UITZONDERINGEN VOOR LIFELINES - Een PIA voor biobanken? : een analyse van de verplichting tot h

HOOFDSTUK 5

UITZONDERINGEN VOOR LIFELINES

In het vorige hoofdstuk is de verplichting tot het uitvoeren van een PIA onder de Algemene verordening gegevensbescherming behandeld. Aangezien het uitvoeren van een PIA een kostbare en veeleisende bezigheid is, is het voor biobanken zoals LifeLines van belang of er mogelijke uitzonderingen zijn op deze verplichting.

Threshold PIA

Het uitvoeren van een PIA is verplicht wanneer de verwerkingsactiviteit specifieke bijzondere risico’s voor de rechten en vrijheden van betrokkenen met zich mee brengt. De meest voor de hand liggende uitzondering op de verplichting is indien er geen sprake is van bijzondere risico’s. Om te beoordelen of er sprake is van bijzondere risico’s dient voorafgaand aan de verwerkingen een threshold PIA te worden uitgevoerd. Een threshold PIA is een korte, eerste evaluatie van een project om te bepalen of potentiele

privacyrisico’s het uitvoeren van een PIA noodzakelijk maken.129_{Het
verschaft
de}

verwerker één van twee opties; 1. De threshold PIA wijst uit dat er geen sprake is van specifieke risico’s en dat het uitvoeren niet noodzakelijk is, 2. De threshold PIA wijst uit dat er wel sprake is van specifieke risico’s en dat het uitvoeren van een volledige PIA verplicht is onder de verordening.

Ingevolge artikel 33 is het uitvoeren van een PIA verplicht wanneer er sprake is bijzondere risico’s. Lid 2 bevat een ‘verkapte’ threshold PIA. Het omschrijft een aantal situaties wanneer er volgens het voorstel sprake is van specifieke risico’s:

• systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon, bijvoorbeeld zijn gezondheid

• de verwerking van gegevens over de gezondheid of voor onderzoek naar geestes-‐of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen

• de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens

• gegevens waarvoor de toezichthoudende autoriteit het nodig acht om vooraf te worden geraadpleegd.

Om te verduidelijken wanneer de verplichtingen gelden is overweging 71 toegevoegd. Overweging 71 omschrijft dat de verplichting tot het uitvoeren van een PIA hoofdzakelijk geldt voor “nieuw opgezette grootschalige bestanden die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden.” Kuner omschrijft hoe dit vermoedelijk betekent dat kleine en middelgrote

ondernemingen uitgesloten zijn van de verplichting tot het uitvoeren van een PIA.130

Mijns insziens is het onjuist om al dan niet aanzienlijke hoeveelheden persoonsgegevens te relateren aan ondernemingsgrootte. Ook kleine en middelgrote onderneming kunnen aanzienlijke hoeveelheden persoonsgegevens verwerken en dus een aanzienlijk impact hebben op de privacy van betrokkenen. Niet de grootte van de onderneming, maar de hoeveelheid persoonsgegevens die verwerkt wordt zou het criterium moeten zijn. In het voorstel is niet duidelijk wanneer er sprake is van een grote hoeveelheid

129_{Office
of
the
Victorian
Privacy
Commissioner
2009,
p.
5.} 130_{Kuner
2012,
p.
8.}

persoonsgegevens. Het is zeer twijfelachtig of de overweging voldoende grond biedt aan biobanken om al dan niet verplicht te zijn tot het uitvoeren van een PIA.

Zoals in het vorige hoofdstuk bleek is op voordracht van Alexander Alvaro een expliciete threshold toegevoegd aan artikel 32a om het praktischer en duidelijker te maken wanneer een PIA noodzakelijk is. In dit artikel wordt verder verduidelijkt wanneer er sprake is van specifieke risico’s. Voor biobanken zijn de volgende specifieke risico’s relevant (voor een volledige lijst zie appendix):

• Verwerking van bijzondere persoonsgegevens

• Verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden

• De verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes-‐ of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen

LifeLines verwerkt bijzondere persoonsgegevens, in de vorm van persoonsgegevens betreffende iemands gezondheid. Daarmee is het overduidelijk dat de threshold PIA zal uitwijzen dat er sprake is van bijzondere risico’s, waardoor het verplicht is om een PIA uit te voeren.

In de aangenomen tekst is in de toevoeging van de risicothreshold vastgelegd dat voor verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden het uitvoeren van een PIA verplicht is. Daarmee is verplichting tot het uitvoeren van een PIA voor het verwerken van aanzienlijke hoeveelheden persoonsgegevens ingepast in de threshold. In deze formulering waarin naast aanzienlijke hoeveelheden persoonsgegevens nog andere situaties als aanzienlijke risico’s worden omschreven is het onwaarschijnlijk er een mogelijke uitzondering voor LifeLines is.

Autonome effecten

Zoals betoogd in hoofdstuk 3 heeft de toevoeging van het context-‐criterium tot gevolg dat ‘autonome effecten’ niet langer binnen de reikwijdte van een PIA vallen. In het geval van LifeLines gaan deelnemers ermee akkoord dat onderzoekers ook gebruik kunnen maken van de gegevens uit medische dossiers van hun huisarts, ziekenhuis of andere instellingen. Al deze gegevens zijn al legitiem aanwezig bij derden en dit moet dan ook in de context van de verwerking worden meegenomen. Inbreuken op het recht op bescherming van persoonsgegevens gebeuren al zonder de verwerkingsactiviteit. Daarmee heeft deze verwerkingsactiviteit geen effect op het recht op bescherming van persoonsgegevens waardoor de verplichting tot het uitvoeren van een PIA niet langer van toepassing is. Een groot deel van de persoonsgegevens zal reeds bekend zijn in medische dossiers waarmee er sprake is van ‘autonome effecten’. Daardoor is een PIA niet noodzakelijk omdat er geen sprake is van impact op de privacy.

Botsing van grondrechten

Is uitvoeren van een PIA verplicht om het recht op bescherming persoonsgegevens te waarborgen? Zoals in het vorige hoofdstuk bleek is het grondrecht van bescherming van persoonsgegevens geen absoluut recht, maar moet het worden afgewogen tegen andere grondrechten en –beginselen van het EU-‐handvest. Hierbij zal een belangen afweging moeten worden gemaakt tussen enerzijds bescherming van persoonsgegevens en

anderzijds academische vrijheid en gezondheidsbescherming. Door de verplichting tot het uitvoeren van een PIA wordt LifeLines beperkt in de afgifte van data en biomateriaal. Dit heeft als gevolg dat sommige wetenschappers hun onderzoeken niet kunnen uitvoeren, waardoor zij worden beperkt in hun vrijheid van wetenschap. Academische vrijheid is constitutioneel vastgelegd in artikel 13 EU-‐handvest. Dit recht vloeit op de eerste plaats voort uit de vrijheid van gedachte en de vrijheid van meningsuitingen. Daarnaast vervult LifeLines een cruciale rol in het onderzoek naar hoe mensen gezond ouder kunnen worden en naar factoren die van belang zijn bij het ontstaan en verloop van chronische ziektes. Daarmee speelt LifeLines een belangrijke rol in preventieve gezondheidszorg waar een ieder recht op volgens artikel 35 van het EU-‐handvest.

Daarmee is er sprake van een botsing van grondrechten. Het recht op academische vrijheid en het recht op preventieve gezondheidszorg botst met het recht op bescherming van persoonsgegevens. Daarmee moet er een afweging worden gemaakt welk grondrecht ‘voorrang’ krijgt. Bij beoordeling daarvan volgt het Hof van Justitie de systematiek van artikel 52 lid 1 van het Handvest. Het Hof heeft dit geïllustreerd in het

Sky Österreich arrest.131_{Het
Hof
beoordeelt
de
‘botsing’
door
het
beantwoorden
van
de}

paar vragen, waarbij artikel 52 lid 1 de leidraad is.

1. Mogen er beperkingen worden gesteld aan de grondrechten in casu?

Geen de grondrechten in casu heeft een absoluut karakter waardoor er aan allemaal beperkingen mogen worden gesteld.

2. Wordt de kern van de grondrechten geraakt?

Evenmin wordt in het geval van LifeLines de essentie van deze grondrechten geraakt.

3. Is de inmenging proportioneel?

Indien er geen sprake is van een grondrecht met een absoluut karakter en indien evenmin de essentie van één of meer grondrechten wordt geraakt, dan komt het

vervolgens aan op een meer casuïstische belangenafweging.132_{In
het
Sky
Österreich}

arrest omschrijft het Hof hoe er een balans moet bestaan tussen de verschillende

grondrechten.133_{In
het
geval
van
LifeLines
is
het
verdedigbaar
dat
door
de
verplichting}

tot het uitvoeren van een PIA de balans is doorgeslagen naar het recht op bescherming van persoonsgegevens. Zoals in hoofdstuk 4 is betoogd moet de context worden meegenomen in de proportionaliteitsvereisten. LifeLines maakt gebruikt van gepseudonimiseerde persoonsgegevens, waarmee er al sprake is van een beveiligingsmaatregel om het recht op bescherming van persoonsgegevens te waarborgen. Participanten van LifeLines doen vrijwillig mee en gaan akkoord met de verwerking van hun persoonsgegevens. Daarmee is het verdedigbaar dat er in de afweging minder gewicht wordt gegeven aan het recht op bescherming van persoonsgegevens terwijl het recht op bescherming van persoonsgegevens al gewaarborgd wordt door middel van pseudonimisering. Daarmee is het verdedigbaar dat de academische vrijheid en het recht op preventieve gezondheidszorg prevaleert boven het recht op bescherming van de persoonsgegevens.

131_{HvJ
EU,
22
januari
2013,
C-‐283/11
(Sky
Österreich)} 132_{Barkhuysen
&
Bos
2014,
p.
115.}

In de proportionaliteitsafweging moeten ook de kosten van het uitvoeren van een PIA worden meegenomen. De Europese Commissie heeft onderzocht dat het uitvoeren van

een PIA waarschijnlijk tussen de €14.000 en €149.000 gaat kosten.134_{Mogelijk
kunnen}

de kosten voor LifeLines zelfs nog hoger uitvallen aangezien de PIA immers betrekking moet hebben op minstens 30 jaar, waarbij gedurende deze 30 jaar periodieke nalevingscontroles moeten plaatsvinden. De kosten van het uitvoeren van een PIA vormen een grote aanslag op het budget van LifeLines, aangezien LifeLines geen

winstoogmerk of commercieel belang heeft en afhankelijk is van subsidies.135_{.
De}

verplichting tot het uitvoeren van een PIA is voor biobanken dan ook disproportioneel en brengt het voortbestaan van biobanken mogelijk in gevaar.

Op grond van bovenstaande is het proportioneel om biobanken uit te sluiten voor de verplichting tot het uitvoeren van een PIA proportioneel. Daarmee kunnen biobanken, zoals LifeLines, zich uitsluiten van de verplichting tot het uitvoeren van een PIA door zich te beroepen op een botsing van grondrechten waarbij academische vrijheid en het recht op preventieve gezondheidszorg dient te prevaleren het recht op bescherming van persoonsgegevens.

134_{Impact
Assessment
Impact
Assessment
Accompanying
the
document
Regulation
of
the
European
Parliament
and
of} the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, p. 124-‐126. Te vinden op; http://ec.europa.eu/justice/data-‐

protection/document/review2012/sec_2012_72_en.pdf.

HOOFDSTUK 6

EEN VOORSTEL VOOR EEN MOGELIJKE THRESHOLD PIA EN PIA STAPPENPLAN

In document Een PIA voor biobanken? : een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken (pagina 30-34)