EEN PIA VOOR BIOBANKEN?
Een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken
R.F. Kessel (10624600) Februari 2014
(Illustratie: Paradigm global events 2013)
INTRODUCTIE 3
BIOBANKEN 5
Algemene en klinische biobanken 5
Use case: LifeLines 6
PRIVACY IMPACT ASSESSMENTS: 10
WAT, WAAROM, WANNEER EN DOOR WIE? 10
Geschiedenis van de PIA 10
Soorten PIA’s 11
Privacy en bescherming van persoonsgegevens 11
Autonome effecten 12
Het proces van een PIA 14
Opkomst en invoering PIA 15
Waarom een PIA uitvoeren? 15
Consequenties niet naleving 15
Openbaarheid rapport 16
DE VERPLICHTING TOT HET UITVOEREN VAN EEN PIA ONDER DE ALGEMENE
VERORDENING GEGEVENSBESCHERMING 18
Privacy & bescherming van zijn persoonsgegevens 19
PIA en het voorstel 19
PIA en de wettelijke ontwikkeling 21
PIA & Lifecycle data protection management 21
Context criterium en Lifelines 25
Pseudonimisering 26
Use case: LifeLines 28
UITZONDERINGEN VOOR LIFELINES 30
Threshold PIA 30
Autonome effecten 31
Botsing van grondrechten 31
EEN VOORSTEL VOOR EEN MOGELIJKE THRESHOLD PIA EN PIA STAPPENPLAN VOOR
BIOBANKEN 34
Een mogelijke threshold PIA voor LifeLines 34
Een mogelijk PIA stappenplan voor LifeLines 36
CONCLUSIE 39
LITERATUURLIJST 41
JURISPRUDENTIELIJST 43
APPENDIX 44
Artikel 32bis: oog voor risico 44
Artikel 33 lid 3: een beoordeling bevat ten minste 44
HOOFDSTUK 1
INTRODUCTIE
De huidige wetenschap floreert door het gebruik van algemene biobanken.1 Deze
biobanken zijn van grote waarde voor onderzoek naar de invloed van genen, omgeving
en levensstijl op tal van aandoeningen.2 Een algemene biobank omvat een permanente
verzameling van menselijk lichaamsmateriaal van een algemeen deel van een bevolking en aan dat materiaal gerelateerde ‘gezondheidsinformatie’, zoals medische, genetische, leefstijl en genealogische informatie, welke verzameling toegankelijk is voor wetenschappelijk onderzoek.3 Algemene biobanken doen zelf geen onderzoek maar
geven data en biomateriaal uit aan onderzoekers. Onderzoekers zijn hierdoor in staat
om statistisch significante resultaten te generen.4
Echter, het voortbestaan van algemene biobanken is mogelijk in gevaar. Op 25 januari 2012 presenteerde de Europese Commissie het voorstel voor een algemene verordening
gegevensbescherming.5 Dit nieuwe wettelijke kader heeft een grote invloed op
biobanken, omdat zij per definitie grote hoeveelheden persoonsgegevens verwerken. In deze paper zal de focus liggen op één van de belangrijkste wijzigingen uit het voorstel, namelijk de invoering van de verplichting om een privacy impact assessment (PIA) te verrichten. PIA’s worden verplicht gesteld voor langdurige verwerkingen van
bijzondere persoonsgegevens van grote aantallen betrokkenen.6 Deze verplichting heeft
tot doel om in gevallen van verwerkingsoperaties die specifieke risico’s meebrengen voor de rechten en vrijheden van betrokken voorafgaand aan de verwerking te kijken naar geplande maatregelen, waarborgen en mechanismen ter bescherming van
persoonsgegevens en aan te tonen dat aan de verordening is voldaan.7 Een PIA geeft
vroegtijdig inzicht in de belangrijkste privacyrisico’s van een project, zodat kan worden
voorkomen dat in een later stadium kostbare aanpassing nodig zijn.8 Anderzijds is het
uitvoeren van een PIA is een tijdrovende en dure bezigheid. De kosten voor het
uitvoeren van een PIA worden geschat tussen de €14.000 en €149.000.9 Daarnaast kan
het leiden tot vertraging van het project en wordt het gezien als onnodig.10
Vanuit de medisch-‐wetenschappelijke onderzoekswereld is er veel kritiek gekomen op het voorstel. Deze kritiek gaat hoofdzakelijk over de toevoeging van begrip pseudonimisering, waardoor medisch-‐wetenschappelijk onderzoek dreigt te worden
geblokkeerd. 11 In de kritiek wordt voorbij gegaan aan de verplichting tot het uitvoeren
van een PIA. Toch kan deze verplichting grote gevolgen hebben voor biobanken. Zo kan
1 Leenknegt 2014, p. 2. 2 Brandsma e.a. 2010, p. 25. 3 Bovenberg 2004, p. 296. 4 Bovenberg 2004, p. 296.
5 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (voorstel Algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op; http://ec.europa.eu/justice/data-‐protection/document/review2012/com_2012_11_nl.pdf.
6 Artikel 33 Algemene verordening gegevensbescherming .
7 Overweging 70 voorstel Algemene verordening gegevensbescherming. 8 Norea 2013, p. 5.
9 Impact Assessment Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, p. 124-‐126. Te vinden op; http://ec.europa.eu/justice/data-‐
protection/document/review2012/sec_2012_72_en.pdf. 10 De Hert & Wright 2012, p. 452.
11 Protecting health and scientific research in the Data Protection Regulation (2012/0011(COD)) Position of non-‐ commercial research organisations and academics – January 2014, p. 2.
het niet uitvoeren van een PIA onder de aangenomen teksten leiden tot administratieve sanctie tot maximaal € 100.000.000 of tot 5% van de globale jaaromzet bij
ondernemingen, afhankelijk van welk bedrag hoger is.12 In deze paper zal gepoogd
worden deze leemte op te vullen door de verplichting en diens gevolgen voor biobanken te behandelen.
Algemene biobanken verzamelen, bewerken en bewaren grote hoeveelheden bijzondere persoonsgegevens. De grootste algemene biobank van Nederland, LifeLines, verzamelt,
bewerkt en bewaart gegevens en biomateriaal van meer dan 165.000 deelnemers.13
LifeLines heeft afgelopen 5 jaar ruim 400 onderzoeken voorzien van data en
biomateriaal.14 De nieuwe verplichting betekent mogelijk dat biobanken zoals LifeLines
voor iedere onderzoeksaanvraag opnieuw een PIA moeten uitvoeren. Gezien de hoge kosten en de zware lasten die het uitvoeren van PIA met zich meebrengt kan dit grote gevolgen hebben voor het voortbestaan van algemene biobanken.
Van groot belang is dat de Verordening zelf de PIA niet ziet als een absolute toets van het abstracte begrip privacy, maar als een assessment waarin ruimte moet zijn voor een beoordeling van de context van de gegevensverwerking.15 Het is dan ook essentieel dat die
context van de biobank geschetst wordt. Het doel van deze paper is om te verhelderen wat deze nieuwe verplichting inhoudt voor algemene biobanken en hoe zij aan deze nieuw verplichting kunnen voldoen.
Hiertoe valt deze paper uiteen in een theoretisch deel en een toegepast deel. Het doel van het theoretische deel is om de vraag te beantwoorden in hoeverre algemene biobanken na invoering van de EU Verordening de verplichting hebben om een PIA uit te voeren. In het bijzonder zal daarbij worden ingegaan op de vraag of die verplichting ook bestaat indien een biobank de door haar verzamelde persoonsgegevens heeft gepseudonimiseerd. De daarbij bijbehorende onderzoeksmethode is tweeledig. Voor het theoretische zal een analyse worden gemaakt van wet-‐ en regelgeving, jurisprudentie en literatuur. Van de verordening zullen zowel het voorstel als de aangenomen tekst worden behandeld om een beeld te schetsen van de ontwikkelingen voorafgaand aan de aangenomen tekst. De aangenomen teksten zijn momenteel (februari 2015) nog een ‘moving target’. Veranderingen na 12 maart 2014 in de aangenomen tekst worden buiten beschouwing gelaten. In het toegepaste deel zal een use case (LifeLines) worden behandeld. De use case dient ter illustratie van wat deze nieuwe verplichting voor een biobank als LifeLines inhoudt en hoe zij aan deze verplichting kan voldoen.
De opbouw van deze paper is als volgt; in hoofdstuk twee zullen biobanken in het algemeen en de use case LifeLines worden behandeld. Hoofdstuk drie schetst het instrument PIA. Opeenvolgend zal in het vierde hoofdstuk de algemene verordening gegevensbescherming worden behandeld en de nieuwe verplichting tot het uitvoeren van een privacy impact assessment. Hiervoor zal gebruik worden gemaakt van het voorstel als de aangenomen teksten 12 maart 2014 om ontwikkeling van de verordening te schetsen. In het vijfde hoofdstuk zullen eventuele uitzonderingen op deze verplichtingen worden behandeld, als mede de threshold. In hoofdstuk zes zal een voorstel worden gedaan voor een mogelijke threshold PIA en een PIA stappenplan voor biobanken. Tot slot zal in het laatste hoofdstuk de bevindingen van deze paper worden samengevat.
12 Artikel 79 lid 2bis sub c aangenomen teksten Algemene verordening gegevensbescherming.
13 LifeLines, Doel en uitgangspunten. Te vinden op; https://www.lifelines.nl/organisatie/doel-‐en-‐uitgangspunten. 14 LifeLines, Ambitie en kernwaarden. Te vinden op; https://www.lifelines.nl/organisatie/ambitie-‐en-‐kernwaarden. 15 Artikel 33 lid 3 onder j aangenomen teksten Algemene verordening gegevensbescherming.
HOOFDSTUK 2
BIOBANKEN
Sinds jaar en dag wordt in Nederland lichaamsmateriaal afgenomen, onderzocht en bewaard in het kader van geneeskundige behandelingen. 16 Biobanken zijn
verzamelingen van lichaamsmateriaal die voor wetenschap of voor behandeling zijn bijeengebracht, met daaraan gekoppeld medische, genetische of andere gegevens over
de donoren.17 Nederland kent ruim 150 biobanken.18 Deze biobanken verschillen
onderling qua opgenomen, qua aard en hoeveelheid van opgeslagen materiaal en/of gegevens, qua kader waarbinnen het materiaal en/of de gegevens zijn verzameld, qua
onderliggend wetenschappelijk doel, qua organisatie en qua financiering.19
Algemene en klinische biobanken
Er zijn twee verschillende soorten biobanken te onderscheiden; een algemene biobank en een klinische of ‘bijzondere’ biobank. Een algemene biobank betreft een algemeen deel van de bevolking, daar waar een klinische biobank een cohort van een bijzondere groep patiënten betreft. In tegenstelling tot klinische biobanken zijn algemene biobanken niet opgezet vanuit de studie naar een bepaalde ziekte. Algemene biobanken zijn opgezet als een zo algemeen mogelijk opgezette informatiebron voor, deels in de toekomst te formuleren, onderzoek naar allerlei complexe ziektes.20 Algemene biobanken zijn veelal grootschalig en professioneel georganiseerd en, in tegenstelling tot een klinische biobank, niet slechts toegankelijk voor de oorspronkelijke verzamelaars.21 Een algemene biobank is van meet af aan opgezet voor multidisciplinair, longitudinaal, prospectief en zo mogelijk multinationaal onderzoek.22
Een algemene biobank kan worden omschreven als ‘een permanente verzameling van menselijk lichaamsmateriaal van een algemeen deel van een bevolking en aan dat materiaal gerelateerde ‘gezondheidsinformatie’, zoals medische, genetische, leefstijl en genealogische informatie, welke verzameling toegankelijk is voor wetenschappelijk onderzoek’.23
Klinische biobanken zijn vaak tot stand gekomen door inspanningen van artsen of klinisch georganiseerde onderzoekers. Hoewel deze biobanken vaak veel informatie bevatten is deze informatie doorgaans niet toegankelijk. Het onderscheid tussen algemene en klinische biobanken grotendeels theoretisch. In praktijken zijn biobanken veelal ‘hybriden’, ze combineren bestaande data met nieuwe data of andersom.24
Toch zal deze paper zal zich slechts toespitsen op algemene biobanken, omdat deze mogelijke extra spanningen met zich meebrengen door de uitgifte van data en biomateriaal.
16 Bovenberg 2004, p. 296. 17 Leschot 2006, p. 2350-‐2351. 18 Brandsma e.a. 2010, p. 25. 19 Bovenberg 2004, p. 297. 20 Bovenberg 2004, p. 296. 21 Brandsma e.a. 2010, p. 25. 22 Bovenberg 2004, p. 296. 23 Bovenberg 2004, p. 296. 24 Bovenberg, 2006, p. 117.
Use case: LifeLines
Voor het toegepaste deel van deze paper wordt gebruikt gemaakt van de use case LifeLines. LifeLines is de grootste algemene biobank van Nederland met ruim 165.000 participanten. LifeLines is uniek omdat het de enige actieve biobank is. Gedurende 30 jaar worden drie generaties gevolgd. Het onderzoek bestaat uit 3 onderdelen (zie afbeelding 2.1):
• Iedere vijf jaar brengen participanten een bezoek aan LifeLines waarbij metingen en tests worden gedaan en biomateriaal wordt verzameld (zie afbeelding 2.2; measurements en laboratory assessment)
• Iedere anderhalf jaar ontvangen deelnemers een follow up vragenlijst (zie afbeelding 2.2 questionnaires)
• Continu worden gegevens verzameld uit het huisartsen dossier, medisch dossier
in ziekenhuizen en milieu data (zie afbeelding 2.2 linkage) 25
Afbeelding 2.1 Gegevensverzamelingsactiviteiten door LifeLines (bron: LifeLines 2013)
25 LifeLines, Doel en uitgangspunten. Te vinden op; https://lifelines.nl/organisatie/doel-‐en-‐uitgangspunten.
The homogenous composition of the population in the North of The Nether-lands is highly suitable for observational follow-up studies, as people in the Dutch Northern provinces tend to keep living in the same area for many generations. LifeLines covers three generations and has a high response rate. This design enables the prospective investigation of risk factors, which is crucial in the study of (health) behavioural and environmental and other time-varying exposures, as well as interactions between genetic and environmental risk factors.
Key benefits of this three-generation design:
Vast statistical advantages: multi-ple-level information, separation of non-genetic and genetic familial trans-mission, direct haplotype assessment, and increased power and precision Unique possibilities to study social
characteristics: socioeconomic mobili-ty, partner preferences, and between- generation similarities
Data Collection and Sample Storage
All participants receive a number of questionnaires and a medical examination. Fasting blood samples and 24-hour urine are collected for long term storage and to perform laboratory measurements.
The participants are followed for at least thirty years and are invited every five years for a medical examination at a local LifeLines research facility. In the years in-between the participants receive follow-up questionnaires. Follow-up on morbidity and mortality will also be based on general practitioners, hospital and pharmacy records.
Conditioned transport of blood and urine samples towards the highly automated LifeLines laboratory guarantees complete traceability. Samples are analyzed and stored at -80 °C on the same day of collec-tion. Uniquely 2D barcoded labware are used for storage.
‘LifeStore’
The storage facility of LifeLines, ‘Life-Store’ is currently under construction in Groningen, The Netherlands, and will be fully operational beginning 2014. This is a completely automated sample storage with a capacity of 8+ million aliquots at -80 °C which will do fully automated overnight sample retrieval. Storage of blood and urine samples at high quality standards at different time points (every 5 year) facilitates the researchers to go back in time to investigate traces of diseases and the effects different of treatments in the carefully processed and registered biomaterials.
5 years 5 years
1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years
Baseline visit & follow-up visits
Follow-up data collection
Follow-up by record linkage
Timeline
Baseline visit: Participants visit LifeLines Research Site
Measurements
Sample collection (blood and 24-hour urine)
Questionnaires Second visit fasting
At home: 24h urine collection and questionnaires
Follow-up data collection (every 1,5 years)
Questionnaires Follow-up
New questions (requested by researchers)
Food frequency questionnaire
Follow-up by record linkage (continuously)
Link with external data Hospitals records
Follow-up visit (every 5 years)
Measurements
ECG, anthropometry, lung func-tion, blood pressure, cognition Sample collection (fasting blood,
24h urine, scalp hair and faeces) Questionnaires
Afbeelding 2.2 Gegevensverzameling en verwerking door LifeLines (Bron: LifeLines 2013)
Onder invloed van vergrijzing, een verkeerd voedings-‐ en bewegingspatroon en
omgevingsfactoren neemt het aantal mensen met een chronische ziekte sterk toe.26
LifeLines heeft het doel om onderzoek naar gezond ouder worden mogelijk te maken.27
Om de invloed van omgevingsfactoren te onderzoeken heeft LifeLines de mogelijkheid om demografische gegevens te koppelen aan milieudata (zie afbeelding 2.2). LifeLines zelf doet geen wetenschappelijk onderzoek, ze geeft enkel data en biomateriaal uit voor onderzoek.
LifeLines is wel de verwerker van de persoonsgegevens en niet de bewerker, als in de zin van de Wbp en de verordening. Ingevolge artikel 1 onder e van de Wbp is een bewerker degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt,
26 LifeLines, Ambitie en kernwaarden. Te vinden op; https://www.lifelines.nl/organisatie/ambitie-‐en-‐kernwaarden. 27 LifeLines, Doel en uitgangspunten.
zonder aan zijn rechtstreeks gezag te zijn onderworpen. In het geval van LifeLines heeft zij wel zeggenschap over het doel en de middelen voor verwerking van de
persoonsgegeven.28 Data en biomateriaal worden pas beschikbaar gesteld als de
aanvraag is goedgekeurd door de wetenschapscommissie van LifeLines. De aanvragen
worden getoetst en gescreend op:29
• Wetenschappelijk inhoudelijke kwaliteit
• Het onderzoek moet passen binnen het doel Healthy Ageing
• De hoeveelheid gevraagde data en biomaterialen moet proportioneel zijn en passen bij het doel van het onderzoek.
• Kwaliteit en onafhankelijkheid van de onderzoekers.
Alle deelnemers aan LifeLines onderteken een verklaring van toestemming, waarmee ze instemmen deel te nemen aan LifeLines. Ze gaan er mee akkoord dat onderzoekers ook gebruik kunnen maken van de gegevens uit het medische dossier van hun huisarts,
ziekenhuis of andere instellingen (zie afbeelding 2.3). 30
Gedurende de periode 2009 t/m 2014 zijn er ruim 400 aanvragen goedgekeurd. Tot dusver komen vrijwel alle onderzoeksvragen uit Nederland en zijn deze voor het
grootste deel afkomstig van UMCG-‐onderzoekers, aldus LifeLines.31 De achtergronden
en vakgebieden van onderzoekers zijn zeer divers, van biologen tot sociologen, en van artsen tot economen.
Indien een onderzoeksaanvraag is goedgekeurd, krijgt de onderzoeker volgens LifeLines na ondertekening van een contract tijdelijke toegang tot gepseudonimiseerde data in een beveiligde omgeving. Uit de Privacyreglementen van LifeLines volgt dat volgens LifeLines de data gecodeerd wordt opgeslagen door middel van een versleutelde formule. Iedere keer dat data aan onderzoekers worden uitgegeven worden de data
wederom gecodeerd door middel van een versleutelde formule. 32 Volgens LifeLines kan
de data niet worden gekopieerd en is de data maximaal 1 jaar toegankelijk voor de onderzoeker. Gedurende dit jaar wordt er door LifeLines contact gehouden met de onderzoeker en wordt er gecontroleerd of er binnen maximaal een jaar na toegang een
publicatie volgt. 33
28 CBP 14 mei 2002, Begrip verwerker, z2002-‐0362.
29 LifeLines, Onderzoek. Te vinden op; https://www.lifelines.nl/organisatie/onderzoek.
30 LifeLines, Verklaring van toestemming. Te vinden op; https://www.lifelines.nl/upload/file/lifelines+-‐ +informed+consent+1.1.3.pdf
31 LifeLines, Ambitie en kernwaarden.
32 Artikel 10 lid 2 Privacyreglementen LifeLines. Te vinden op;
https://www.lifelines.nl/upload/file/privacyreglement+lifelines+-‐+definitief+1.0.pdf 33 LifeLines, Onderzoek.
Afbeelding 2.3 Verklaring van toestemming deelnemers LifeLines (Bron: LifeLines)
Handtekening deelnemer: :
VERKLARING VAN TOESTEMMING
Ondergetekende stemt erin toe deel te nemen aan het LifeLines onderzoek gericht op het ontrafelen van de interactie tussen genetische en omgevingsfactoren bij het ontstaan en het beloop van een aantal verschillende veelvoorkomende chronische ziekten die bij het ouder worden kunnen optreden zoals, doch niet uitsluitend, diabetes, hart- en vaatziekten, longaandoeningen en depressies. Ik ga er mee akkoord dat binnen deze studie een deel van de onderzoeksvragen nog nader geformuleerd moet worden. Met de kennis die opgedaan wordt hoopt men een bijdrage te leveren aan het gezonder ouder worden.
Ik ga er mee akkoord dat deelname aan dit onderzoek inhoudt dat ik, gedurende een langere periode, uitgebreide vragenlijsten over mijn gezondheid en leefgewoonten zal invullen, en om de 4-5 jaar een bezoek aan de huisarts of onderzoekslocatie breng voor een aantal metingen. Bij een aantal bezoeken zal bij mij 75 ml of minder bloed worden afgenomen en wordt mij gevraagd urine in te leveren. Het bloed en de urine worden ingevroren om later bepalingen op te doen, die van belang zijn voor de kennis over chronische ziekten op oudere leeftijd. Ik ga er mee akkoord dat op enig moment (eventuele) partners, ouders en kinderen gevraagd worden om deel te nemen aan de studie". Ik ga ermee akkoord dat de uitslagen voortkomend uit het LifeLines onderzoek die voor de huisarts van belang zijn, zoals bloeddruk, bloedwaarden, longfunctie, ECG, cholesterol, bloedglucose spiegel en de resultaten van het MINI interview, aan mijn huisarts worden doorgegeven.
Ik ga ermee akkoord dat de onderzoekers gebruik kunnen maken van de gegevens (ziekenhuis-opname, diagnose,behandeling en medicatie) uit mijn medisch dossier van mijn huisarts of van ziekenhuizen,
verzorgingstehuizen of andere instellingen waar ik een medische behandeling heb ondergaan, alsmede van mijn gegevens in registraties voor zover deze betrekking hebben op de doelstelling van het LifeLines onderzoek (Centraal bureau voor de Statistiek, de landelijke registratie van doodsoorzaken). De onderzoekers zullen mijn gegevens vertrouwelijk behandelen en daarbij alle regels in acht nemen die vastgelegd zijn in de Wet Bescherming Persoonsgegevens.
Ik ga ermee akkoord dat de onderzoekers van LifeLines mij benaderen voor aanvullende vragen en onderzoeken, die van belang zijn voor het inzicht in chronische ziekten.
Ik erken dat het afgenomen lichaamsmateriaal en de door LifeLines verzamelde gegevens toebehoren aan LifeLines en dat ik terzake van het daarop verrichte onderzoek geen aanspraak kan maken.
Met het ondertekenen van deze verklaring behoud ik te allen tijde de vrijheid, ook zonder opgaaf van redenen, van verdere medewerking aan het onderzoek af te zien. Dit heeft geen gevolgen voor mijn verdere behandeling door mijn huisarts en door het UMCG.
Door het ondertekenen van deze verklaring geef ik
Ja Nee
Naam :
Geboortedatum :
LifeLines nummer:
mede te kennen voldoende geïnformeerd te zijn over het doel en de uitvoering van het onderzoek.
Datum
-
Dag Maand Jaar
Ik wil de uitslagen van de directe metingen zelf ontvangen:
Datum van ontvangst :
Naam :
Handtekening :
IC index -1.1.3
HOOFDSTUK 3
PRIVACY IMPACT ASSESSMENTS: WAT, WAAROM, WANNEER EN DOOR WIE?
PIA is de afkorting van Privacy Impact Assessment (in het Nederlands “privacyeffectbeoordeling”). Een PIA kan worden gedefinieerd als:
“A privacy impact assessment is a methodology for assessing the impacts on privacy of a project, policy, programme, service, product or other initiative which involves the processing of personal information and, in consultation with stakeholders, for taking remedial actions as necessary in order to avoid or minimise negative impacts”34
Geschiedenis van de PIA
Wetten inzake gegevensbescherming bestaan al sinds het begin van de jaren ’70 in verschillende Europese landen. Veelal was een vorm van registratie of een vergunning vereist als middel om te kunnen controleren of de bewerker zich aan alle wettelijk eisen
hield.35 Echter de eis om in overeenstemming met de wet te handelen (“compliance”), is
vele malen minder veeleisend dan het uitvoeren van een PIA.
De oorsprong van het instrument PIA kan worden gevonden in twee voorlopers. De eerste is het Technology Assessment (TA) zoals dat werd uitgeoefend door het
Amerikaanse Office of Technology Assessment (1917-‐1995).36 Dit assessment beoogde
leden van het Amerikaanse Congres te voorzien van objectieve en gezaghebbende
analyses van complexe technische en wetenschappelijke problemen.37 De tweede
oorsprong kan worden gevonden in het Impact Statement. 38 De eerste toepassing
hiervan was de Environmental Impact Statement (EIS), als gevolg van de ‘green movements’. In 1969 voerden de Verenigde Staten de verplichting in tot het uitvoeren
van een EIS voor overheidsinstanties39, waarna andere landen snel volgden.40 Een EIS
moest besluitvormers informatie verschaffen over de waarschijnlijk ecologische
consequenties van hun acties.41 In Nederland is EIS bekend als de Milieu Effect
Rapportage (MER).42 De hoge kosten en de vertraging als gevolg van het uitvoeren van
een EIS, zorgden voor grote ontevredenheid bij besluitvormers over deze nieuwe verplichting. Ook ontstond er cynisme over de toegevoegde waarde van een EIS. Hoewel het uitvoeren van een EIS wettelijk verplicht is, waren er vele manieren waarop ongeschikte projecten goedkeuring konden krijgen. De EIS werd op vele verschillende
manieren uitgevoerd en was onvoldoende controleerbaar.43 Ook in Nederland is de MER
niet onbetwist gebleven. Het wordt ervaren als een zwaar instrument; met de uitvoering zijn doorgaans veel tijd en hoge kosten gemoeid. Ook is de MER louter een hulpmiddel bij de besluitvorming. Het dwingt niet tot milieuvriendelijker besluitvorming noch de keuze voor het meest milieuvriendelijke alternatief. Als gevolg hiervan heeft het weinig
invloed op de uiteindelijke besluitneming.44
34 De Hert & Wright 2012, p. 5. 35 Clarke 2009, p. 125. 36 Clarke. 2009, p. 125.
37 The OTA Legacy. Te vinden op https://www.princeton.edu/~ota/. 38 Clarke. 2009, p. 125. 39 Wood 2003, p. 19-‐20. 40 Clarke 2009, p. 125. 41 Wood 2003, p. 20. 42 Jesse 2008, p.2. 43 Clarke 2009, p. 125. 44 Jesse 2008, p. 4-‐5.
Al aan het begin van de jaren ’70 werd in Amerika het concept van PIA, hoewel nog niet onder deze term, gebruikt. “Each time a new personal data system is proposed (or expansion of an existing system is contemplated) those responsible for the activity the system will serve, as well as those specifically charged with designing and implementing the system, should answer such questions as. What purposes will be served by the system and the data to be collected? How might these purposes be accomplished without collecting these data?”45
In 1984 verscheen voor het eerst de term Privacy Impact Statement, gebaseerd op de Environmental Impact Statement. Flaherty citeert een document waarin de Canadese Justitie Commissie het gebruik van een Privacy Impact Statement adviseert. Deze zelfde commissie wijst in het genoemde document de formele verplichting tot een Privacy
Impact Statement voor ieder stuk wetgeving af.46 In jaren hierop volgend werd het
gebruik van een Privacy Impact Statement (PIS) in Canada steeds meer gebruikelijk. 47
Sinds halverwege de jaren 90 wordt er wereldwijd gebruik gemaakt van de term PIA. PIA is een meer omvattende term dan PIS en is meer gericht op het proces dan het product en omvat daarnaast overleg en beoordeling.
Soorten PIA’s
Er zijn twee verschillende soorten PIA’s te onderscheiden. Allereerst is er een PIA voor wetgevers. Sinds de Franken motie is aangenomen, is de wetgever verplicht om rekening te houden met de resultaten van een PIA tijdens de ontwikkeling van nieuwe
wetgeving.48 De tweede soort is een PIA voor verwerkers van persoonsgegevens.
Daarmee zijn verwerkers van persoonsgegevens verplicht om te beoordelen wat de
impact is van hun verwerking op de privacy van de betrokken personen.49
In deze paper zal enkel de laatste vorm van een PIA worden behandeld.
Privacy en bescherming van persoonsgegevens
Ondanks dat privacy en bescherming van persoonsgegevens nauw met elkaar verweven zijn, hebben ze in het huidige Europese recht een zelfstandig karakter. In artikel 7 van
het EU-‐Handvest50 is het recht op eerbiediging van zijn priveleven, zijn familie-‐ en
gezinsleven, zijn woning en zijn communicatie opgenomen, ofwel het recht op privacy.51
Deze tekst is overgenomen van artikel 8 van het Europees Verdrag voor de Rechten van
de Mens.52 Het Hof van Justitie van de Europese Unie heeft inzake EU-‐richtlijn 94/46
geoordeeld dat het verwerken van persoonsgegevens het recht op privacy kan aantasten. Daarom dienen inmengingen in de persoonlijke levenssfeer gelezen te
worden in samenhang met artikel 8 EVRM.53 Het Europese Hof voor de Rechten van de
Mens heeft in jurisprudentie bepaald dat dit een breed spectrum aan kwesties kan
omvatten.54 Zo omvat het onder meer gegevens over gezondheid55, persoonlijke
45 HEW 1973, p. 51.
46 Flaherty 1989, p. 277-‐278. 47 Clarke. 2009, p. 126.
48 CBP 5 maart 2013, Advies-‐concept Toetsmodel Privacy Impact, z2012-‐00847. 49 Norea 2013, p. 5.
50 Handvest van de Grondrechten van de Europese Unie (EU-‐Handvest) 200/C 364/01. Te vinden op; http://www.europarl.europa.eu/charter/pdf/text_nl.pdf.
51 Gellert & Gutwirth 2011, p. 51. 52 Gellert & Gutwirth 2011, p. 52.
53 HvJ EG, 20 mei 2003, C-‐465/00, C-‐138/01 en C-‐139/01 (Österreichischer Rundfunk t. Oostenrijk) 54 EHRM, 12 september 2012, 10593/08 (Nada, t. Switzerland)
ontwikkeling56, identiteit57 en bescherming van persoonsgegevens.58 Het Hof heeft
daarbij opgemerkt dat het onmogelijk en niet noodzakelijk is om de reikwijdte van het
begrip privacy in een uitputtende manier te definiëren.59 Daarmee geeft recht op respect
voor zijn privéleven, zijn familie-‐ en gezinsleven, zijn woning en zijn correspondentie het Hof een juridische basis om vrijwel elke eigenschap of gedraging van een individu die het individu definieert als menselijk wezen, met inbegrip van persoonsgegevens,
hieronder te scharen.60
Naast het recht op privacy is er sinds kort sprake van een meer expliciete erkenning van het recht op bescherming van persoonsgegevens. Sinds het Verdrag van Lissabon wordt het beginsel van bescherming van persoonsgegevens constitutioneel erkend in artikel 8 van het EU-‐Handvest. In het EVRM wordt dit onderscheid niet gemaakt. Zo heeft het EHRM over bescherming van persoonsgegevens geoordeeld vanuit het perspectief van
privacy.61 Het EHRM heeft daarvoor een criteria vastgesteld om te beoordelen of een
bescherming van persoonsgegevens wel of niet aan artikel 8 van het EVRM raakt.62 Er
wordt een onderscheid tussen enerzijds verwerkingen die wel aan het privéleven geraken en anderzijds verwerkingen die niet aan het privéleven geraken. Indien gegevens intrinsiek verbonden zijn met het privéleven van een individu, en dus aan het privéleven geraken, valt het zonder twijfel onder reikwijdte van het artikel 8 EVRM en
heeft het daarmee ook een impact op de privacy van de betrokkene.63 Indien gegevens
niet aan het privéleven geraken, dient er gekeken te worden naar de aard en de omvang van de verwerking: werden de gegevens systematisch opgeslagen, gebeurde de opslag met de focus op een individu, konden betrokkenen redelijkerwijs verwachten dat er
verwerking van de gegevens zou plaatsvinden? 64
Dat betekent dat niet elke verwerking van persoonsgegevens die onder bescherming van persoonsgegevens valt noodzakelijk een impact op de privacy van de betrokkene heeft. Tijdens het PIA proces betekent dit dat er pas sprake is van impact op de privacy van betrokkene als aan bovengenoemde eisen is voldaan.
Daarbij moet nog in acht worden genomen dat zowel het recht op eerbiediging van privéleven, familie-‐ en gezinsleven, waaruit het recht op privacy wordt afgeleid, als het recht op bescherming van persoonsgegevens geen absolute rechten zijn. Beide moeten in relatie tot de functie ervan in de samenleving worden beschouwd en moeten worden
afgewogen tegen andere grondrechten, overeenkomstig het evenredigheidsbeginsel.65
In hoofdstuk 5 wordt verder ingegaan op deze afweging van belangen specifiek voor LifeLines.
Autonome effecten
Ingevolge artikel 33 lid 1 voert de verwerker een beoordeling uit welke het effect van de beoogde verwerkingen moet bevatten. Dit lijkt te impliceren dat een beoordeling enkel effecten hoeft te bevatten die het gevolg zijn van beoogde verwerkingen. Op basis hiervan zou verdedigd kunnen worden dat ‘autonome effecten’, ofwel inbreuken op de privacy die ook zonder deze verwerkingsactiviteiten zouden plaatsen vinden, buiten
56 EHRM, 4 december 2008, 30562/04 (S. t. Marper) 57 EHRM, 15 maart 2012, 4149/04 (Aksu/Turkey)
58 EHRM, 26 maart 1987, 9248/81(Leander t. het Verenigd Koninkrijk) 59 EHRM, 16 december 1992, 13710/88 (Niemietz t. Duitsland) 60 De Hert & Wright 2012, p. 39.
61 EHRM, 26 maart 1987, 9248/81(Leander t. het Verenigd Koninkrijk) 62 Gellert & Gutwirth 2011, p. 53.
63 EHRM, 26 maart 1987, 9248/81(Leander t. het Verenigd Koninkrijk) 64 Gellert & Gutwirth 2011, p. 53.
beschouwing moeten worden gelaten. Gegevens die reeds bij derden legitiem aanwezig zijn (zoals bij verzekeraars, overheid en zorgregistraties), zouden dan niet mee te hoeven worden meegenomen in een PIA. In het geval LifeLines geven deelnemers toestemming voor het opvragen van gegevens uit hun medisch dossier. Daarbij wordt er gebruik gemaakt van gegevens die reeds legitiem aanwezig is bij derde.
Een tweede aanwijzing hiervan kan worden gevonden in de toevoeging van sub j aan artikel 33 in de aangenomen teksten. Daarin staat vermeld dat een beoordeling van de context van de gegevensverwerking moet worden meegenomen. Deze toevoeging is gebaseerd op de Lifecycle Data Protection Management bijdrage van Alexander Alvaro, welk in hoofdstuk 4 verder wordt behandeld. Daarin omschrijft hij de verplichting dat de voor de verwerking verantwoordelijke in overeenstemming met bepaalde
contextuele criteria dient te handelen.66 Criteria zoals: het doel waarvoor de gegevens
zijn voorzien, het gebruik van de data en de relatie tussen de voor de verwerking verantwoordelijke en de betrokkene. Met deze criteria moet rekening gehouden worden gedurende de verordening en zij zullen effect hebben op de proportionaliteitseisen met betrekking tot toestemming, profilering, data overdracht en beginselen van de data protection by design en by default.
In het geval van LifeLines voorzien deelnemers LifeLines van data en biomateriaal. Deelnemers worden bewust gesteld wat het doel is van het gebruik van deze gegevens, en waarvoor deze gegevens gebruikt gaan worden. Zij worden daarmee op de hoogte gebracht dat hun gegevens (gepseudonimiseerd) worden overgedragen aan derden. Er zou rekening moeten gehouden worden met de context waarin deze gegevens worden verschaft aan LifeLines. Deelnemers zijn ook bekend met welke gegevens reeds aanwezig zijn bij derden en dat de informatie die LifeLines verschaft veelal geen nieuwe informatie zal zijn.
Hierbij aansluitend bevat artikel 1a van de Wbp ook een context-‐criterium. Daarbij wordt gedoeld op de stelling in memorie van toelichting dat gegevens, gezien de context waarin ze worden verwerkt, persoonsgegevens kunnen zijn indien de gegevens mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt
beoordeeld of behandeld.67 Aangezien de gegevens reeds aanwezig zijn bij derden,
worden personen in het maatschappelijk verkeer niet anders behandeld of beoordeeld omdat de inbreuk op privacy ook zonder deze verkeringsactiviteiten zouden plaats vinden.
Daarnaast zou, ter ondersteuning van de stelling dat het alleen betrekking heeft op autonome effecten, naar voren kunnen worden gebracht dat er sprake is van relatieve grondrechten. Deze kunnen worden afgewogen, in overeenstemming met het evenredigheidsbeginsel, met academische vrijheid. Op grond van een evenredigheidsafweging zou gesteld kunnen worden dat het in strijd met de proportionaliteitseis is om te eisen dat biobanken extra maatregelen moeten nemen voor informatie die al reeds legitiem aanwezig is bij derden. In zowel het voorstel, de aangenomen tekst, als in de bijdrage van de Alexander Alvaro worden hier echter geen woorden aan gewijd. Echter op basis van het bovengenoemde is het verdedigbaar dat, indien er sprake is van ‘autonome effecten’, daarvoor geen PIA hoeft te worden uitgevoerd.
66 Alvaro 2012, p. 5-‐6. 67 MvT, II, nr. 3, blz. 48.
Het proces van een PIA
Het uitvoeren van een PIA is een proces.68 Het proces van het uitvoeren van een PIA
dient plaats te vinden in een zo vroeg mogelijk stadium van het project. Op die manier bestaat nog de mogelijkheid om de privacybelangen mee te nemen in het verdere ontwerp van het project, wanneer er nog de mogelijkheid is om de uitkomst van het project te beïnvloeden. Het is aanbevolen de PIA wederom uit te voeren als de
omstandigheden veranderen.69 Om het proces te verduidelijken heeft Norea een
handreiking ontworpen met daarin een stappenplan ter illustratie van het PIA proces, weergegeven in afbeelding 3.1. Norea (Nederlandse Orde van Register EDP-‐auditors) is de beroepsorganisatie van IT-‐auditors. Aan de handreiking heeft het CBP een bijdrage geleverd en het document heeft de formule status van studiedocument voor
beroepsbeoefenaars.70
Afbeelding 3.1: Het PIA stappenplan (Bron: Norea 2013)
Het stappen plan is ontworpen ter illustratie van het proces, kan dienen als stappenplan voor het uitvoeren van een PIA. De eerste stap is om in overeenstemming met artikel 33 lid 1 een verantwoordelijke aan te wijzen. Veelal is de voor de verwerking verantwoordelijke persoon die verantwoordelijk is voor het uitvoeren van een PIA. Nadat een verantwoordelijke is aangewezen dient alle relevante informatie verzameld te worden.
De tweede stap is het invullen van de vragenlijst. Deze vragenlijst gecombineerd met een impact beoordeling en maatregelen, dient antwoord te geven op de eisen aan een PIA als in artikel 33 lid 3 van het voorstel. In de aangenomen tekst zijn enkel amendementen doorgevoerd met betrekking tot dit lid. Meest opzienbarende veranderingen zijn de toevoeging van het eerder genoemde contextuele criteria en de toevoeging van de data life cycle, welke verder wordt behandeld in hoofdstuk 4. Dit alles
dient gedocumenteerd te worden.71 Tot slot kan in overeenstemming met overweging
60 van de aangenomen tekst het verslag worden getoetst door een onafhankelijke interne of externe controleur.
68 Norea, 2013, p. 10. 69 Norea, 2013, p.8. 70 Norea 2013, p. 2.
71 Artikel 33 lid 3 aangenomen teksten Algemene verordening gegevensbescherming. N O R E A • P R I VA C Y I M P A C T A S S E S S M E N T
1 0
H
2. Handreiking voor het PIA proces
Dit deel bevat een handreiking voor het effectief en efficiënt uitvoeren van een PIA. Afhankelijk van de omstandigheden waarin de PIA wordt uitgevoerd kan op het onderstaande stappenplan worden gevarieerd. U krijgt antwoorden op vragen als: Uit welke stappen bestaat het PIA proces? Wie kan ik betrekken bij de PIA? Wat zijn succes- en faalfactoren?
2.1 Wat zijn de stappen in een PIA proces?
De uitvoering van een PIA kan bestaan uit de volgende stappen:
Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren. Verzamel relevante informatie over het project.
Vul de PIA vragenlijst in.
Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen. Stel het PIA verslag op.
Laat eventueel een (onafhankelijke) toets op de PIA uitvoeren.
Deze stappen worden hierna kort toegelicht.
2.1.1 Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren
De vragenlijst kan worden ingevuld door één persoon of door een team. Het heeft de voorkeur om de PIA door een team uit te laten voeren. De resultaten van de PIA worden daardoor beter omdat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken. Indien dit om praktische redenen niet mogelijk is, kan ervoor gekozen worden om de PIA door één per-soon uit te laten voeren en te laten reviewen door een tweede perper-soon. In bijlage B is een overzicht opgenomen van de personen die betrokken kunnen worden bij een PIA.
Voordat begonnen wordt met het uitvoeren van de PIA is het belangrijk vast te stellen wat u wilt bereiken, wie wat met de resultaten gaat doen en op welke manier de resultaten gebruikt gaan wor-den. Hierbij is het goed om de belangrijkste succes- en faalfactoren, zoals opgenomen in bijlage C, door te nemen en te bepalen hoe hiermee omgegaan wordt.
De antwoorden op bovenstaande vragen worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan.
1 2 3 4 5 6
De handreiking, en daarmee het stappenplan, zijn gebaseerd op het voorstel en daarmee niet conform de aangenomen teksten. In het stappenplan ontbreken dan een
beoordeling van de context en nalevingscontrole.72 Beide worden behandeld in
hoofdstuk 4.
Opkomst en invoering PIA
Er zijn drie drijfveren te onderscheiden die aan de basis liggen van de opkomst en invoering van de verplichting tot het uitvoeren van een PIA. De mate waarin gegevens
worden verzameld, verwerkt, bewerkt en bewaard is enorm tegenomen.73 Daarmee zijn
er toenemende bedreigen voor de privacy van betrokkenen. Ten tweede is er een toenemende trend om in actie te komen tegen toenemende privacy-‐invasie van overheden en grote corporaties. Tot slot wordt het steeds gebruikelijker om binnen organisaties gebruik te maken van risicomanagement.
Waarom een PIA uitvoeren?
Hoewel binnen de literatuur een grote hoeveelheid aan verschillende redenen wordt behandeld voor het uitvoeren van een PIA, is er splitsing te maken in een drietal redenen. De eerste, en meeste belangrijke reden, tot het uitvoeren van een PIA om vroegtijdig mogelijke privacyrisico’s te kunnen ontdekken en voorzorgsmaatregelen te
kunnen nemen en mogelijke waarborgen in te kunnen bouwen.74 De geldt ook voor
biobanken. Door middel van het uitvoeren van een privacy impact assessment voor het uitgeven van data en biomateriaal aan onderzoekers zijn ze in staat de impact op de privacy hiervan uit te vinden. Op deze manier kunnen voordat de gegevens worden uitgegeven maatregelen worden genomen om de privacy van betrokkenen te waarborgen, en eventueel kan er op basis van de uitkomsten van de PIA besloten worden om de gegevens niet uit te geven.
Ten tweede kan een PIA ook worden uitgevoerd door biobank om er voordeel uit te
halen.75 Het uitvoeren van een PIA kan het vertrouwen van deelnemers in de biobank
verbeteren. Het uitvoeren van een PIA laat zien dat de biobank de privacy van deelnemers serieus neemt.
Tot slot kan door in het PIA proces belanghebbenden, zoals deelnemers, te betrekken kunnen nieuwe inzichten en overwegingen worden gegenereerd. Andersom geeft dit ook inzicht aan de belanghebbenden zelf, zodat zij een duidelijk beeld kunnen vormen
over de organisatie en verantwoording van de biobank.76
Consequenties niet naleving
Binnen de huidige Nederlandse en Europese wetgeving is er geen expliciete verplichting tot het uitvoeren van een PIA. Zoals in de volgende hoofdstukken zal blijken kan verdedigd worden dat er onder de huidige regelgeving al een verplichting bestaat tot het uitvoeren. Aangezien dit niet expliciet is vastgelegd, is er weinig duidelijkheid over de mogelijke consequenties van niet naleving van deze verplichting.
In het voorstel is het uitvoeren van een PIA wel verplicht. Het dient uitgevoerd te worden om te voldoen aan de verordening. Als hier niet aan wordt voldaan kunnen op
72 Artikel 33 bis aangenomen teksten Algemene verordening gegevensbescherming. 73 Algemene verordening gegevensbescherming, p. 1.
74 De Hert & Wright 2012, p. 10-‐11. 75 De Hert & Wright 2012, p. 16. 76 De Hert & Wright 2012, p. 16.