• No results found

Een PIA voor biobanken? : een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken

N/A
N/A
Protected

Academic year: 2021

Share "Een PIA voor biobanken? : een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken"

Copied!
45
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Hele tekst

(1)

EEN  PIA  VOOR  BIOBANKEN?    

Een  analyse  van  de  verplichting  tot  het  uitvoeren  van  een  Privacy  Impact   Assessment  voor  algemene  biobanken  

 

R.F.  Kessel  (10624600)   Februari  2014  

 

 

(Illustratie:  Paradigm  global  events  2013)  

(2)

 

INTRODUCTIE   3

 

BIOBANKEN   5

 

Algemene  en  klinische  biobanken   5  

Use  case:  LifeLines   6  

PRIVACY  IMPACT  ASSESSMENTS:   10

 

WAT,  WAAROM,  WANNEER  EN  DOOR  WIE?   10

 

Geschiedenis  van  de  PIA   10  

Soorten  PIA’s   11  

Privacy  en  bescherming  van  persoonsgegevens   11  

Autonome  effecten   12  

Het  proces  van  een  PIA   14  

Opkomst  en  invoering  PIA   15  

Waarom  een  PIA  uitvoeren?   15  

Consequenties  niet  naleving   15  

Openbaarheid  rapport   16  

DE  VERPLICHTING  TOT  HET  UITVOEREN  VAN  EEN  PIA  ONDER  DE  ALGEMENE  

VERORDENING  GEGEVENSBESCHERMING   18

 

Privacy  &  bescherming  van  zijn  persoonsgegevens   19  

PIA  en  het  voorstel   19  

PIA  en  de  wettelijke  ontwikkeling   21  

PIA  &  Lifecycle  data  protection  management   21  

Context  criterium  en  Lifelines   25  

Pseudonimisering   26  

Use  case:  LifeLines   28  

UITZONDERINGEN  VOOR  LIFELINES   30

 

Threshold  PIA   30  

Autonome  effecten   31  

Botsing  van  grondrechten   31  

EEN  VOORSTEL  VOOR  EEN  MOGELIJKE  THRESHOLD  PIA  EN  PIA  STAPPENPLAN  VOOR  

BIOBANKEN   34

 

Een  mogelijke  threshold  PIA  voor  LifeLines   34  

Een  mogelijk  PIA  stappenplan  voor  LifeLines   36  

CONCLUSIE   39

 

LITERATUURLIJST   41

 

JURISPRUDENTIELIJST   43

 

APPENDIX   44

 

Artikel  32bis:  oog  voor  risico   44  

Artikel  33  lid  3:  een  beoordeling  bevat  ten  minste   44  

 

(3)

HOOFDSTUK  1    

INTRODUCTIE  

 

De   huidige   wetenschap   floreert   door   het   gebruik   van   algemene   biobanken.1  Deze  

biobanken  zijn  van  grote  waarde  voor  onderzoek  naar  de  invloed  van  genen,  omgeving  

en   levensstijl   op   tal   van   aandoeningen.2  Een   algemene   biobank   omvat  een  permanente  

verzameling  van  menselijk  lichaamsmateriaal  van  een  algemeen  deel  van  een  bevolking  en   aan   dat   materiaal   gerelateerde   ‘gezondheidsinformatie’,   zoals   medische,   genetische,   leefstijl   en   genealogische   informatie,   welke   verzameling   toegankelijk   is   voor   wetenschappelijk   onderzoek.3  Algemene   biobanken   doen   zelf   geen   onderzoek   maar  

geven   data   en   biomateriaal   uit   aan   onderzoekers.   Onderzoekers   zijn   hierdoor   in   staat  

om  statistisch  significante  resultaten  te  generen.4    

Echter,  het  voortbestaan  van  algemene  biobanken  is  mogelijk  in  gevaar.    Op  25  januari   2012  presenteerde  de  Europese  Commissie  het  voorstel  voor  een  algemene  verordening  

gegevensbescherming.5  Dit   nieuwe   wettelijke   kader   heeft   een   grote   invloed   op  

biobanken,  omdat  zij  per  definitie  grote  hoeveelheden  persoonsgegevens  verwerken.  In   deze  paper  zal  de  focus  liggen  op  één  van  de  belangrijkste  wijzigingen  uit  het  voorstel,   namelijk   de   invoering   van   de   verplichting   om   een   privacy   impact   assessment   (PIA)   te   verrichten.   PIA’s   worden   verplicht   gesteld   voor   langdurige   verwerkingen   van  

bijzondere  persoonsgegevens  van  grote  aantallen  betrokkenen.6  Deze  verplichting  heeft  

tot   doel   om   in   gevallen   van   verwerkingsoperaties   die   specifieke   risico’s   meebrengen   voor   de   rechten   en   vrijheden   van   betrokken   voorafgaand   aan   de   verwerking   te   kijken   naar   geplande   maatregelen,   waarborgen   en   mechanismen   ter   bescherming   van  

persoonsgegevens   en   aan   te   tonen   dat   aan   de   verordening   is   voldaan.7  Een   PIA   geeft  

vroegtijdig  inzicht  in  de  belangrijkste  privacyrisico’s  van  een  project,  zodat  kan  worden  

voorkomen  dat  in  een  later  stadium  kostbare  aanpassing  nodig  zijn.8  Anderzijds  is  het  

uitvoeren   van   een   PIA   is   een   tijdrovende   en   dure   bezigheid.   De   kosten   voor   het  

uitvoeren  van  een  PIA  worden  geschat  tussen  de  €14.000  en  €149.000.9  Daarnaast  kan  

het  leiden  tot  vertraging  van  het  project  en  wordt  het  gezien  als  onnodig.10    

 

Vanuit  de  medisch-­‐wetenschappelijke  onderzoekswereld  is  er  veel  kritiek  gekomen  op   het   voorstel.   Deze   kritiek   gaat   hoofdzakelijk   over   de   toevoeging   van   begrip   pseudonimisering,   waardoor   medisch-­‐wetenschappelijk   onderzoek   dreigt   te   worden  

geblokkeerd.  11  In  de  kritiek  wordt  voorbij  gegaan  aan  de  verplichting  tot  het  uitvoeren  

van  een  PIA.  Toch  kan  deze  verplichting  grote  gevolgen  hebben  voor  biobanken.  Zo  kan  

                                                                                                               

1  Leenknegt  2014,  p.  2.     2  Brandsma  e.a.  2010,  p.  25.   3  Bovenberg  2004,  p.  296.   4  Bovenberg  2004,  p.  296.  

5  Voorstel  voor  een  Verordening  van  het  Europees  Parlement  en  de  Raad  betreffende  de  bescherming  van  natuurlijke   personen  in  verband  met  de  verwerking  van  persoonsgegevens  en  betreffende  het  vrije  verkeer  van  die  gegevens   (voorstel  Algemene  verordening  gegevensbescherming),  25/01/2012,  COM(2012)  11  final.  Te  vinden  op;   http://ec.europa.eu/justice/data-­‐protection/document/review2012/com_2012_11_nl.pdf.  

6  Artikel  33  Algemene  verordening  gegevensbescherming  .  

7  Overweging  70  voorstel  Algemene  verordening  gegevensbescherming.     8  Norea  2013,  p.  5.    

9  Impact  Assessment  Impact  Assessment  Accompanying  the  document  Regulation  of  the  European  Parliament  and  of  the   Council  on  the  protection  of  individuals  with  regard  to  the  processing  of  personal  data  and  on  the  free  movement  of  such   data  (General  Data  Protection  Regulation  Directive  of  the  European  Parliament  and  of  the  Council  on  the  protection  of   individuals  with  regard  to  the  processing  of  personal  data  by  competent  authorities  for  the  purposes  of  prevention,   investigation,  detection  or  prosecution  of  criminal  offences  or  the  execution  of  criminal  penalties,  and  the  free  movement   of  such  data,  p.  124-­‐126.  Te  vinden  op;  http://ec.europa.eu/justice/data-­‐

protection/document/review2012/sec_2012_72_en.pdf.     10  De  Hert  &  Wright  2012,  p.  452.    

11  Protecting  health  and  scientific  research  in  the  Data  Protection  Regulation  (2012/0011(COD))  Position  of  non-­‐ commercial  research  organisations  and  academics  –  January  2014,  p.  2.    

(4)

 

het  niet  uitvoeren  van  een  PIA  onder  de  aangenomen  teksten  leiden  tot  administratieve   sanctie   tot   maximaal   €   100.000.000   of   tot   5%   van   de   globale   jaaromzet   bij  

ondernemingen,   afhankelijk   van   welk   bedrag   hoger   is.12     In   deze   paper   zal   gepoogd  

worden  deze  leemte  op  te  vullen  door  de  verplichting  en  diens  gevolgen  voor  biobanken   te  behandelen.      

 

Algemene  biobanken  verzamelen,  bewerken  en  bewaren  grote  hoeveelheden  bijzondere   persoonsgegevens.  De  grootste  algemene  biobank  van  Nederland,  LifeLines,  verzamelt,  

bewerkt   en   bewaart   gegevens   en   biomateriaal   van   meer   dan   165.000   deelnemers.13  

LifeLines   heeft   afgelopen   5   jaar   ruim   400   onderzoeken   voorzien   van   data   en  

biomateriaal.14  De  nieuwe  verplichting  betekent  mogelijk  dat  biobanken  zoals  LifeLines  

voor   iedere   onderzoeksaanvraag   opnieuw   een   PIA   moeten   uitvoeren.   Gezien   de   hoge   kosten  en  de  zware  lasten  die  het  uitvoeren  van  PIA  met  zich  meebrengt  kan  dit  grote   gevolgen  hebben  voor  het  voortbestaan  van  algemene  biobanken.      

 

Van  groot  belang  is  dat  de  Verordening  zelf  de  PIA  niet  ziet  als  een  absolute  toets  van   het  abstracte  begrip  privacy,  maar  als  een  assessment  waarin  ruimte  moet  zijn  voor  een   beoordeling  van  de  context  van  de  gegevensverwerking.15  Het  is  dan  ook  essentieel  dat  die  

context  van  de  biobank  geschetst  wordt.  Het  doel  van  deze  paper  is  om  te  verhelderen   wat   deze   nieuwe   verplichting   inhoudt   voor   algemene   biobanken   en   hoe   zij   aan   deze   nieuw  verplichting  kunnen  voldoen.    

 

Hiertoe  valt  deze  paper  uiteen  in  een  theoretisch  deel  en  een  toegepast  deel.  Het  doel   van   het   theoretische   deel   is   om   de   vraag   te   beantwoorden   in   hoeverre   algemene   biobanken  na  invoering  van  de  EU  Verordening  de  verplichting  hebben  om  een  PIA  uit   te  voeren.  In  het  bijzonder  zal  daarbij  worden  ingegaan  op  de  vraag  of  die  verplichting   ook   bestaat   indien   een   biobank   de   door   haar   verzamelde   persoonsgegevens   heeft   gepseudonimiseerd.  De  daarbij  bijbehorende  onderzoeksmethode  is  tweeledig.  Voor  het   theoretische  zal  een  analyse  worden  gemaakt  van  wet-­‐  en  regelgeving,  jurisprudentie  en   literatuur.   Van   de   verordening   zullen   zowel   het   voorstel   als   de   aangenomen   tekst   worden  behandeld  om  een  beeld  te  schetsen  van  de  ontwikkelingen  voorafgaand  aan  de   aangenomen   tekst.   De   aangenomen   teksten   zijn   momenteel   (februari   2015)   nog   een   ‘moving   target’.   Veranderingen   na   12   maart   2014   in   de   aangenomen   tekst   worden   buiten  beschouwing  gelaten.  In  het  toegepaste  deel  zal  een  use  case  (LifeLines)  worden   behandeld.  De  use  case  dient  ter  illustratie  van  wat  deze  nieuwe  verplichting  voor  een   biobank  als  LifeLines  inhoudt  en  hoe  zij  aan  deze  verplichting  kan  voldoen.    

 

De   opbouw   van   deze   paper   is   als   volgt;   in   hoofdstuk   twee   zullen   biobanken   in   het   algemeen   en   de   use   case   LifeLines   worden   behandeld.   Hoofdstuk   drie   schetst   het   instrument   PIA.   Opeenvolgend   zal   in   het   vierde   hoofdstuk   de   algemene   verordening   gegevensbescherming   worden   behandeld   en   de   nieuwe   verplichting   tot   het   uitvoeren   van   een   privacy   impact   assessment.   Hiervoor   zal   gebruik   worden   gemaakt   van   het   voorstel   als   de   aangenomen   teksten   12   maart   2014   om   ontwikkeling   van   de   verordening   te   schetsen.   In   het   vijfde   hoofdstuk   zullen   eventuele   uitzonderingen   op   deze  verplichtingen  worden  behandeld,  als  mede  de  threshold.  In  hoofdstuk  zes  zal  een   voorstel  worden  gedaan  voor  een  mogelijke  threshold  PIA  en  een  PIA  stappenplan  voor   biobanken.  Tot  slot  zal  in  het  laatste  hoofdstuk  de  bevindingen  van  deze  paper  worden   samengevat.    

                                                                                                               

12  Artikel  79  lid  2bis  sub  c  aangenomen  teksten  Algemene  verordening  gegevensbescherming.  

13  LifeLines,  Doel  en  uitgangspunten.  Te  vinden  op;  https://www.lifelines.nl/organisatie/doel-­‐en-­‐uitgangspunten.   14  LifeLines,  Ambitie  en  kernwaarden.  Te  vinden  op;  https://www.lifelines.nl/organisatie/ambitie-­‐en-­‐kernwaarden.   15  Artikel  33  lid  3  onder  j  aangenomen  teksten  Algemene  verordening  gegevensbescherming.  

(5)

HOOFDSTUK  2    

BIOBANKEN  

 

Sinds   jaar   en   dag   wordt   in   Nederland   lichaamsmateriaal   afgenomen,   onderzocht   en   bewaard   in   het   kader   van   geneeskundige   behandelingen. 16  Biobanken   zijn  

verzamelingen   van   lichaamsmateriaal   die   voor   wetenschap   of   voor   behandeling   zijn   bijeengebracht,   met   daaraan   gekoppeld   medische,   genetische   of   andere   gegevens   over  

de   donoren.17  Nederland   kent   ruim   150   biobanken.18  Deze   biobanken   verschillen  

onderling   qua   opgenomen,   qua   aard   en   hoeveelheid   van   opgeslagen   materiaal   en/of   gegevens,   qua   kader   waarbinnen   het   materiaal   en/of   de   gegevens   zijn   verzameld,   qua  

onderliggend  wetenschappelijk  doel,  qua  organisatie  en  qua  financiering.19    

Algemene  en  klinische  biobanken  

 

Er  zijn  twee  verschillende  soorten  biobanken  te  onderscheiden;  een  algemene  biobank   en   een   klinische   of   ‘bijzondere’   biobank.   Een   algemene   biobank   betreft   een   algemeen   deel  van  de  bevolking,  daar  waar  een  klinische  biobank  een  cohort  van  een  bijzondere   groep   patiënten   betreft.   In   tegenstelling   tot   klinische   biobanken   zijn   algemene   biobanken  niet  opgezet  vanuit  de  studie  naar  een  bepaalde  ziekte.  Algemene  biobanken   zijn   opgezet   als   een   zo   algemeen   mogelijk   opgezette   informatiebron   voor,   deels   in   de   toekomst   te   formuleren,   onderzoek   naar   allerlei   complexe   ziektes.20  Algemene   biobanken   zijn   veelal   grootschalig   en   professioneel   georganiseerd   en,   in   tegenstelling   tot   een   klinische   biobank,   niet   slechts   toegankelijk   voor   de   oorspronkelijke   verzamelaars.21  Een  algemene  biobank  is  van  meet  af  aan  opgezet  voor  multidisciplinair,   longitudinaal,  prospectief  en  zo  mogelijk  multinationaal  onderzoek.22    

Een   algemene   biobank   kan   worden   omschreven   als   ‘een   permanente   verzameling   van   menselijk   lichaamsmateriaal   van   een   algemeen   deel   van   een   bevolking   en   aan   dat   materiaal   gerelateerde   ‘gezondheidsinformatie’,   zoals   medische,   genetische,   leefstijl   en   genealogische   informatie,   welke   verzameling   toegankelijk   is   voor   wetenschappelijk   onderzoek’.23  

Klinische   biobanken   zijn   vaak   tot   stand   gekomen   door   inspanningen   van   artsen   of   klinisch   georganiseerde   onderzoekers.   Hoewel   deze   biobanken   vaak   veel   informatie   bevatten   is   deze   informatie   doorgaans   niet   toegankelijk.   Het   onderscheid   tussen   algemene  en  klinische  biobanken  grotendeels  theoretisch.  In  praktijken  zijn  biobanken   veelal  ‘hybriden’,  ze  combineren  bestaande  data  met  nieuwe  data  of  andersom.24    

Toch   zal   deze   paper   zal   zich   slechts   toespitsen   op   algemene   biobanken,   omdat   deze   mogelijke   extra   spanningen   met   zich   meebrengen   door   de   uitgifte   van   data   en   biomateriaal.    

 

 

                                                                                                               

16  Bovenberg  2004,  p.  296.     17  Leschot  2006,  p.  2350-­‐2351.     18  Brandsma  e.a.  2010,  p.  25.   19  Bovenberg  2004,  p.  297.   20  Bovenberg  2004,  p.  296.   21  Brandsma  e.a.  2010,  p.  25.     22  Bovenberg  2004,  p.  296.   23  Bovenberg  2004,  p.  296.   24  Bovenberg,  2006,  p.  117.

   

(6)

 

Use  case:  LifeLines  

 

Voor   het   toegepaste   deel   van   deze   paper   wordt   gebruikt   gemaakt   van   de   use   case   LifeLines.  LifeLines  is  de  grootste  algemene  biobank  van  Nederland  met  ruim  165.000   participanten.   LifeLines   is   uniek   omdat   het   de   enige   actieve   biobank   is.   Gedurende   30   jaar   worden   drie   generaties   gevolgd.   Het   onderzoek   bestaat   uit   3   onderdelen   (zie   afbeelding  2.1):    

• Iedere   vijf   jaar   brengen   participanten   een   bezoek   aan   LifeLines   waarbij   metingen   en   tests   worden   gedaan   en   biomateriaal   wordt   verzameld   (zie   afbeelding  2.2;  measurements  en  laboratory  assessment)  

• Iedere   anderhalf   jaar   ontvangen   deelnemers   een     follow   up   vragenlijst   (zie   afbeelding  2.2  questionnaires)    

• Continu  worden  gegevens  verzameld  uit  het  huisartsen  dossier,  medisch  dossier  

in  ziekenhuizen  en  milieu  data  (zie  afbeelding  2.2  linkage)    25  

 

  Afbeelding  2.1  Gegevensverzamelingsactiviteiten  door  LifeLines  (bron:  LifeLines  2013)  

                                                                                                               

25  LifeLines,  Doel  en  uitgangspunten.  Te  vinden  op;  https://lifelines.nl/organisatie/doel-­‐en-­‐uitgangspunten.  

The homogenous composition of the population in the North of The Nether-lands is highly suitable for observational follow-up studies, as people in the Dutch Northern provinces tend to keep living in the same area for many generations. LifeLines covers three generations and has a high response rate. This design enables the prospective investigation of risk factors, which is crucial in the study of (health) behavioural and environmental and other time-varying exposures, as well as interactions between genetic and environmental risk factors.

Key benefits of this three-generation design:

Vast statistical advantages: multi-ple-level information, separation of non-genetic and genetic familial trans-mission, direct haplotype assessment, and increased power and precision Unique possibilities to study social

characteristics: socioeconomic mobili-ty, partner preferences, and between- generation similarities

Data Collection and Sample Storage

All participants receive a number of questionnaires and a medical examination. Fasting blood samples and 24-hour urine are collected for long term storage and to perform laboratory measurements.

The participants are followed for at least thirty years and are invited every five years for a medical examination at a local LifeLines research facility. In the years in-between the participants receive follow-up questionnaires. Follow-up on morbidity and mortality will also be based on general practitioners, hospital and pharmacy records.

Conditioned transport of blood and urine samples towards the highly automated LifeLines laboratory guarantees complete traceability. Samples are analyzed and stored at -80 °C on the same day of collec-tion. Uniquely 2D barcoded labware are used for storage.

‘LifeStore’

The storage facility of LifeLines, ‘Life-Store’ is currently under construction in Groningen, The Netherlands, and will be fully operational beginning 2014. This is a completely automated sample storage with a capacity of 8+ million aliquots at -80 °C which will do fully automated overnight sample retrieval. Storage of blood and urine samples at high quality standards at different time points (every 5 year) facilitates the researchers to go back in time to investigate traces of diseases and the effects different of treatments in the carefully processed and registered biomaterials.

5 years 5 years

1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years

Baseline visit & follow-up visits

Follow-up data collection

Follow-up by record linkage

Timeline

Baseline visit: Participants visit LifeLines Research Site

Measurements

Sample collection (blood and 24-hour urine)

Questionnaires Second visit fasting

At home: 24h urine collection and questionnaires

Follow-up data collection (every 1,5 years)

Questionnaires Follow-up

New questions (requested by researchers)

Food frequency questionnaire

Follow-up by record linkage (continuously)

Link with external data Hospitals records

Follow-up visit (every 5 years)

Measurements

ECG, anthropometry, lung func-tion, blood pressure, cognition Sample collection (fasting blood,

24h urine, scalp hair and faeces) Questionnaires

(7)

  Afbeelding  2.2  Gegevensverzameling  en  verwerking  door  LifeLines  (Bron:  LifeLines  2013)    

Onder   invloed   van   vergrijzing,   een   verkeerd   voedings-­‐   en   bewegingspatroon   en  

omgevingsfactoren   neemt   het   aantal   mensen   met   een   chronische   ziekte   sterk   toe.26  

LifeLines  heeft  het  doel  om  onderzoek  naar  gezond  ouder  worden  mogelijk  te  maken.27  

Om  de  invloed  van  omgevingsfactoren  te  onderzoeken  heeft  LifeLines  de  mogelijkheid   om   demografische   gegevens   te   koppelen   aan   milieudata   (zie   afbeelding   2.2).   LifeLines   zelf  doet  geen  wetenschappelijk  onderzoek,  ze  geeft  enkel  data  en  biomateriaal  uit  voor   onderzoek.  

 

LifeLines  is  wel  de  verwerker  van  de  persoonsgegevens  en  niet  de  bewerker,  als  in  de   zin   van   de   Wbp   en   de   verordening.   Ingevolge   artikel   1   onder   e   van   de   Wbp   is   een   bewerker   degene   die   ten   behoeve   van   de   verantwoordelijke   persoonsgegevens   verwerkt,  

                                                                                                               

26  LifeLines,  Ambitie  en  kernwaarden.  Te  vinden  op;  https://www.lifelines.nl/organisatie/ambitie-­‐en-­‐kernwaarden.       27  LifeLines,  Doel  en  uitgangspunten.    

(8)

 

zonder  aan  zijn  rechtstreeks  gezag  te  zijn  onderworpen.  In  het  geval  van  LifeLines  heeft   zij   wel   zeggenschap   over   het   doel   en   de   middelen   voor   verwerking   van   de  

persoonsgegeven.28  Data   en   biomateriaal   worden   pas   beschikbaar   gesteld   als   de  

aanvraag   is   goedgekeurd   door   de   wetenschapscommissie   van   LifeLines.   De   aanvragen  

worden  getoetst  en  gescreend  op:29  

• Wetenschappelijk  inhoudelijke  kwaliteit  

• Het  onderzoek  moet  passen  binnen  het  doel  Healthy  Ageing  

• De   hoeveelheid   gevraagde   data   en   biomaterialen   moet   proportioneel   zijn   en   passen  bij  het  doel  van  het  onderzoek.    

• Kwaliteit  en  onafhankelijkheid  van  de  onderzoekers.      

Alle  deelnemers  aan  LifeLines  onderteken  een  verklaring  van  toestemming,  waarmee  ze   instemmen  deel  te  nemen  aan  LifeLines.  Ze  gaan  er  mee  akkoord  dat  onderzoekers  ook   gebruik   kunnen   maken   van   de   gegevens   uit   het   medische   dossier   van   hun   huisarts,  

ziekenhuis  of  andere  instellingen  (zie  afbeelding  2.3).  30    

 

Gedurende   de   periode   2009   t/m   2014   zijn   er   ruim   400   aanvragen   goedgekeurd.   Tot   dusver   komen   vrijwel   alle   onderzoeksvragen   uit   Nederland   en   zijn   deze   voor   het  

grootste   deel   afkomstig   van   UMCG-­‐onderzoekers,   aldus   LifeLines.31  De   achtergronden  

en  vakgebieden  van  onderzoekers  zijn  zeer  divers,  van  biologen  tot  sociologen,  en  van   artsen  tot  economen.  

 

Indien  een  onderzoeksaanvraag  is  goedgekeurd,  krijgt  de  onderzoeker  volgens  LifeLines   na   ondertekening   van   een   contract   tijdelijke   toegang   tot   gepseudonimiseerde   data   in   een   beveiligde   omgeving.   Uit   de   Privacyreglementen   van   LifeLines   volgt   dat   volgens   LifeLines   de   data   gecodeerd   wordt   opgeslagen   door   middel   van   een   versleutelde   formule.   Iedere   keer   dat   data   aan   onderzoekers   worden   uitgegeven   worden   de   data  

wederom  gecodeerd  door  middel  van  een  versleutelde  formule.  32  Volgens  LifeLines  kan  

de   data   niet   worden   gekopieerd   en   is   de   data   maximaal   1   jaar   toegankelijk   voor   de   onderzoeker.   Gedurende   dit   jaar   wordt   er   door   LifeLines   contact   gehouden   met   de   onderzoeker  en  wordt  er  gecontroleerd  of  er  binnen  maximaal  een  jaar  na  toegang  een  

publicatie  volgt.  33  

 

                                                                                                               

28  CBP  14  mei  2002,  Begrip  verwerker,  z2002-­‐0362.  

29  LifeLines,  Onderzoek.  Te  vinden  op;  https://www.lifelines.nl/organisatie/onderzoek.    

30  LifeLines,  Verklaring  van  toestemming.  Te  vinden  op;  https://www.lifelines.nl/upload/file/lifelines+-­‐ +informed+consent+1.1.3.pdf  

31  LifeLines,  Ambitie  en  kernwaarden.    

32  Artikel  10  lid  2  Privacyreglementen  LifeLines.  Te  vinden  op;  

https://www.lifelines.nl/upload/file/privacyreglement+lifelines+-­‐+definitief+1.0.pdf   33  LifeLines,  Onderzoek.    

(9)

  Afbeelding  2.3  Verklaring  van  toestemming  deelnemers  LifeLines  (Bron:  LifeLines)  

Handtekening deelnemer: :

VERKLARING VAN TOESTEMMING

Ondergetekende stemt erin toe deel te nemen aan het LifeLines onderzoek gericht op het ontrafelen van de interactie tussen genetische en omgevingsfactoren bij het ontstaan en het beloop van een aantal verschillende veelvoorkomende chronische ziekten die bij het ouder worden kunnen optreden zoals, doch niet uitsluitend, diabetes, hart- en vaatziekten, longaandoeningen en depressies. Ik ga er mee akkoord dat binnen deze studie een deel van de onderzoeksvragen nog nader geformuleerd moet worden. Met de kennis die opgedaan wordt hoopt men een bijdrage te leveren aan het gezonder ouder worden.

Ik ga er mee akkoord dat deelname aan dit onderzoek inhoudt dat ik, gedurende een langere periode, uitgebreide vragenlijsten over mijn gezondheid en leefgewoonten zal invullen, en om de 4-5 jaar een bezoek aan de huisarts of onderzoekslocatie breng voor een aantal metingen. Bij een aantal bezoeken zal bij mij 75 ml of minder bloed worden afgenomen en wordt mij gevraagd urine in te leveren. Het bloed en de urine worden ingevroren om later bepalingen op te doen, die van belang zijn voor de kennis over chronische ziekten op oudere leeftijd. Ik ga er mee akkoord dat op enig moment (eventuele) partners, ouders en kinderen gevraagd worden om deel te nemen aan de studie". Ik ga ermee akkoord dat de uitslagen voortkomend uit het LifeLines onderzoek die voor de huisarts van belang zijn, zoals bloeddruk, bloedwaarden, longfunctie, ECG, cholesterol, bloedglucose spiegel en de resultaten van het MINI interview, aan mijn huisarts worden doorgegeven.

Ik ga ermee akkoord dat de onderzoekers gebruik kunnen maken van de gegevens (ziekenhuis-opname, diagnose,behandeling en medicatie) uit mijn medisch dossier van mijn huisarts of van ziekenhuizen,

verzorgingstehuizen of andere instellingen waar ik een medische behandeling heb ondergaan, alsmede van mijn gegevens in registraties voor zover deze betrekking hebben op de doelstelling van het LifeLines onderzoek (Centraal bureau voor de Statistiek, de landelijke registratie van doodsoorzaken). De onderzoekers zullen mijn gegevens vertrouwelijk behandelen en daarbij alle regels in acht nemen die vastgelegd zijn in de Wet Bescherming Persoonsgegevens.

Ik ga ermee akkoord dat de onderzoekers van LifeLines mij benaderen voor aanvullende vragen en onderzoeken, die van belang zijn voor het inzicht in chronische ziekten.

Ik erken dat het afgenomen lichaamsmateriaal en de door LifeLines verzamelde gegevens toebehoren aan LifeLines en dat ik terzake van het daarop verrichte onderzoek geen aanspraak kan maken.

Met het ondertekenen van deze verklaring behoud ik te allen tijde de vrijheid, ook zonder opgaaf van redenen, van verdere medewerking aan het onderzoek af te zien. Dit heeft geen gevolgen voor mijn verdere behandeling door mijn huisarts en door het UMCG.

Door het ondertekenen van deze verklaring geef ik

Ja Nee

Naam :

Geboortedatum :

LifeLines nummer:

mede te kennen voldoende geïnformeerd te zijn over het doel en de uitvoering van het onderzoek.

Datum

-

Dag Maand Jaar

Ik wil de uitslagen van de directe metingen zelf ontvangen:

Datum van ontvangst :

Naam :

Handtekening :

IC index -1.1.3

(10)

 

 

HOOFDSTUK  3      

PRIVACY  IMPACT  ASSESSMENTS:   WAT,  WAAROM,  WANNEER  EN  DOOR  WIE?  

 

PIA   is   de   afkorting   van   Privacy   Impact   Assessment   (in   het   Nederlands   “privacyeffectbeoordeling”).  Een  PIA  kan  worden  gedefinieerd  als:  

 

“A   privacy   impact   assessment   is   a   methodology   for   assessing   the   impacts   on   privacy    of  a  project,  policy,  programme,  service,  product  or  other  initiative  which   involves   the   processing   of   personal   information   and,   in   consultation   with   stakeholders,   for   taking   remedial   actions   as   necessary   in   order   to   avoid   or   minimise  negative  impacts”34  

Geschiedenis  van  de  PIA  

 

Wetten   inzake   gegevensbescherming   bestaan   al   sinds   het   begin   van   de   jaren   ’70   in   verschillende  Europese  landen.  Veelal  was  een  vorm  van  registratie  of  een  vergunning   vereist  als  middel  om  te  kunnen  controleren  of  de  bewerker  zich  aan  alle  wettelijk  eisen  

hield.35  Echter  de  eis  om  in  overeenstemming  met  de  wet  te  handelen  (“compliance”),  is  

vele  malen  minder  veeleisend  dan  het  uitvoeren  van  een  PIA.      

De   oorsprong   van   het   instrument   PIA   kan   worden   gevonden   in   twee   voorlopers.   De   eerste   is   het   Technology   Assessment   (TA)   zoals   dat   werd   uitgeoefend   door   het  

Amerikaanse   Office   of   Technology   Assessment   (1917-­‐1995).36  Dit   assessment   beoogde    

leden   van   het   Amerikaanse   Congres   te   voorzien   van   objectieve   en   gezaghebbende  

analyses   van     complexe   technische   en   wetenschappelijke   problemen.37  De   tweede  

oorsprong   kan   worden   gevonden   in   het   Impact   Statement.  38  De   eerste   toepassing  

hiervan   was   de   Environmental   Impact   Statement   (EIS),   als   gevolg   van   de   ‘green   movements’.  In  1969  voerden  de  Verenigde  Staten  de  verplichting  in  tot  het  uitvoeren  

van   een   EIS   voor   overheidsinstanties39,   waarna   andere   landen   snel   volgden.40  Een   EIS  

moest   besluitvormers   informatie   verschaffen   over   de   waarschijnlijk   ecologische  

consequenties   van   hun   acties.41  In   Nederland   is   EIS   bekend   als   de   Milieu   Effect  

Rapportage  (MER).42  De  hoge  kosten  en  de  vertraging  als  gevolg  van  het  uitvoeren  van  

een   EIS,   zorgden   voor   grote   ontevredenheid   bij   besluitvormers   over   deze   nieuwe   verplichting.  Ook  ontstond  er  cynisme  over  de  toegevoegde  waarde  van  een  EIS.  Hoewel   het   uitvoeren   van   een   EIS   wettelijk   verplicht   is,   waren   er   vele   manieren   waarop   ongeschikte   projecten   goedkeuring   konden   krijgen.   De   EIS   werd   op   vele   verschillende  

manieren  uitgevoerd  en  was  onvoldoende  controleerbaar.43  Ook  in  Nederland  is  de  MER  

niet  onbetwist  gebleven.  Het  wordt  ervaren  als  een  zwaar  instrument;  met  de  uitvoering   zijn  doorgaans  veel  tijd  en  hoge  kosten  gemoeid.  Ook  is  de  MER  louter  een  hulpmiddel   bij   de   besluitvorming.   Het   dwingt   niet   tot   milieuvriendelijker   besluitvorming   noch   de   keuze  voor  het  meest  milieuvriendelijke  alternatief.    Als  gevolg  hiervan  heeft  het  weinig  

invloed  op  de  uiteindelijke  besluitneming.44  

                                                                                                               

34  De  Hert  &  Wright  2012,  p.  5.     35  Clarke  2009,  p.  125.     36  Clarke.  2009,  p.  125.    

37  The  OTA  Legacy.  Te  vinden  op  https://www.princeton.edu/~ota/.     38  Clarke.  2009,  p.  125.   39  Wood  2003,  p.  19-­‐20.     40  Clarke  2009,  p.  125.     41  Wood  2003,  p.  20.       42  Jesse  2008,  p.2. 43  Clarke  2009,  p.  125.   44  Jesse  2008,  p.  4-­‐5.    

(11)

 

Al  aan  het  begin  van  de  jaren  ’70  werd  in  Amerika  het  concept  van  PIA,  hoewel  nog  niet   onder   deze   term,   gebruikt.   “Each   time   a   new   personal   data   system   is   proposed   (or   expansion   of   an   existing   system   is   contemplated)   those   responsible   for   the   activity   the   system   will   serve,   as   well   as   those   specifically   charged   with   designing   and   implementing   the  system,  should  answer  such  questions  as.  What  purposes  will  be  served  by  the  system   and   the   data   to   be   collected?   How   might   these   purposes   be   accomplished   without   collecting  these  data?”45  

In   1984   verscheen   voor   het   eerst   de   term   Privacy   Impact   Statement,   gebaseerd   op   de   Environmental   Impact   Statement.   Flaherty   citeert   een   document   waarin   de   Canadese   Justitie  Commissie  het  gebruik  van  een  Privacy  Impact  Statement  adviseert.  Deze  zelfde   commissie   wijst   in   het   genoemde   document   de   formele   verplichting   tot   een   Privacy  

Impact   Statement   voor   ieder   stuk   wetgeving   af.46  In   jaren   hierop   volgend   werd   het  

gebruik  van  een  Privacy  Impact  Statement  (PIS)  in  Canada  steeds  meer  gebruikelijk.  47  

 

Sinds   halverwege   de   jaren   90   wordt   er   wereldwijd   gebruik   gemaakt   van   de   term   PIA.   PIA   is   een   meer   omvattende   term   dan   PIS   en   is   meer   gericht   op   het   proces   dan   het   product  en  omvat  daarnaast  overleg  en  beoordeling.    

 

Soorten  PIA’s  

 

Er  zijn  twee  verschillende  soorten  PIA’s  te  onderscheiden.  Allereerst  is  er  een  PIA  voor   wetgevers.   Sinds   de   Franken   motie   is   aangenomen,   is   de   wetgever   verplicht   om   rekening  te  houden  met  de  resultaten  van  een  PIA  tijdens  de  ontwikkeling  van  nieuwe  

wetgeving.48  De   tweede   soort   is   een   PIA   voor   verwerkers   van   persoonsgegevens.  

Daarmee   zijn   verwerkers   van   persoonsgegevens   verplicht   om   te   beoordelen   wat   de  

impact  is  van  hun  verwerking  op  de  privacy  van  de  betrokken  personen.49    

 

In  deze  paper  zal  enkel  de  laatste  vorm  van  een  PIA  worden  behandeld.    

 

Privacy  en  bescherming  van  persoonsgegevens  

 

Ondanks  dat  privacy  en  bescherming  van  persoonsgegevens  nauw  met  elkaar  verweven   zijn,    hebben  ze  in  het  huidige  Europese  recht  een  zelfstandig  karakter.  In  artikel  7  van  

het   EU-­‐Handvest50  is   het   recht   op   eerbiediging   van   zijn   priveleven,   zijn   familie-­‐   en  

gezinsleven,  zijn  woning  en  zijn  communicatie  opgenomen,  ofwel  het  recht  op  privacy.51  

Deze  tekst  is  overgenomen  van  artikel  8  van  het  Europees  Verdrag  voor  de  Rechten  van  

de   Mens.52  Het   Hof   van   Justitie   van   de   Europese   Unie   heeft   inzake   EU-­‐richtlijn   94/46  

geoordeeld   dat   het   verwerken   van   persoonsgegevens   het   recht   op   privacy   kan   aantasten.   Daarom   dienen   inmengingen   in   de   persoonlijke   levenssfeer   gelezen   te  

worden  in  samenhang  met  artikel  8  EVRM.53  Het  Europese  Hof  voor  de  Rechten  van  de  

Mens   heeft   in   jurisprudentie   bepaald   dat   dit   een   breed   spectrum   aan   kwesties   kan  

omvatten.54  Zo   omvat   het   onder   meer   gegevens   over   gezondheid55,   persoonlijke  

                                                                                                               

45  HEW  1973,  p.  51.    

46  Flaherty  1989,  p.  277-­‐278.   47  Clarke.  2009,  p.  126.  

48  CBP  5  maart  2013,  Advies-­‐concept  Toetsmodel  Privacy  Impact,  z2012-­‐00847.   49  Norea  2013,  p.  5.    

50  Handvest  van  de  Grondrechten  van  de  Europese  Unie  (EU-­‐Handvest)  200/C  364/01.  Te  vinden  op;   http://www.europarl.europa.eu/charter/pdf/text_nl.pdf.    

51  Gellert  &  Gutwirth    2011,  p.  51.     52  Gellert  &  Gutwirth    2011,  p.  52.    

53  HvJ  EG,  20  mei  2003,  C-­‐465/00,  C-­‐138/01  en  C-­‐139/01  (Österreichischer  Rundfunk  t.  Oostenrijk)   54  EHRM,  12  september  2012,  10593/08  (Nada,  t.  Switzerland)    

(12)

 

ontwikkeling56,   identiteit57     en   bescherming   van   persoonsgegevens.58  Het   Hof   heeft  

daarbij  opgemerkt  dat  het  onmogelijk  en  niet  noodzakelijk  is  om  de  reikwijdte  van  het  

begrip  privacy  in  een  uitputtende  manier  te  definiëren.59  Daarmee  geeft  recht  op  respect  

voor  zijn  privéleven,  zijn  familie-­‐  en  gezinsleven,  zijn  woning  en  zijn  correspondentie  het   Hof  een  juridische  basis  om  vrijwel  elke  eigenschap  of  gedraging  van  een  individu  die   het   individu   definieert   als   menselijk   wezen,   met   inbegrip   van   persoonsgegevens,  

hieronder  te  scharen.60  

 

Naast  het  recht  op  privacy  is  er  sinds  kort  sprake  van  een  meer  expliciete  erkenning  van   het  recht  op  bescherming  van  persoonsgegevens.  Sinds  het  Verdrag  van  Lissabon  wordt   het  beginsel  van  bescherming  van  persoonsgegevens  constitutioneel  erkend  in  artikel  8   van   het   EU-­‐Handvest.   In   het   EVRM   wordt   dit   onderscheid   niet   gemaakt.   Zo   heeft   het   EHRM  over  bescherming  van  persoonsgegevens  geoordeeld  vanuit  het  perspectief  van  

privacy.61  Het   EHRM   heeft   daarvoor   een   criteria   vastgesteld   om   te   beoordelen   of   een  

bescherming  van  persoonsgegevens  wel  of  niet  aan  artikel  8  van  het  EVRM  raakt.62  Er  

wordt   een   onderscheid   tussen   enerzijds   verwerkingen   die   wel   aan   het   privéleven   geraken   en   anderzijds   verwerkingen   die   niet   aan   het   privéleven   geraken.   Indien   gegevens  intrinsiek  verbonden  zijn  met  het  privéleven  van  een  individu,  en  dus  aan  het   privéleven  geraken,  valt  het  zonder  twijfel  onder  reikwijdte  van  het  artikel  8  EVRM  en  

heeft  het  daarmee  ook  een  impact  op  de  privacy  van  de  betrokkene.63  Indien  gegevens  

niet  aan  het  privéleven  geraken,  dient  er  gekeken  te  worden  naar  de  aard  en  de  omvang   van  de  verwerking:  werden  de  gegevens  systematisch  opgeslagen,  gebeurde  de  opslag   met   de   focus   op   een   individu,   konden   betrokkenen   redelijkerwijs   verwachten   dat   er  

verwerking  van  de  gegevens  zou  plaatsvinden?  64  

 

Dat   betekent   dat   niet   elke   verwerking   van   persoonsgegevens   die   onder   bescherming   van   persoonsgegevens   valt   noodzakelijk   een   impact   op   de   privacy   van   de   betrokkene   heeft.  Tijdens  het  PIA  proces  betekent  dit  dat  er  pas  sprake  is  van  impact  op  de  privacy   van  betrokkene  als  aan  bovengenoemde  eisen  is  voldaan.    

 

Daarbij   moet   nog   in   acht   worden   genomen   dat   zowel   het   recht   op   eerbiediging   van   privéleven,  familie-­‐  en  gezinsleven,  waaruit  het  recht  op  privacy  wordt  afgeleid,  als  het   recht  op  bescherming  van  persoonsgegevens  geen  absolute  rechten  zijn.  Beide  moeten   in  relatie  tot  de  functie  ervan  in  de  samenleving  worden  beschouwd  en  moeten  worden  

afgewogen   tegen   andere   grondrechten,   overeenkomstig   het   evenredigheidsbeginsel.65  

In   hoofdstuk   5   wordt   verder   ingegaan   op   deze   afweging   van   belangen   specifiek   voor   LifeLines.      

 

  Autonome  effecten  

 

Ingevolge  artikel  33  lid  1  voert  de  verwerker  een  beoordeling  uit  welke  het  effect  van  de   beoogde  verwerkingen  moet  bevatten.  Dit  lijkt  te  impliceren  dat  een  beoordeling  enkel   effecten   hoeft   te   bevatten   die   het   gevolg   zijn   van   beoogde   verwerkingen.   Op   basis   hiervan  zou  verdedigd  kunnen  worden  dat  ‘autonome  effecten’,  ofwel  inbreuken  op  de   privacy   die   ook   zonder   deze   verwerkingsactiviteiten   zouden   plaatsen   vinden,   buiten  

                                                                                                               

56  EHRM,  4  december  2008,  30562/04  (S.  t.  Marper)   57  EHRM,  15  maart  2012,  4149/04  (Aksu/Turkey)  

58  EHRM,  26  maart  1987,  9248/81(Leander  t.  het  Verenigd  Koninkrijk) 59  EHRM,  16  december  1992,  13710/88  (Niemietz  t.  Duitsland)   60  De  Hert  &  Wright  2012,  p.  39.    

61  EHRM,  26  maart  1987,  9248/81(Leander  t.  het  Verenigd  Koninkrijk)   62  Gellert  &  Gutwirth    2011,  p.  53.  

63  EHRM,  26  maart  1987,  9248/81(Leander  t.  het  Verenigd  Koninkrijk)   64  Gellert  &  Gutwirth    2011,  p.  53.  

(13)

beschouwing  moeten  worden  gelaten.  Gegevens  die  reeds  bij  derden  legitiem  aanwezig   zijn   (zoals   bij   verzekeraars,   overheid   en   zorgregistraties),   zouden   dan   niet   mee   te   hoeven   worden   meegenomen   in   een   PIA.   In   het   geval   LifeLines   geven   deelnemers   toestemming  voor  het  opvragen  van  gegevens  uit  hun  medisch  dossier.  Daarbij  wordt  er   gebruik  gemaakt  van  gegevens  die  reeds  legitiem  aanwezig  is  bij  derde.      

 

Een   tweede   aanwijzing   hiervan   kan   worden   gevonden   in   de   toevoeging   van   sub   j   aan   artikel   33   in   de   aangenomen   teksten.   Daarin   staat   vermeld   dat   een  beoordeling  van  de   context   van   de   gegevensverwerking   moet   worden   meegenomen.   Deze   toevoeging   is   gebaseerd   op   de   Lifecycle  Data  Protection  Management   bijdrage   van   Alexander   Alvaro,   welk  in  hoofdstuk  4  verder  wordt  behandeld.  Daarin  omschrijft  hij  de  verplichting  dat   de   voor   de   verwerking   verantwoordelijke   in   overeenstemming   met   bepaalde  

contextuele   criteria   dient   te   handelen.66  Criteria   zoals:   het   doel   waarvoor   de   gegevens  

zijn   voorzien,   het   gebruik   van   de   data   en   de   relatie   tussen   de   voor   de   verwerking   verantwoordelijke  en  de  betrokkene.  Met  deze  criteria  moet  rekening  gehouden  worden   gedurende  de  verordening  en  zij  zullen  effect  hebben  op  de  proportionaliteitseisen  met   betrekking   tot   toestemming,   profilering,   data   overdracht   en   beginselen   van   de   data   protection  by  design  en  by  default.  

 

In   het   geval   van   LifeLines   voorzien   deelnemers   LifeLines   van   data   en   biomateriaal.   Deelnemers  worden  bewust  gesteld  wat  het  doel  is  van  het  gebruik  van  deze  gegevens,   en   waarvoor   deze   gegevens   gebruikt   gaan   worden.   Zij   worden   daarmee   op   de   hoogte   gebracht  dat  hun  gegevens  (gepseudonimiseerd)  worden  overgedragen  aan  derden.  Er   zou  rekening  moeten  gehouden  worden  met  de  context  waarin  deze  gegevens  worden   verschaft   aan   LifeLines.   Deelnemers   zijn   ook   bekend   met   welke   gegevens   reeds   aanwezig  zijn  bij  derden  en  dat  de  informatie  die  LifeLines  verschaft  veelal  geen  nieuwe   informatie  zal  zijn.      

 

Hierbij   aansluitend   bevat   artikel   1a   van   de   Wbp   ook   een   context-­‐criterium.   Daarbij   wordt  gedoeld  op  de  stelling  in  memorie  van  toelichting  dat  gegevens,    gezien  de  context   waarin   ze   worden   verwerkt,   persoonsgegevens   kunnen   zijn   indien   de   gegevens   mede   bepalend  zijn  voor  de  wijze  waarop  een  persoon  in  het  maatschappelijk  verkeer  wordt  

beoordeeld   of   behandeld.67  Aangezien   de   gegevens   reeds   aanwezig   zijn   bij   derden,  

worden  personen  in  het  maatschappelijk  verkeer  niet  anders  behandeld  of  beoordeeld   omdat   de   inbreuk   op   privacy   ook   zonder   deze   verkeringsactiviteiten   zouden   plaats   vinden.    

 

Daarnaast   zou,   ter   ondersteuning   van   de   stelling   dat   het   alleen   betrekking   heeft   op   autonome  effecten,  naar  voren  kunnen  worden  gebracht  dat  er  sprake  is  van  relatieve   grondrechten.   Deze   kunnen   worden   afgewogen,   in   overeenstemming   met   het   evenredigheidsbeginsel,   met   academische   vrijheid.     Op   grond   van   een   evenredigheidsafweging   zou   gesteld   kunnen   worden   dat   het   in   strijd   met   de   proportionaliteitseis   is   om   te   eisen   dat   biobanken   extra   maatregelen   moeten   nemen   voor   informatie   die   al   reeds   legitiem   aanwezig   is   bij   derden.   In   zowel   het   voorstel,   de   aangenomen  tekst,  als  in  de  bijdrage  van  de  Alexander  Alvaro  worden  hier  echter  geen   woorden  aan  gewijd.  Echter  op  basis  van    het  bovengenoemde  is  het  verdedigbaar  dat,   indien   er   sprake   is   van   ‘autonome   effecten’,   daarvoor   geen   PIA   hoeft   te   worden   uitgevoerd.          

                                                                                                               

66  Alvaro  2012,  p.  5-­‐6.     67  MvT,  II,  nr.  3,  blz.  48.  

(14)

 

 

Het  proces  van  een  PIA  

 

Het   uitvoeren   van   een   PIA   is   een   proces.68  Het   proces   van   het   uitvoeren   van   een   PIA  

dient  plaats  te  vinden  in  een  zo  vroeg  mogelijk  stadium  van  het  project.  Op  die  manier   bestaat   nog   de   mogelijkheid   om   de   privacybelangen   mee   te   nemen   in   het   verdere   ontwerp   van   het   project,     wanneer   er   nog   de   mogelijkheid   is   om   de   uitkomst   van   het   project   te   beïnvloeden.   Het   is   aanbevolen   de   PIA   wederom   uit   te   voeren   als   de  

omstandigheden   veranderen.69  Om   het   proces   te   verduidelijken   heeft   Norea   een  

handreiking  ontworpen  met  daarin  een  stappenplan  ter  illustratie  van  het  PIA  proces,   weergegeven  in  afbeelding  3.1.  Norea  (Nederlandse  Orde  van  Register  EDP-­‐auditors)  is   de  beroepsorganisatie  van  IT-­‐auditors.  Aan  de  handreiking  heeft  het  CBP  een  bijdrage   geleverd   en   het   document   heeft   de   formule   status   van   studiedocument   voor  

beroepsbeoefenaars.70  

 

 

Afbeelding  3.1:  Het  PIA  stappenplan  (Bron:  Norea  2013)    

Het  stappen  plan  is  ontworpen  ter  illustratie  van  het  proces,  kan  dienen  als  stappenplan   voor  het  uitvoeren  van  een  PIA.  De  eerste  stap  is  om  in  overeenstemming  met  artikel  33   lid   1   een   verantwoordelijke   aan   te   wijzen.   Veelal   is   de   voor   de   verwerking   verantwoordelijke   persoon   die   verantwoordelijk   is   voor   het   uitvoeren   van   een   PIA.   Nadat  een  verantwoordelijke  is  aangewezen  dient  alle  relevante  informatie  verzameld   te  worden.    

 

De   tweede   stap   is   het   invullen   van   de   vragenlijst.   Deze   vragenlijst   gecombineerd   met   een  impact  beoordeling  en  maatregelen,  dient  antwoord  te   geven   op   de   eisen   aan   een   PIA   als   in   artikel   33   lid   3   van   het   voorstel.   In   de   aangenomen   tekst   zijn   enkel   amendementen   doorgevoerd   met   betrekking   tot   dit   lid.   Meest   opzienbarende   veranderingen   zijn   de   toevoeging   van   het   eerder   genoemde   contextuele   criteria   en   de   toevoeging  van  de  data  life  cycle,  welke  verder  wordt  behandeld  in  hoofdstuk  4.  Dit  alles  

dient  gedocumenteerd    te  worden.71  Tot  slot  kan  in  overeenstemming  met  overweging  

60   van   de   aangenomen   tekst   het   verslag   worden   getoetst   door   een   onafhankelijke   interne  of  externe  controleur.    

 

                                                                                                               

68  Norea,  2013,  p.  10.     69  Norea,  2013,  p.8. 70  Norea  2013,  p.  2.

   

71  Artikel  33  lid  3  aangenomen  teksten  Algemene  verordening  gegevensbescherming.  N O R E A • P R I VA C Y I M P A C T A S S E S S M E N T

1 0

H

2. Handreiking voor het PIA proces

Dit deel bevat een handreiking voor het effectief en efficiënt uitvoeren van een PIA. Afhankelijk van de omstandigheden waarin de PIA wordt uitgevoerd kan op het onderstaande stappenplan worden gevarieerd. U krijgt antwoorden op vragen als: Uit welke stappen bestaat het PIA proces? Wie kan ik betrekken bij de PIA? Wat zijn succes- en faalfactoren?

2.1 Wat zijn de stappen in een PIA proces?

De uitvoering van een PIA kan bestaan uit de volgende stappen:

Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren. Verzamel relevante informatie over het project.

Vul de PIA vragenlijst in.

Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen. Stel het PIA verslag op.

Laat eventueel een (onafhankelijke) toets op de PIA uitvoeren.

Deze stappen worden hierna kort toegelicht.

2.1.1 Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren

De vragenlijst kan worden ingevuld door één persoon of door een team. Het heeft de voorkeur om de PIA door een team uit te laten voeren. De resultaten van de PIA worden daardoor beter omdat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken. Indien dit om praktische redenen niet mogelijk is, kan ervoor gekozen worden om de PIA door één per-soon uit te laten voeren en te laten reviewen door een tweede perper-soon. In bijlage B is een overzicht opgenomen van de personen die betrokken kunnen worden bij een PIA.

Voordat begonnen wordt met het uitvoeren van de PIA is het belangrijk vast te stellen wat u wilt bereiken, wie wat met de resultaten gaat doen en op welke manier de resultaten gebruikt gaan wor-den. Hierbij is het goed om de belangrijkste succes- en faalfactoren, zoals opgenomen in bijlage C, door te nemen en te bepalen hoe hiermee omgegaan wordt.

De antwoorden op bovenstaande vragen worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan.

1 2 3 4 5 6

(15)

De  handreiking,  en  daarmee  het  stappenplan,  zijn  gebaseerd  op  het  voorstel  en  daarmee   niet   conform   de   aangenomen   teksten.   In   het   stappenplan   ontbreken   dan   een  

beoordeling   van   de   context   en   nalevingscontrole.72  Beide   worden   behandeld   in  

hoofdstuk  4.    

 

Opkomst  en  invoering  PIA  

 

Er   zijn   drie   drijfveren   te   onderscheiden   die   aan   de   basis   liggen   van   de   opkomst   en   invoering  van  de  verplichting  tot  het  uitvoeren  van  een  PIA.  De  mate  waarin  gegevens  

worden  verzameld,  verwerkt,  bewerkt  en  bewaard  is  enorm  tegenomen.73  Daarmee  zijn  

er   toenemende   bedreigen   voor   de   privacy   van   betrokkenen.   Ten   tweede   is   er   een   toenemende   trend   om   in   actie   te   komen   tegen   toenemende   privacy-­‐invasie   van   overheden   en   grote   corporaties.   Tot   slot   wordt   het   steeds   gebruikelijker   om   binnen   organisaties  gebruik  te  maken  van  risicomanagement.    

 

Waarom  een  PIA  uitvoeren?    

 

Hoewel   binnen   de   literatuur   een   grote   hoeveelheid   aan   verschillende   redenen   wordt   behandeld   voor   het   uitvoeren   van   een   PIA,   is   er   splitsing   te   maken   in   een   drietal   redenen.   De   eerste,   en   meeste   belangrijke   reden,   tot   het   uitvoeren   van   een   PIA   om   vroegtijdig  mogelijke  privacyrisico’s  te  kunnen  ontdekken  en  voorzorgsmaatregelen  te  

kunnen   nemen   en   mogelijke   waarborgen   in   te   kunnen   bouwen.74  De   geldt   ook   voor  

biobanken.  Door  middel  van  het  uitvoeren  van  een  privacy  impact  assessment  voor  het   uitgeven   van   data   en   biomateriaal   aan   onderzoekers   zijn   ze   in   staat   de   impact   op   de   privacy   hiervan   uit   te   vinden.   Op   deze   manier   kunnen   voordat   de   gegevens   worden   uitgegeven   maatregelen   worden   genomen   om   de   privacy   van   betrokkenen   te   waarborgen,   en   eventueel   kan   er   op   basis   van   de   uitkomsten   van   de   PIA   besloten   worden  om  de  gegevens  niet  uit  te  geven.    

 

Ten   tweede   kan   een   PIA   ook   worden   uitgevoerd   door   biobank   om   er   voordeel   uit   te  

halen.75  Het   uitvoeren   van   een   PIA   kan   het   vertrouwen   van   deelnemers   in   de   biobank  

verbeteren.   Het   uitvoeren   van   een   PIA   laat   zien   dat   de   biobank   de   privacy   van   deelnemers  serieus  neemt.  

 

Tot   slot   kan   door   in   het   PIA   proces   belanghebbenden,   zoals   deelnemers,   te   betrekken   kunnen   nieuwe   inzichten   en   overwegingen   worden   gegenereerd.   Andersom   geeft   dit   ook  inzicht  aan  de  belanghebbenden  zelf,  zodat  zij  een  duidelijk  beeld  kunnen  vormen  

over  de  organisatie  en  verantwoording  van  de  biobank.76  

 

Consequenties  niet  naleving  

 

Binnen  de  huidige  Nederlandse  en  Europese  wetgeving  is  er  geen  expliciete  verplichting   tot   het   uitvoeren   van   een   PIA.   Zoals   in   de   volgende   hoofdstukken   zal   blijken   kan   verdedigd  worden  dat  er  onder  de  huidige  regelgeving  al  een  verplichting  bestaat  tot  het   uitvoeren.  Aangezien  dit  niet  expliciet  is  vastgelegd,  is  er  weinig  duidelijkheid  over  de   mogelijke  consequenties  van  niet  naleving  van  deze  verplichting.    

 

In   het   voorstel   is   het   uitvoeren   van   een   PIA   wel   verplicht.   Het   dient   uitgevoerd   te   worden  om  te  voldoen  aan  de  verordening.  Als  hier  niet  aan  wordt  voldaan  kunnen  op  

                                                                                                               

72  Artikel  33  bis  aangenomen  teksten  Algemene  verordening  gegevensbescherming.     73  Algemene  verordening  gegevensbescherming,  p.  1.      

74  De  Hert  &  Wright  2012,  p.  10-­‐11.   75  De  Hert  &  Wright  2012,  p.  16.   76  De  Hert  &  Wright  2012,  p.  16.

 

Referenties

GERELATEERDE DOCUMENTEN

Out of the 401 responses received, 67 percent of the respondents agreed that projects implemented within municipalities are linked to Integrated Development

schermd. De bietenrooier werd door twee man, de trekkerchauffeur en een man op de ma- chine, bediend. Het sturen vroeg bij hogere rijsnelheden vrij veel inspanning. Als er

In elastic structures that are prone to bifurcation buckling, a second equilibrium configuration, different from but infinitesimally close to the trivial fundamental solution,

Vooral hoogproductieve koeien zijn veelal niet in staat om voldoende extra ruwvoer op te nemen om de conditie op peil te houden.. Wellicht door het jaarrond ver- strekken van

• Richt de meter verticaal omhoog op de lampen en houdt de meter waterpas (zoveel mogelijk) • Eventueel kan de lichtmeter op een plukkar gemonteerd zijn (let op waterpas

Much of our research included other signals besides EEG which is the most commonly used input for BCI: NIRS, heart rate variables, eye movement variables, skin

The decision is argued to move away from the fact that the LOSC Parties have ‘moved decisively away from the freedom (…) not to be subject in advance to dispute

Parallel to the last project, we envisioned such a biaryl- functionalized core to be a promising candidate for developing the first bis-phosphine ligand based on