevensbescherming is het uitvoeren van een PIA verplicht voor gevoelige verwerkingsactiviteiten. In de literatuur is veel geschreven over de gevolgen van de algemene verordening voor medisch-‐wetenschappelijk onderzoek maar weinig over de verplichting tot het uitvoeren van een PIA. In deze paper is gepoogd deze leemte op te vullen. De verwerkingsactiviteiten van biobanken zijn per definitie gevoelige verwerkingsactiviteiten waardoor biobanken uitermate geschikt om de gevolgen van de verordening voor biobanken aan te bestuderen. Er is gekozen om dit te verduidelijken aan de hand van een use case in de vorm van LifeLines, Nederlands grootste algemene biobank.
Bij de werkzaamheden van biobanken kan een (theoretisch) onderscheid worden gemaakt tussen algemene en klinische biobanken. Algemene biobanken zijn, in
tegenstelling tot klinische biobanken, niet slechts toegankelijk voor de oorspronkelijke
verzamelaars. Echter, in praktijk blijkt er steeds meer sprake van een ‘hybride’ tussenvormen. Om de bezigheden van biobanken verder te verduidelijken zijn de werkzaamheden van LifeLines geschetst.
Het uitvoeren van een PIA zorgt ervoor dat de verwerkers zich in een vroegtijdig stadium bewust zijn van de privacybelangen. Hierbij is gebleken dat door de toevoeging van het context criterium ‘autonome effecten’ geen invloed hebben op de privacy van deelnemers aan biobanken. Op grond daarvan is het verdedigbaar dat ‘autonome effecten’ niet onder reikwijdte van een PIA vallen waardoor een PIA geen betrekking hoeft te hebben op gegevens die reeds legitiem aanwezig zijn bij derden.
In de algemene verordening gegevensbescherming is voor het eerst de explicitiete verplichting opgenomen tot het uitvoeren van een PIA voor gevoelige verwerkingsactiviteiten. Zowel onder het voorstel als onder de aangenomen teksten valt LifeLines onder de verplichting tot het uitvoeren van een PIA. In de aangenomen teksten is het begrip pseudonimisering opgenomen waarmee alle vormen van gepseudonimiseerde gegevens onder de reikwijdte van de verordening blijven vallen. Een belangrijke toevoeging in de aangenomen teksten is de toevoeging van het context criterium. Dit zorgt ervoor dat de context moet worden meegenomen in de beoordeling.
Wel bestaan er twee mogelijke uitzonderingsgronden voor het uitvoeren van een PIA. Op grond van de eerder genoemde ‘autonome effecten’ is het verdedigbaar dat gegevens die reeds legitiem aanwezig zijn bij derden niet onder de reikwijdte van een PIA vallen. Daarmee is het verdedigbaar dat het gros van de persoonsgegevens die LifeLines verwerkt al reeds legitiem aanwezig is bij derden waardoor er geen impact is op de privacy, waarmee het uitvoeren een PIA niet verplicht is. Ten tweede kan beargumenteerd worden dat op grond van een botsing van grondrechten de afweging kan worden gemaakt dat het uitvoeren van een PIA disproportioneel is. In deze paper is beargumenteerd dat het niet proportioneel is om biobanken te verplichten tot het uitvoeren van een PIA.
Tot slot zijn in hoofdstuk 6 een threshold PIA en PIA stappenplan voor LifeLines geformuleerd. De threshold PIA is een tabel om te oordelen of voor de verwerkingen van LifeLines het uitvoeren van een PIA verplicht is. Indien de threshold PIA uitwijst kan aan de hand van het geformuleerde stappenplan een PIA worden uitgevoerd.
Al met al lijken de gevolgen voor deze nieuwe verplichting voor biobanken mee te vallen. In deze paper is verdedigd dat voor biobanken, zoals LifeLines, het uitvoeren van een enkele PIA voldoende is om aan de verordening te voldoen. Daarnaast blijken er voor biobanken nog een tweetal uitzonderingen, te weten autonome effecten en botsing van grondrechten, waarop de biobanken zich mogelijk nog kunnen beroepen.
Ter afsluiting dient te worden opgemerkt dat momenteel (februari 2015) de Europese Raad van Unie de verordening behandelt. Daarmee is de wettekst nog niet volledig uitgekristalliseerd en blijft er nog onzekerheid bestaan over de gevolgen van de verplichting tot het uitvoeren van een PIA voor biobanken.
LITERATUURLIJST
Alvaro 2012.
A. Alvaro, ‘Lifecycle data protection management: a contribution on how to adjust European data protection to the needs of the 21st century’, 2012.
Barkhuysen & Bos 2014.
T. Barkhuysen & A.W. Bos, ‘De betekenis van het Handvest van de Grondrechten van de Europese Unie voor het bestuursrecht: een actualisatie anno 2014’ Jurisprudentie Bestuursrecht plus 2014, p. 90-‐116.
Barnes e.a. 2013.
M. Barnes, S. Ferranti, D. Peloquin & S. Ross, ‘European Union’s Proposed General Data Protection Regulation Promises Big Changes for Secondary Uses of Data from Clinical Trials’ Bloomberg BNA Privacy and Security Law Report (12) 2013, afl. 22, p. 1-‐4.
Bekker & Biesheuvel 2013
G. Bekker & A.J. Biesheuvel, ‘Privacy impact assessment is ‘here to stay’’, De IT-‐auditor 2013, afl. 4, p. 9-‐13.
Bovenberg, 2004.
J.A. Bovenberg, ‘Lessen uit het buitenland voor een algemene biobank in Nederland’,
Tijdschrift voor Gezondheidsrecht 2004, afl. 28, p. 296-‐304.
Bovenberg, 2006.
J.A. Bovenberg, Property Rights in Blood, Genes and Data: Naturally Yours? Leiden:
Koninklijke Brill NV.
Brandsma e.a., 2010.
M. Brandsma, L.A.L.M. Kiemeney, G.J.B. van Ommen & C. Wijmenga, ‘Overheid investeert fors in bestaande biobanken’, Nederlands Tijdschrift voor Geneeskunde 2010, afl. 152, p. 25-‐28.
Clark 2009
R. Clarke, ‘Privacy impact assessment: its origins and development’, Computer law & security review 2009, afl. 25, p. 123-‐135.
De Hert, Kloza & Wright 2012
P. De Hert, D. Kloza & D. Wright, Recommandations for a privacy impact assessment framework for the European Union, 2014.
De Hert & Wright 2012
P. De Hert & D. Wright, Privacy Impact Assessment, Dordrecht: Springer 2012.
Gellert & Gutwirth 2011.
Gellert, R. & Gutwirth, S., Privacy & data protection: verweven maar toch sterk verschillend, Jaarboek ICT en samenleving, 2011, p. 49-‐70.
Haeck & Vande Lotte 2005.
Haeck, Y. & Vande Lotte, J., Handboek EVRM – deel 1. Algemene beginselen, Oxford: Intersentia 2005.
HEW, 1973.
HEW, Records, computers and the rights of citizens. U.S. Dept. of Health, Education and Welfare, Secretary’s Advisory Committee on Automated Personal Data Systems, Cambridge. MIT Press 1973.
Hewitt & Watson, 2013
R. Hewitt & P. Watson, ‘Defining Biobank’, Biopreservation and Biobanking (11) 2013, afl. 5, p. 309-‐315.
ICO 2014
Information Commissioners Office. ‘Conducting privacy impact assessments code of practice’, 2014.
Jesse 2008
K.J. Jesse, Een hernieuwd perspectief op milieueffectrapportage: Over de inhoudelijke invloed van m.e.r. op de besluitvorming en enkele mogelijkheden ter flexibilisering, 2008,
Kuner 2012.
C. Kuner, ‘The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law’, Bloomberg BNA Privacy and Security Law Report (11) 2012, afl. 6, p. 1-‐15.
Office of the Victorian Privacy Commissioner 2009.
Office of the Victorian Privacy Commissioner, ‘Privacy Impact Assessment: A guide for the Victorian Public Sector’, 2009.
Leenknecht, 2014.
B. Leenknecht, ‘Databanken leveren werk voor iedereen’, Bionieuws (24) 2014, afl. 11, p. 2.
Leschot 2006.
N.J. Leschot, ‘Multifactoriële aandoeningen in het genomics-‐tijdperk; kanttekeningen bij een recent rapport van de Koninklijke Nederlandse Akademie van Wetenschappen’, Nederlands Tijdschrift voor Geneeskunde 2006, afl. 150, p. 2350-‐2352.
Norea 2013.
Norea, ‘Privacy Impact Assessments (PIA) Introductie, handreiking en vragenlijst’. 2013.
Wood 2003.
Wood C. Environmental Impact Assessment: A Comparative Review, Essex: Pearson
Education Limited 2003.
Wright 2011.
D. Wright, Should privacy impact assessments be mandatory?, Communications of the ACM 2011, afl. 8, p. 121-‐131.
Wright 2012.
D. Wright, The state of the art in privacy impact assessment, Computer law & security revieuw 2012, afl. 28, p. 54-‐61.
Wright & Wadhwa 2012.
JURISPRUDENTIELIJST
• EHRM, 26 maart 1987, 9248/81(Leander t. het Verenigd Koninkrijk) • EHRM, 16 december 1992, 13710/88 (Niemietz t. Duitsland)
• EHRM, 4 december 2008, 30562/04 (S. t. Marper) • EHRM, 30 april 2009, 13444/04 (Glor t. Switzerland) • EHRM, 15 maart 2012, 4149/04 (Aksu/Turkey)
• EHRM, 12 september 2012, 10593/08 (Nada, t. Switzerland)
• HvJ EG, 20 mei 2003, C-‐465/00, C-‐138/01 en C-‐139/01 (Österreichischer Rundfunk t. Oostenrijk)
• HvJ EU, 22 januari 2013, C-‐283/11 (Sky Österreich)
• CBP 14 mei 2002, Begrip verwerker, z2002-‐0362.
APPENDIX Artikel 32bis: oog voor risico
De volgende verwerkingen kunnen specifieke risico’s inhouden:
a) de verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden;
b) de verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, locatiegegevens of gegevens over kinderen of werknemers in grote bestanden;
c) profilering waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem op vergelijkbare, aanzienlijke wijze treffen;
d) de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes-‐ of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;
e) geautomatiseerde bewaking van openbaar toegankelijke ruimten op grote schaal;
f) andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de functionaris voor gegevensbescherming of de toezichthoudende autoriteit moet worden geraadpleegd;
g) indien een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens, de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene;
h) een voor de verwerking verantwoordelijke of verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen;
i) indien persoonsgegevens toegankelijk worden gemaakt voor een aantal personen waarvan redelijkerwijs niet kan worden aangenomen dat het een beperkt aantal is.