HOOFDSTUK 5
UITZONDERINGEN VOOR LIFELINES
In het vorige hoofdstuk is de verplichting tot het uitvoeren van een PIA onder de Algemene verordening gegevensbescherming behandeld. Aangezien het uitvoeren van een PIA een kostbare en veeleisende bezigheid is, is het voor biobanken zoals LifeLines van belang of er mogelijke uitzonderingen zijn op deze verplichting.
Threshold PIA
Het uitvoeren van een PIA is verplicht wanneer de verwerkingsactiviteit specifieke bijzondere risico’s voor de rechten en vrijheden van betrokkenen met zich mee brengt. De meest voor de hand liggende uitzondering op de verplichting is indien er geen sprake is van bijzondere risico’s. Om te beoordelen of er sprake is van bijzondere risico’s dient voorafgaand aan de verwerkingen een threshold PIA te worden uitgevoerd. Een threshold PIA is een korte, eerste evaluatie van een project om te bepalen of potentiele
privacyrisico’s het uitvoeren van een PIA noodzakelijk maken.129Het verschaft de
verwerker één van twee opties; 1. De threshold PIA wijst uit dat er geen sprake is van specifieke risico’s en dat het uitvoeren niet noodzakelijk is, 2. De threshold PIA wijst uit dat er wel sprake is van specifieke risico’s en dat het uitvoeren van een volledige PIA verplicht is onder de verordening.
Ingevolge artikel 33 is het uitvoeren van een PIA verplicht wanneer er sprake is bijzondere risico’s. Lid 2 bevat een ‘verkapte’ threshold PIA. Het omschrijft een aantal situaties wanneer er volgens het voorstel sprake is van specifieke risico’s:
• systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon, bijvoorbeeld zijn gezondheid
• de verwerking van gegevens over de gezondheid of voor onderzoek naar geestes-‐of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen
• de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens
• gegevens waarvoor de toezichthoudende autoriteit het nodig acht om vooraf te worden geraadpleegd.
Om te verduidelijken wanneer de verplichtingen gelden is overweging 71 toegevoegd. Overweging 71 omschrijft dat de verplichting tot het uitvoeren van een PIA hoofdzakelijk geldt voor “nieuw opgezette grootschalige bestanden die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden.” Kuner omschrijft hoe dit vermoedelijk betekent dat kleine en middelgrote
ondernemingen uitgesloten zijn van de verplichting tot het uitvoeren van een PIA.130
Mijns insziens is het onjuist om al dan niet aanzienlijke hoeveelheden persoonsgegevens te relateren aan ondernemingsgrootte. Ook kleine en middelgrote onderneming kunnen aanzienlijke hoeveelheden persoonsgegevens verwerken en dus een aanzienlijk impact hebben op de privacy van betrokkenen. Niet de grootte van de onderneming, maar de hoeveelheid persoonsgegevens die verwerkt wordt zou het criterium moeten zijn. In het voorstel is niet duidelijk wanneer er sprake is van een grote hoeveelheid
129 Office of the Victorian Privacy Commissioner 2009, p. 5. 130 Kuner 2012, p. 8.
persoonsgegevens. Het is zeer twijfelachtig of de overweging voldoende grond biedt aan biobanken om al dan niet verplicht te zijn tot het uitvoeren van een PIA.
Zoals in het vorige hoofdstuk bleek is op voordracht van Alexander Alvaro een expliciete threshold toegevoegd aan artikel 32a om het praktischer en duidelijker te maken wanneer een PIA noodzakelijk is. In dit artikel wordt verder verduidelijkt wanneer er sprake is van specifieke risico’s. Voor biobanken zijn de volgende specifieke risico’s relevant (voor een volledige lijst zie appendix):
• Verwerking van bijzondere persoonsgegevens
• Verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden
• De verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes-‐ of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen
LifeLines verwerkt bijzondere persoonsgegevens, in de vorm van persoonsgegevens betreffende iemands gezondheid. Daarmee is het overduidelijk dat de threshold PIA zal uitwijzen dat er sprake is van bijzondere risico’s, waardoor het verplicht is om een PIA uit te voeren.
In de aangenomen tekst is in de toevoeging van de risicothreshold vastgelegd dat voor verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden het uitvoeren van een PIA verplicht is. Daarmee is verplichting tot het uitvoeren van een PIA voor het verwerken van aanzienlijke hoeveelheden persoonsgegevens ingepast in de threshold. In deze formulering waarin naast aanzienlijke hoeveelheden persoonsgegevens nog andere situaties als aanzienlijke risico’s worden omschreven is het onwaarschijnlijk er een mogelijke uitzondering voor LifeLines is.
Autonome effecten
Zoals betoogd in hoofdstuk 3 heeft de toevoeging van het context-‐criterium tot gevolg dat ‘autonome effecten’ niet langer binnen de reikwijdte van een PIA vallen. In het geval van LifeLines gaan deelnemers ermee akkoord dat onderzoekers ook gebruik kunnen maken van de gegevens uit medische dossiers van hun huisarts, ziekenhuis of andere instellingen. Al deze gegevens zijn al legitiem aanwezig bij derden en dit moet dan ook in de context van de verwerking worden meegenomen. Inbreuken op het recht op bescherming van persoonsgegevens gebeuren al zonder de verwerkingsactiviteit. Daarmee heeft deze verwerkingsactiviteit geen effect op het recht op bescherming van persoonsgegevens waardoor de verplichting tot het uitvoeren van een PIA niet langer van toepassing is. Een groot deel van de persoonsgegevens zal reeds bekend zijn in medische dossiers waarmee er sprake is van ‘autonome effecten’. Daardoor is een PIA niet noodzakelijk omdat er geen sprake is van impact op de privacy.
Botsing van grondrechten
Is uitvoeren van een PIA verplicht om het recht op bescherming persoonsgegevens te waarborgen? Zoals in het vorige hoofdstuk bleek is het grondrecht van bescherming van persoonsgegevens geen absoluut recht, maar moet het worden afgewogen tegen andere grondrechten en –beginselen van het EU-‐handvest. Hierbij zal een belangen afweging moeten worden gemaakt tussen enerzijds bescherming van persoonsgegevens en
anderzijds academische vrijheid en gezondheidsbescherming. Door de verplichting tot het uitvoeren van een PIA wordt LifeLines beperkt in de afgifte van data en biomateriaal. Dit heeft als gevolg dat sommige wetenschappers hun onderzoeken niet kunnen uitvoeren, waardoor zij worden beperkt in hun vrijheid van wetenschap. Academische vrijheid is constitutioneel vastgelegd in artikel 13 EU-‐handvest. Dit recht vloeit op de eerste plaats voort uit de vrijheid van gedachte en de vrijheid van meningsuitingen. Daarnaast vervult LifeLines een cruciale rol in het onderzoek naar hoe mensen gezond ouder kunnen worden en naar factoren die van belang zijn bij het ontstaan en verloop van chronische ziektes. Daarmee speelt LifeLines een belangrijke rol in preventieve gezondheidszorg waar een ieder recht op volgens artikel 35 van het EU-‐handvest.
Daarmee is er sprake van een botsing van grondrechten. Het recht op academische vrijheid en het recht op preventieve gezondheidszorg botst met het recht op bescherming van persoonsgegevens. Daarmee moet er een afweging worden gemaakt welk grondrecht ‘voorrang’ krijgt. Bij beoordeling daarvan volgt het Hof van Justitie de systematiek van artikel 52 lid 1 van het Handvest. Het Hof heeft dit geïllustreerd in het
Sky Österreich arrest.131 Het Hof beoordeelt de ‘botsing’ door het beantwoorden van de
paar vragen, waarbij artikel 52 lid 1 de leidraad is.
1. Mogen er beperkingen worden gesteld aan de grondrechten in casu?
Geen de grondrechten in casu heeft een absoluut karakter waardoor er aan allemaal beperkingen mogen worden gesteld.
2. Wordt de kern van de grondrechten geraakt?
Evenmin wordt in het geval van LifeLines de essentie van deze grondrechten geraakt.
3. Is de inmenging proportioneel?
Indien er geen sprake is van een grondrecht met een absoluut karakter en indien evenmin de essentie van één of meer grondrechten wordt geraakt, dan komt het
vervolgens aan op een meer casuïstische belangenafweging.132In het Sky Österreich
arrest omschrijft het Hof hoe er een balans moet bestaan tussen de verschillende
grondrechten.133 In het geval van LifeLines is het verdedigbaar dat door de verplichting
tot het uitvoeren van een PIA de balans is doorgeslagen naar het recht op bescherming van persoonsgegevens. Zoals in hoofdstuk 4 is betoogd moet de context worden meegenomen in de proportionaliteitsvereisten. LifeLines maakt gebruikt van gepseudonimiseerde persoonsgegevens, waarmee er al sprake is van een beveiligingsmaatregel om het recht op bescherming van persoonsgegevens te waarborgen. Participanten van LifeLines doen vrijwillig mee en gaan akkoord met de verwerking van hun persoonsgegevens. Daarmee is het verdedigbaar dat er in de afweging minder gewicht wordt gegeven aan het recht op bescherming van persoonsgegevens terwijl het recht op bescherming van persoonsgegevens al gewaarborgd wordt door middel van pseudonimisering. Daarmee is het verdedigbaar dat de academische vrijheid en het recht op preventieve gezondheidszorg prevaleert boven het recht op bescherming van de persoonsgegevens.
131 HvJ EU, 22 januari 2013, C-‐283/11 (Sky Österreich) 132 Barkhuysen & Bos 2014, p. 115.
In de proportionaliteitsafweging moeten ook de kosten van het uitvoeren van een PIA worden meegenomen. De Europese Commissie heeft onderzocht dat het uitvoeren van
een PIA waarschijnlijk tussen de €14.000 en €149.000 gaat kosten.134 Mogelijk kunnen
de kosten voor LifeLines zelfs nog hoger uitvallen aangezien de PIA immers betrekking moet hebben op minstens 30 jaar, waarbij gedurende deze 30 jaar periodieke nalevingscontroles moeten plaatsvinden. De kosten van het uitvoeren van een PIA vormen een grote aanslag op het budget van LifeLines, aangezien LifeLines geen
winstoogmerk of commercieel belang heeft en afhankelijk is van subsidies.135. De
verplichting tot het uitvoeren van een PIA is voor biobanken dan ook disproportioneel en brengt het voortbestaan van biobanken mogelijk in gevaar.
Op grond van bovenstaande is het proportioneel om biobanken uit te sluiten voor de verplichting tot het uitvoeren van een PIA proportioneel. Daarmee kunnen biobanken, zoals LifeLines, zich uitsluiten van de verplichting tot het uitvoeren van een PIA door zich te beroepen op een botsing van grondrechten waarbij academische vrijheid en het recht op preventieve gezondheidszorg dient te prevaleren het recht op bescherming van persoonsgegevens.
134 Impact Assessment Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, p. 124-‐126. Te vinden op; http://ec.europa.eu/justice/data-‐
protection/document/review2012/sec_2012_72_en.pdf.
HOOFDSTUK 6
EEN VOORSTEL VOOR EEN MOGELIJKE THRESHOLD PIA EN PIA STAPPENPLAN