Een PIA voor biobanken? : een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken

(1)

EEN PIA VOOR BIOBANKEN?

Een analyse van de verplichting tot het uitvoeren van een Privacy Impact Assessment voor algemene biobanken

R.F. Kessel (10624600) Februari 2014

(Illustratie: Paradigm global events 2013)

(2)

INTRODUCTIE 3

BIOBANKEN 5

Algemene en klinische biobanken 5

Use case: LifeLines 6

PRIVACY IMPACT ASSESSMENTS: 10

WAT, WAAROM, WANNEER EN DOOR WIE? 10

Geschiedenis van de PIA 10

Soorten PIA’s 11

Privacy en bescherming van persoonsgegevens 11

Autonome effecten 12

Het proces van een PIA 14

Opkomst en invoering PIA 15

Waarom een PIA uitvoeren? 15

Consequenties niet naleving 15

Openbaarheid rapport 16

DE VERPLICHTING TOT HET UITVOEREN VAN EEN PIA ONDER DE ALGEMENE

VERORDENING GEGEVENSBESCHERMING 18

Privacy & bescherming van zijn persoonsgegevens 19

PIA en het voorstel 19

PIA en de wettelijke ontwikkeling 21

PIA & Lifecycle data protection management 21

Context criterium en Lifelines 25

Pseudonimisering 26

Use case: LifeLines 28

UITZONDERINGEN VOOR LIFELINES 30

Threshold PIA 30

Autonome effecten 31

Botsing van grondrechten 31

EEN VOORSTEL VOOR EEN MOGELIJKE THRESHOLD PIA EN PIA STAPPENPLAN VOOR

BIOBANKEN 34

Een mogelijke threshold PIA voor LifeLines 34

Een mogelijk PIA stappenplan voor LifeLines 36

CONCLUSIE 39

LITERATUURLIJST 41

JURISPRUDENTIELIJST 43

APPENDIX 44

Artikel 32bis: oog voor risico 44

Artikel 33 lid 3: een beoordeling bevat ten minste 44

(3)

HOOFDSTUK 1

INTRODUCTIE

De huidige wetenschap floreert door het gebruik van algemene biobanken.1_Deze

biobanken zijn van grote waarde voor onderzoek naar de invloed van genen, omgeving

en levensstijl op tal van aandoeningen.2_{Een
algemene
biobank
omvat}_{een
permanente}

verzameling van menselijk lichaamsmateriaal van een algemeen deel van een bevolking en aan dat materiaal gerelateerde ‘gezondheidsinformatie’, zoals medische, genetische, leefstijl en genealogische informatie, welke verzameling toegankelijk is voor wetenschappelijk onderzoek.3_{Algemene
biobanken
doen
zelf
geen
onderzoek
maar}

geven data en biomateriaal uit aan onderzoekers. Onderzoekers zijn hierdoor in staat

om statistisch significante resultaten te generen.4

Echter, het voortbestaan van algemene biobanken is mogelijk in gevaar. Op 25 januari 2012 presenteerde de Europese Commissie het voorstel voor een algemene verordening

gegevensbescherming.5_{Dit
nieuwe
wettelijke
kader
heeft
een
grote
invloed
op}

biobanken, omdat zij per definitie grote hoeveelheden persoonsgegevens verwerken. In deze paper zal de focus liggen op één van de belangrijkste wijzigingen uit het voorstel, namelijk de invoering van de verplichting om een privacy impact assessment (PIA) te verrichten. PIA’s worden verplicht gesteld voor langdurige verwerkingen van

bijzondere persoonsgegevens van grote aantallen betrokkenen.6_{Deze
verplichting
heeft}

tot doel om in gevallen van verwerkingsoperaties die specifieke risico’s meebrengen voor de rechten en vrijheden van betrokken voorafgaand aan de verwerking te kijken naar geplande maatregelen, waarborgen en mechanismen ter bescherming van

persoonsgegevens en aan te tonen dat aan de verordening is voldaan.7_{Een
PIA
geeft}

vroegtijdig inzicht in de belangrijkste privacyrisico’s van een project, zodat kan worden

voorkomen dat in een later stadium kostbare aanpassing nodig zijn.8_{Anderzijds
is
het}

uitvoeren van een PIA is een tijdrovende en dure bezigheid. De kosten voor het

uitvoeren van een PIA worden geschat tussen de €14.000 en €149.000.9_{Daarnaast
kan}

het leiden tot vertraging van het project en wordt het gezien als onnodig.10

Vanuit de medisch-‐wetenschappelijke onderzoekswereld is er veel kritiek gekomen op het voorstel. Deze kritiek gaat hoofdzakelijk over de toevoeging van begrip pseudonimisering, waardoor medisch-‐wetenschappelijk onderzoek dreigt te worden

geblokkeerd. 11 _{In
de
kritiek
wordt
voorbij
gegaan
aan
de
verplichting
tot
het
uitvoeren}

van een PIA. Toch kan deze verplichting grote gevolgen hebben voor biobanken. Zo kan

1_{Leenknegt
2014,
p.
2.} 2_{Brandsma
e.a.
2010,
p.
25.} 3_{Bovenberg
2004,
p.
296.} 4_{Bovenberg
2004,
p.
296.}

5_{Voorstel
voor
een
Verordening
van
het
Europees
Parlement
en
de
Raad
betreffende
de
bescherming
van
natuurlijke} personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (voorstel Algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op; http://ec.europa.eu/justice/data-‐protection/document/review2012/com_2012_11_nl.pdf.

6_{Artikel
33
Algemene
verordening
gegevensbescherming
.}

7_{Overweging
70
voorstel
Algemene
verordening
gegevensbescherming.} 8_{Norea
2013,
p.
5.}

9_{Impact
Assessment
Impact
Assessment
Accompanying
the
document
Regulation
of
the
European
Parliament
and
of
the} Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, p. 124-‐126. Te vinden op; http://ec.europa.eu/justice/data-‐

protection/document/review2012/sec_2012_72_en.pdf. 10_{De
Hert
&
Wright
2012,
p.
452.}

11_{Protecting
health
and
scientific
research
in
the
Data
Protection
Regulation
(2012/0011(COD))
Position
of
non-‐} commercial research organisations and academics – January 2014, p. 2.

(4)

het niet uitvoeren van een PIA onder de aangenomen teksten leiden tot administratieve sanctie tot maximaal € 100.000.000 of tot 5% van de globale jaaromzet bij

ondernemingen, afhankelijk van welk bedrag hoger is.12_{In
deze
paper
zal
gepoogd}

worden deze leemte op te vullen door de verplichting en diens gevolgen voor biobanken te behandelen.

Algemene biobanken verzamelen, bewerken en bewaren grote hoeveelheden bijzondere persoonsgegevens. De grootste algemene biobank van Nederland, LifeLines, verzamelt,

bewerkt en bewaart gegevens en biomateriaal van meer dan 165.000 deelnemers.13

LifeLines heeft afgelopen 5 jaar ruim 400 onderzoeken voorzien van data en

biomateriaal.14_{De
nieuwe
verplichting
betekent
mogelijk
dat
biobanken
zoals
LifeLines}

voor iedere onderzoeksaanvraag opnieuw een PIA moeten uitvoeren. Gezien de hoge kosten en de zware lasten die het uitvoeren van PIA met zich meebrengt kan dit grote gevolgen hebben voor het voortbestaan van algemene biobanken.

Van groot belang is dat de Verordening zelf de PIA niet ziet als een absolute toets van het abstracte begrip privacy, maar als een assessment waarin ruimte moet zijn voor een beoordeling van de context van de gegevensverwerking.15_{Het
is
dan
ook
essentieel
dat
die}

context van de biobank geschetst wordt. Het doel van deze paper is om te verhelderen wat deze nieuwe verplichting inhoudt voor algemene biobanken en hoe zij aan deze nieuw verplichting kunnen voldoen.

Hiertoe valt deze paper uiteen in een theoretisch deel en een toegepast deel. Het doel van het theoretische deel is om de vraag te beantwoorden in hoeverre algemene biobanken na invoering van de EU Verordening de verplichting hebben om een PIA uit te voeren. In het bijzonder zal daarbij worden ingegaan op de vraag of die verplichting ook bestaat indien een biobank de door haar verzamelde persoonsgegevens heeft gepseudonimiseerd. De daarbij bijbehorende onderzoeksmethode is tweeledig. Voor het theoretische zal een analyse worden gemaakt van wet-‐ en regelgeving, jurisprudentie en literatuur. Van de verordening zullen zowel het voorstel als de aangenomen tekst worden behandeld om een beeld te schetsen van de ontwikkelingen voorafgaand aan de aangenomen tekst. De aangenomen teksten zijn momenteel (februari 2015) nog een ‘moving target’. Veranderingen na 12 maart 2014 in de aangenomen tekst worden buiten beschouwing gelaten. In het toegepaste deel zal een use case (LifeLines) worden behandeld. De use case dient ter illustratie van wat deze nieuwe verplichting voor een biobank als LifeLines inhoudt en hoe zij aan deze verplichting kan voldoen.

De opbouw van deze paper is als volgt; in hoofdstuk twee zullen biobanken in het algemeen en de use case LifeLines worden behandeld. Hoofdstuk drie schetst het instrument PIA. Opeenvolgend zal in het vierde hoofdstuk de algemene verordening gegevensbescherming worden behandeld en de nieuwe verplichting tot het uitvoeren van een privacy impact assessment. Hiervoor zal gebruik worden gemaakt van het voorstel als de aangenomen teksten 12 maart 2014 om ontwikkeling van de verordening te schetsen. In het vijfde hoofdstuk zullen eventuele uitzonderingen op deze verplichtingen worden behandeld, als mede de threshold. In hoofdstuk zes zal een voorstel worden gedaan voor een mogelijke threshold PIA en een PIA stappenplan voor biobanken. Tot slot zal in het laatste hoofdstuk de bevindingen van deze paper worden samengevat.

12_{Artikel
79
lid
2bis
sub
c
aangenomen
teksten
Algemene
verordening
gegevensbescherming.}

13_{LifeLines,
Doel
en
uitgangspunten.
Te
vinden
op;
https://www.lifelines.nl/organisatie/doel-‐en-‐uitgangspunten.} 14_{LifeLines,
Ambitie
en
kernwaarden.
Te
vinden
op;
https://www.lifelines.nl/organisatie/ambitie-‐en-‐kernwaarden.} 15_{Artikel
33
lid
3
onder
j
aangenomen
teksten
Algemene
verordening
gegevensbescherming.}

(5)

HOOFDSTUK 2

BIOBANKEN

Sinds jaar en dag wordt in Nederland lichaamsmateriaal afgenomen, onderzocht en bewaard in het kader van geneeskundige behandelingen. 16 _Biobanken _zijn

verzamelingen van lichaamsmateriaal die voor wetenschap of voor behandeling zijn bijeengebracht, met daaraan gekoppeld medische, genetische of andere gegevens over

de donoren.17_{Nederland
kent
ruim
150
biobanken.}18_{Deze
biobanken
verschillen}

onderling qua opgenomen, qua aard en hoeveelheid van opgeslagen materiaal en/of gegevens, qua kader waarbinnen het materiaal en/of de gegevens zijn verzameld, qua

onderliggend wetenschappelijk doel, qua organisatie en qua financiering.19

Algemene en klinische biobanken

Er zijn twee verschillende soorten biobanken te onderscheiden; een algemene biobank en een klinische of ‘bijzondere’ biobank. Een algemene biobank betreft een algemeen deel van de bevolking, daar waar een klinische biobank een cohort van een bijzondere groep patiënten betreft. In tegenstelling tot klinische biobanken zijn algemene biobanken niet opgezet vanuit de studie naar een bepaalde ziekte. Algemene biobanken zijn opgezet als een zo algemeen mogelijk opgezette informatiebron voor, deels in de toekomst te formuleren, onderzoek naar allerlei complexe ziektes.20_Algemene biobanken zijn veelal grootschalig en professioneel georganiseerd en, in tegenstelling tot een klinische biobank, niet slechts toegankelijk voor de oorspronkelijke verzamelaars.21_{Een
algemene
biobank
is
van
meet
af
aan
opgezet
voor
multidisciplinair,} longitudinaal, prospectief en zo mogelijk multinationaal onderzoek.22

Een algemene biobank kan worden omschreven als ‘een permanente verzameling van menselijk lichaamsmateriaal van een algemeen deel van een bevolking en aan dat materiaal gerelateerde ‘gezondheidsinformatie’, zoals medische, genetische, leefstijl en genealogische informatie, welke verzameling toegankelijk is voor wetenschappelijk onderzoek’.23

Klinische biobanken zijn vaak tot stand gekomen door inspanningen van artsen of klinisch georganiseerde onderzoekers. Hoewel deze biobanken vaak veel informatie bevatten is deze informatie doorgaans niet toegankelijk. Het onderscheid tussen algemene en klinische biobanken grotendeels theoretisch. In praktijken zijn biobanken veelal ‘hybriden’, ze combineren bestaande data met nieuwe data of andersom.24

Toch zal deze paper zal zich slechts toespitsen op algemene biobanken, omdat deze mogelijke extra spanningen met zich meebrengen door de uitgifte van data en biomateriaal.

16_{Bovenberg
2004,
p.
296.} 17_{Leschot
2006,
p.
2350-‐2351.} 18_{Brandsma
e.a.
2010,
p.
25.} 19_{Bovenberg
2004,
p.
297.} 20_{Bovenberg
2004,
p.
296.} 21_{Brandsma
e.a.
2010,
p.
25.} 22_{Bovenberg
2004,
p.
296.} 23_{Bovenberg
2004,
p.
296.} 24_{Bovenberg,
2006,
p.
117.}

(6)

Use case: LifeLines

Voor het toegepaste deel van deze paper wordt gebruikt gemaakt van de use case LifeLines. LifeLines is de grootste algemene biobank van Nederland met ruim 165.000 participanten. LifeLines is uniek omdat het de enige actieve biobank is. Gedurende 30 jaar worden drie generaties gevolgd. Het onderzoek bestaat uit 3 onderdelen (zie afbeelding 2.1):

• Iedere vijf jaar brengen participanten een bezoek aan LifeLines waarbij metingen en tests worden gedaan en biomateriaal wordt verzameld (zie afbeelding 2.2; measurements en laboratory assessment)

• Iedere anderhalf jaar ontvangen deelnemers een follow up vragenlijst (zie afbeelding 2.2 questionnaires)

• Continu worden gegevens verzameld uit het huisartsen dossier, medisch dossier

in ziekenhuizen en milieu data (zie afbeelding 2.2 linkage) 25

Afbeelding 2.1 Gegevensverzamelingsactiviteiten door LifeLines (bron: LifeLines 2013)

25_{LifeLines,
Doel
en
uitgangspunten.
Te
vinden
op;
https://lifelines.nl/organisatie/doel-‐en-‐uitgangspunten}_.

The homogenous composition of the population in the North of The Nether-lands is highly suitable for observational follow-up studies, as people in the Dutch Northern provinces tend to keep living in the same area for many generations. LifeLines covers three generations and has a high response rate. This design enables the prospective investigation of risk factors, which is crucial in the study of (health) behavioural and environmental and other time-varying exposures, as well as interactions between genetic and environmental risk factors.

Key benefits of this three-generation design:

Vast statistical advantages: multi-ple-level information, separation of non-genetic and genetic familial trans-mission, direct haplotype assessment, and increased power and precision Unique possibilities to study social

characteristics: socioeconomic mobili-ty, partner preferences, and between- generation similarities

Data Collection and Sample Storage

All participants receive a number of questionnaires and a medical examination. Fasting blood samples and 24-hour urine are collected for long term storage and to perform laboratory measurements.

The participants are followed for at least thirty years and are invited every five years for a medical examination at a local LifeLines research facility. In the years in-between the participants receive follow-up questionnaires. Follow-up on morbidity and mortality will also be based on general practitioners, hospital and pharmacy records.

Conditioned transport of blood and urine samples towards the highly automated LifeLines laboratory guarantees complete traceability. Samples are analyzed and stored at -80 °C on the same day of collec-tion. Uniquely 2D barcoded labware are used for storage.

‘LifeStore’

The storage facility of LifeLines, ‘Life-Store’ is currently under construction in Groningen, The Netherlands, and will be fully operational beginning 2014. This is a completely automated sample storage with a capacity of 8+ million aliquots at -80 °C which will do fully automated overnight sample retrieval. Storage of blood and urine samples at high quality standards at different time points (every 5 year) facilitates the researchers to go back in time to investigate traces of diseases and the effects different of treatments in the carefully processed and registered biomaterials.

5 years 5 years

1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years 1,5 years

Baseline visit & follow-up visits

Follow-up data collection

Follow-up by record linkage

Timeline

Baseline visit: Participants visit LifeLines Research Site

Measurements

Sample collection (blood and 24-hour urine)

Questionnaires Second visit fasting

At home: 24h urine collection and questionnaires

Follow-up data collection (every 1,5 years)

Questionnaires Follow-up

New questions (requested by researchers)

Food frequency questionnaire

Follow-up by record linkage (continuously)

Link with external data Hospitals records

Follow-up visit (every 5 years)

Measurements

ECG, anthropometry, lung func-tion, blood pressure, cognition Sample collection (fasting blood,

24h urine, scalp hair and faeces) Questionnaires

(7)

Afbeelding 2.2 Gegevensverzameling en verwerking door LifeLines (Bron: LifeLines 2013)

Onder invloed van vergrijzing, een verkeerd voedings-‐ en bewegingspatroon en

omgevingsfactoren neemt het aantal mensen met een chronische ziekte sterk toe.26

LifeLines heeft het doel om onderzoek naar gezond ouder worden mogelijk te maken.27

Om de invloed van omgevingsfactoren te onderzoeken heeft LifeLines de mogelijkheid om demografische gegevens te koppelen aan milieudata (zie afbeelding 2.2). LifeLines zelf doet geen wetenschappelijk onderzoek, ze geeft enkel data en biomateriaal uit voor onderzoek.

LifeLines is wel de verwerker van de persoonsgegevens en niet de bewerker, als in de zin van de Wbp en de verordening. Ingevolge artikel 1 onder e van de Wbp is een bewerker degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt,

26_{LifeLines,
Ambitie
en
kernwaarden.
Te
vinden
op;
https://www.lifelines.nl/organisatie/ambitie-‐en-‐kernwaarden.} 27_{LifeLines,
Doel
en
uitgangspunten.}

(8)

zonder aan zijn rechtstreeks gezag te zijn onderworpen. In het geval van LifeLines heeft zij wel zeggenschap over het doel en de middelen voor verwerking van de

persoonsgegeven.28_{Data
en
biomateriaal
worden
pas
beschikbaar
gesteld
als
de}

aanvraag is goedgekeurd door de wetenschapscommissie van LifeLines. De aanvragen

worden getoetst en gescreend op:29

• Wetenschappelijk inhoudelijke kwaliteit

• Het onderzoek moet passen binnen het doel Healthy Ageing

• De hoeveelheid gevraagde data en biomaterialen moet proportioneel zijn en passen bij het doel van het onderzoek.

• Kwaliteit en onafhankelijkheid van de onderzoekers.

Alle deelnemers aan LifeLines onderteken een verklaring van toestemming, waarmee ze instemmen deel te nemen aan LifeLines. Ze gaan er mee akkoord dat onderzoekers ook gebruik kunnen maken van de gegevens uit het medische dossier van hun huisarts,

ziekenhuis of andere instellingen (zie afbeelding 2.3). 30

Gedurende de periode 2009 t/m 2014 zijn er ruim 400 aanvragen goedgekeurd. Tot dusver komen vrijwel alle onderzoeksvragen uit Nederland en zijn deze voor het

grootste deel afkomstig van UMCG-‐onderzoekers, aldus LifeLines.31_{De
achtergronden}

en vakgebieden van onderzoekers zijn zeer divers, van biologen tot sociologen, en van artsen tot economen.

Indien een onderzoeksaanvraag is goedgekeurd, krijgt de onderzoeker volgens LifeLines na ondertekening van een contract tijdelijke toegang tot gepseudonimiseerde data in een beveiligde omgeving. Uit de Privacyreglementen van LifeLines volgt dat volgens LifeLines de data gecodeerd wordt opgeslagen door middel van een versleutelde formule. Iedere keer dat data aan onderzoekers worden uitgegeven worden de data

wederom gecodeerd door middel van een versleutelde formule. 32_{Volgens
LifeLines
kan}

de data niet worden gekopieerd en is de data maximaal 1 jaar toegankelijk voor de onderzoeker. Gedurende dit jaar wordt er door LifeLines contact gehouden met de onderzoeker en wordt er gecontroleerd of er binnen maximaal een jaar na toegang een

publicatie volgt. 33

28_{CBP
14
mei
2002,
Begrip
verwerker,
z2002-‐0362.}

29_{LifeLines,
Onderzoek.
Te
vinden
op;
https://www.lifelines.nl/organisatie/onderzoek}_.

30_{LifeLines,
Verklaring
van
toestemming.
Te
vinden
op;
https://www.lifelines.nl/upload/file/lifelines+-‐} +informed+consent+1.1.3.pdf

31_{LifeLines,
Ambitie
en
kernwaarden.}

32_{Artikel
10
lid
2
Privacyreglementen
LifeLines.
Te
vinden
op;}

https://www.lifelines.nl/upload/file/privacyreglement+lifelines+-‐+definitief+1.0.pdf 33 LifeLines, Onderzoek.

(9)

Afbeelding 2.3 Verklaring van toestemming deelnemers LifeLines (Bron: LifeLines)

Handtekening deelnemer: :

VERKLARING VAN TOESTEMMING

Ondergetekende stemt erin toe deel te nemen aan het LifeLines onderzoek gericht op het ontrafelen van de interactie tussen genetische en omgevingsfactoren bij het ontstaan en het beloop van een aantal verschillende veelvoorkomende chronische ziekten die bij het ouder worden kunnen optreden zoals, doch niet uitsluitend, diabetes, hart- en vaatziekten, longaandoeningen en depressies. Ik ga er mee akkoord dat binnen deze studie een deel van de onderzoeksvragen nog nader geformuleerd moet worden. Met de kennis die opgedaan wordt hoopt men een bijdrage te leveren aan het gezonder ouder worden.

Ik ga er mee akkoord dat deelname aan dit onderzoek inhoudt dat ik, gedurende een langere periode, uitgebreide vragenlijsten over mijn gezondheid en leefgewoonten zal invullen, en om de 4-5 jaar een bezoek aan de huisarts of onderzoekslocatie breng voor een aantal metingen. Bij een aantal bezoeken zal bij mij 75 ml of minder bloed worden afgenomen en wordt mij gevraagd urine in te leveren. Het bloed en de urine worden ingevroren om later bepalingen op te doen, die van belang zijn voor de kennis over chronische ziekten op oudere leeftijd. Ik ga er mee akkoord dat op enig moment (eventuele) partners, ouders en kinderen gevraagd worden om deel te nemen aan de studie". Ik ga ermee akkoord dat de uitslagen voortkomend uit het LifeLines onderzoek die voor de huisarts van belang zijn, zoals bloeddruk, bloedwaarden, longfunctie, ECG, cholesterol, bloedglucose spiegel en de resultaten van het MINI interview, aan mijn huisarts worden doorgegeven.

Ik ga ermee akkoord dat de onderzoekers gebruik kunnen maken van de gegevens (ziekenhuis-opname, diagnose,behandeling en medicatie) uit mijn medisch dossier van mijn huisarts of van ziekenhuizen,

verzorgingstehuizen of andere instellingen waar ik een medische behandeling heb ondergaan, alsmede van mijn gegevens in registraties voor zover deze betrekking hebben op de doelstelling van het LifeLines onderzoek (Centraal bureau voor de Statistiek, de landelijke registratie van doodsoorzaken). De onderzoekers zullen mijn gegevens vertrouwelijk behandelen en daarbij alle regels in acht nemen die vastgelegd zijn in de Wet Bescherming Persoonsgegevens.

Ik ga ermee akkoord dat de onderzoekers van LifeLines mij benaderen voor aanvullende vragen en onderzoeken, die van belang zijn voor het inzicht in chronische ziekten.

Ik erken dat het afgenomen lichaamsmateriaal en de door LifeLines verzamelde gegevens toebehoren aan LifeLines en dat ik terzake van het daarop verrichte onderzoek geen aanspraak kan maken.

Met het ondertekenen van deze verklaring behoud ik te allen tijde de vrijheid, ook zonder opgaaf van redenen, van verdere medewerking aan het onderzoek af te zien. Dit heeft geen gevolgen voor mijn verdere behandeling door mijn huisarts en door het UMCG.

Door het ondertekenen van deze verklaring geef ik

Ja Nee

Naam :

Geboortedatum :

LifeLines nummer:

mede te kennen voldoende geïnformeerd te zijn over het doel en de uitvoering van het onderzoek.

Datum

-

Dag Maand Jaar

Ik wil de uitslagen van de directe metingen zelf ontvangen:

Datum van ontvangst :

Naam :

Handtekening :

IC index -1.1.3

(10)

HOOFDSTUK 3

PRIVACY IMPACT ASSESSMENTS: WAT, WAAROM, WANNEER EN DOOR WIE?

PIA is de afkorting van Privacy Impact Assessment (in het Nederlands “privacyeffectbeoordeling”). Een PIA kan worden gedefinieerd als:

“A privacy impact assessment is a methodology for assessing the impacts on privacy of a project, policy, programme, service, product or other initiative which involves the processing of personal information and, in consultation with stakeholders, for taking remedial actions as necessary in order to avoid or minimise negative impacts”34

Geschiedenis van de PIA

Wetten inzake gegevensbescherming bestaan al sinds het begin van de jaren ’70 in verschillende Europese landen. Veelal was een vorm van registratie of een vergunning vereist als middel om te kunnen controleren of de bewerker zich aan alle wettelijk eisen

hield.35_{Echter
de
eis
om
in
overeenstemming
met
de
wet
te
handelen
(“compliance”),
is}

vele malen minder veeleisend dan het uitvoeren van een PIA.

De oorsprong van het instrument PIA kan worden gevonden in twee voorlopers. De eerste is het Technology Assessment (TA) zoals dat werd uitgeoefend door het

Amerikaanse Office of Technology Assessment (1917-‐1995).36_{Dit
assessment
beoogde}

leden van het Amerikaanse Congres te voorzien van objectieve en gezaghebbende

analyses van complexe technische en wetenschappelijke problemen.37_{De
tweede}

oorsprong kan worden gevonden in het Impact Statement. 38_{De
eerste
toepassing}

hiervan was de Environmental Impact Statement (EIS), als gevolg van de ‘green movements’. In 1969 voerden de Verenigde Staten de verplichting in tot het uitvoeren

van een EIS voor overheidsinstanties39_{,
waarna
andere
landen
snel
volgden.}40_{Een
EIS}

moest besluitvormers informatie verschaffen over de waarschijnlijk ecologische

consequenties van hun acties.41_{In
Nederland
is
EIS
bekend
als
de
Milieu
Effect}

Rapportage (MER).42_{De
hoge
kosten
en
de
vertraging
als
gevolg
van
het
uitvoeren
van}

een EIS, zorgden voor grote ontevredenheid bij besluitvormers over deze nieuwe verplichting. Ook ontstond er cynisme over de toegevoegde waarde van een EIS. Hoewel het uitvoeren van een EIS wettelijk verplicht is, waren er vele manieren waarop ongeschikte projecten goedkeuring konden krijgen. De EIS werd op vele verschillende

manieren uitgevoerd en was onvoldoende controleerbaar.43_{Ook
in
Nederland
is
de
MER}

niet onbetwist gebleven. Het wordt ervaren als een zwaar instrument; met de uitvoering zijn doorgaans veel tijd en hoge kosten gemoeid. Ook is de MER louter een hulpmiddel bij de besluitvorming. Het dwingt niet tot milieuvriendelijker besluitvorming noch de keuze voor het meest milieuvriendelijke alternatief. Als gevolg hiervan heeft het weinig

invloed op de uiteindelijke besluitneming.44

34_{De
Hert
&
Wright
2012,
p.
5.} 35_{Clarke
2009,
p.
125.} 36_{Clarke.
2009,
p.
125.}

37_{The
OTA
Legacy.
Te
vinden
op
https://www.princeton.edu/~ota/.} 38_{Clarke.
2009,
p.
125.} 39_{Wood
2003,
p.
19-‐20.} 40_{Clarke
2009,
p.
125.} 41_{Wood
2003,
p.
20.} 42_{Jesse
2008,
p.2.} 43_{Clarke
2009,
p.
125.} 44_{Jesse
2008,
p.
4-‐5.}

(11)

Al aan het begin van de jaren ’70 werd in Amerika het concept van PIA, hoewel nog niet onder deze term, gebruikt. “Each time a new personal data system is proposed (or expansion of an existing system is contemplated) those responsible for the activity the system will serve, as well as those specifically charged with designing and implementing the system, should answer such questions as. What purposes will be served by the system and the data to be collected? How might these purposes be accomplished without collecting these data?”45

In 1984 verscheen voor het eerst de term Privacy Impact Statement, gebaseerd op de Environmental Impact Statement. Flaherty citeert een document waarin de Canadese Justitie Commissie het gebruik van een Privacy Impact Statement adviseert. Deze zelfde commissie wijst in het genoemde document de formele verplichting tot een Privacy

Impact Statement voor ieder stuk wetgeving af.46_{In
jaren
hierop
volgend
werd
het}

gebruik van een Privacy Impact Statement (PIS) in Canada steeds meer gebruikelijk. 47

Sinds halverwege de jaren 90 wordt er wereldwijd gebruik gemaakt van de term PIA. PIA is een meer omvattende term dan PIS en is meer gericht op het proces dan het product en omvat daarnaast overleg en beoordeling.

Soorten PIA’s

Er zijn twee verschillende soorten PIA’s te onderscheiden. Allereerst is er een PIA voor wetgevers. Sinds de Franken motie is aangenomen, is de wetgever verplicht om rekening te houden met de resultaten van een PIA tijdens de ontwikkeling van nieuwe

wetgeving.48_{De
tweede
soort
is
een
PIA
voor
verwerkers
van
persoonsgegevens.}

Daarmee zijn verwerkers van persoonsgegevens verplicht om te beoordelen wat de

impact is van hun verwerking op de privacy van de betrokken personen.49

In deze paper zal enkel de laatste vorm van een PIA worden behandeld.

Privacy en bescherming van persoonsgegevens

Ondanks dat privacy en bescherming van persoonsgegevens nauw met elkaar verweven zijn, hebben ze in het huidige Europese recht een zelfstandig karakter. In artikel 7 van

het EU-‐Handvest50_{is
het
recht
op
eerbiediging
van
zijn
priveleven,
zijn
familie-‐
en}

gezinsleven, zijn woning en zijn communicatie opgenomen, ofwel het recht op privacy.51

Deze tekst is overgenomen van artikel 8 van het Europees Verdrag voor de Rechten van

de Mens.52_{Het
Hof
van
Justitie
van
de
Europese
Unie
heeft
inzake
EU-‐richtlijn
94/46}

geoordeeld dat het verwerken van persoonsgegevens het recht op privacy kan aantasten. Daarom dienen inmengingen in de persoonlijke levenssfeer gelezen te

worden in samenhang met artikel 8 EVRM.53_{Het
Europese
Hof
voor
de
Rechten
van
de}

Mens heeft in jurisprudentie bepaald dat dit een breed spectrum aan kwesties kan

omvatten.54_{Zo
omvat
het
onder
meer
gegevens
over
gezondheid}55_{,
persoonlijke}

45_{HEW
1973,
p.
51.}

46_{Flaherty
1989,
p.
277-‐278.} 47_{Clarke.
2009,
p.
126.}

48_{CBP
5
maart
2013,
Advies-‐concept
Toetsmodel
Privacy
Impact,
z2012-‐00847.} 49_{Norea
2013,
p.
5.}

50_{Handvest
van
de
Grondrechten
van
de
Europese
Unie
(EU-‐Handvest)
200/C
364/01.
Te
vinden
op;} http://www.europarl.europa.eu/charter/pdf/text_nl.pdf.

51_{Gellert
&
Gutwirth

2011,
p.
51.} 52_{Gellert
&
Gutwirth

2011,
p.
52.}

53_{HvJ
EG,
20
mei
2003,
C-‐465/00,
C-‐138/01
en
C-‐139/01
(Österreichischer
Rundfunk
t.
Oostenrijk)} 54_{EHRM,
12
september
2012,
10593/08
(Nada,
t.
Switzerland)}

(12)

ontwikkeling56_{,
identiteit}57_{en
bescherming
van
persoonsgegevens.}58_{Het
Hof
heeft}

daarbij opgemerkt dat het onmogelijk en niet noodzakelijk is om de reikwijdte van het

begrip privacy in een uitputtende manier te definiëren.59_{Daarmee
geeft
recht
op
respect}

voor zijn privéleven, zijn familie-‐ en gezinsleven, zijn woning en zijn correspondentie het Hof een juridische basis om vrijwel elke eigenschap of gedraging van een individu die het individu definieert als menselijk wezen, met inbegrip van persoonsgegevens,

hieronder te scharen.60

Naast het recht op privacy is er sinds kort sprake van een meer expliciete erkenning van het recht op bescherming van persoonsgegevens. Sinds het Verdrag van Lissabon wordt het beginsel van bescherming van persoonsgegevens constitutioneel erkend in artikel 8 van het EU-‐Handvest. In het EVRM wordt dit onderscheid niet gemaakt. Zo heeft het EHRM over bescherming van persoonsgegevens geoordeeld vanuit het perspectief van

privacy.61_{Het
EHRM
heeft
daarvoor
een
criteria
vastgesteld
om
te
beoordelen
of
een}

bescherming van persoonsgegevens wel of niet aan artikel 8 van het EVRM raakt.62_Er

wordt een onderscheid tussen enerzijds verwerkingen die wel aan het privéleven geraken en anderzijds verwerkingen die niet aan het privéleven geraken. Indien gegevens intrinsiek verbonden zijn met het privéleven van een individu, en dus aan het privéleven geraken, valt het zonder twijfel onder reikwijdte van het artikel 8 EVRM en

heeft het daarmee ook een impact op de privacy van de betrokkene.63_{Indien
gegevens}

niet aan het privéleven geraken, dient er gekeken te worden naar de aard en de omvang van de verwerking: werden de gegevens systematisch opgeslagen, gebeurde de opslag met de focus op een individu, konden betrokkenen redelijkerwijs verwachten dat er

verwerking van de gegevens zou plaatsvinden? 64

Dat betekent dat niet elke verwerking van persoonsgegevens die onder bescherming van persoonsgegevens valt noodzakelijk een impact op de privacy van de betrokkene heeft. Tijdens het PIA proces betekent dit dat er pas sprake is van impact op de privacy van betrokkene als aan bovengenoemde eisen is voldaan.

Daarbij moet nog in acht worden genomen dat zowel het recht op eerbiediging van privéleven, familie-‐ en gezinsleven, waaruit het recht op privacy wordt afgeleid, als het recht op bescherming van persoonsgegevens geen absolute rechten zijn. Beide moeten in relatie tot de functie ervan in de samenleving worden beschouwd en moeten worden

afgewogen tegen andere grondrechten, overeenkomstig het evenredigheidsbeginsel.65

In hoofdstuk 5 wordt verder ingegaan op deze afweging van belangen specifiek voor LifeLines.

Autonome effecten

Ingevolge artikel 33 lid 1 voert de verwerker een beoordeling uit welke het effect van de beoogde verwerkingen moet bevatten. Dit lijkt te impliceren dat een beoordeling enkel effecten hoeft te bevatten die het gevolg zijn van beoogde verwerkingen. Op basis hiervan zou verdedigd kunnen worden dat ‘autonome effecten’, ofwel inbreuken op de privacy die ook zonder deze verwerkingsactiviteiten zouden plaatsen vinden, buiten

56_{EHRM,
4
december
2008,
30562/04
(S.
t.
Marper)} 57_{EHRM,
15
maart
2012,
4149/04
(Aksu/Turkey)}

58_{EHRM,
26
maart
1987,
9248/81(Leander
t.
het
Verenigd
Koninkrijk)} 59_{EHRM,
16
december
1992,
13710/88
(Niemietz
t.
Duitsland)} 60_{De
Hert
&
Wright
2012,
p.
39.}

61_{EHRM,
26
maart
1987,
9248/81(Leander
t.
het
Verenigd
Koninkrijk)} 62_{Gellert
&
Gutwirth

2011,
p.
53.}

63_{EHRM,
26
maart
1987,
9248/81(Leander
t.
het
Verenigd
Koninkrijk)} 64_{Gellert
&
Gutwirth

2011,
p.
53.}

(13)

beschouwing moeten worden gelaten. Gegevens die reeds bij derden legitiem aanwezig zijn (zoals bij verzekeraars, overheid en zorgregistraties), zouden dan niet mee te hoeven worden meegenomen in een PIA. In het geval LifeLines geven deelnemers toestemming voor het opvragen van gegevens uit hun medisch dossier. Daarbij wordt er gebruik gemaakt van gegevens die reeds legitiem aanwezig is bij derde.

Een tweede aanwijzing hiervan kan worden gevonden in de toevoeging van sub j aan artikel 33 in de aangenomen teksten. Daarin staat vermeld dat een beoordeling van de context van de gegevensverwerking moet worden meegenomen. Deze toevoeging is gebaseerd op de Lifecycle Data Protection Management bijdrage van Alexander Alvaro, welk in hoofdstuk 4 verder wordt behandeld. Daarin omschrijft hij de verplichting dat de voor de verwerking verantwoordelijke in overeenstemming met bepaalde

contextuele criteria dient te handelen.66_{Criteria
zoals:
het
doel
waarvoor
de
gegevens}

zijn voorzien, het gebruik van de data en de relatie tussen de voor de verwerking verantwoordelijke en de betrokkene. Met deze criteria moet rekening gehouden worden gedurende de verordening en zij zullen effect hebben op de proportionaliteitseisen met betrekking tot toestemming, profilering, data overdracht en beginselen van de data protection by design en by default.

In het geval van LifeLines voorzien deelnemers LifeLines van data en biomateriaal. Deelnemers worden bewust gesteld wat het doel is van het gebruik van deze gegevens, en waarvoor deze gegevens gebruikt gaan worden. Zij worden daarmee op de hoogte gebracht dat hun gegevens (gepseudonimiseerd) worden overgedragen aan derden. Er zou rekening moeten gehouden worden met de context waarin deze gegevens worden verschaft aan LifeLines. Deelnemers zijn ook bekend met welke gegevens reeds aanwezig zijn bij derden en dat de informatie die LifeLines verschaft veelal geen nieuwe informatie zal zijn.

Hierbij aansluitend bevat artikel 1a van de Wbp ook een context-‐criterium. Daarbij wordt gedoeld op de stelling in memorie van toelichting dat gegevens, gezien de context waarin ze worden verwerkt, persoonsgegevens kunnen zijn indien de gegevens mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt

beoordeeld of behandeld.67_{Aangezien
de
gegevens
reeds
aanwezig
zijn
bij
derden,}

worden personen in het maatschappelijk verkeer niet anders behandeld of beoordeeld omdat de inbreuk op privacy ook zonder deze verkeringsactiviteiten zouden plaats vinden.

Daarnaast zou, ter ondersteuning van de stelling dat het alleen betrekking heeft op autonome effecten, naar voren kunnen worden gebracht dat er sprake is van relatieve grondrechten. Deze kunnen worden afgewogen, in overeenstemming met het evenredigheidsbeginsel, met academische vrijheid. Op grond van een evenredigheidsafweging zou gesteld kunnen worden dat het in strijd met de proportionaliteitseis is om te eisen dat biobanken extra maatregelen moeten nemen voor informatie die al reeds legitiem aanwezig is bij derden. In zowel het voorstel, de aangenomen tekst, als in de bijdrage van de Alexander Alvaro worden hier echter geen woorden aan gewijd. Echter op basis van het bovengenoemde is het verdedigbaar dat, indien er sprake is van ‘autonome effecten’, daarvoor geen PIA hoeft te worden uitgevoerd.

66_{Alvaro
2012,
p.
5-‐6.} 67_{MvT,
II,
nr.
3,
blz.
48.}

(14)

Het proces van een PIA

Het uitvoeren van een PIA is een proces.68_{Het
proces
van
het
uitvoeren
van
een
PIA}

dient plaats te vinden in een zo vroeg mogelijk stadium van het project. Op die manier bestaat nog de mogelijkheid om de privacybelangen mee te nemen in het verdere ontwerp van het project, wanneer er nog de mogelijkheid is om de uitkomst van het project te beïnvloeden. Het is aanbevolen de PIA wederom uit te voeren als de

omstandigheden veranderen.69_{Om
het
proces
te
verduidelijken
heeft
Norea
een}

handreiking ontworpen met daarin een stappenplan ter illustratie van het PIA proces, weergegeven in afbeelding 3.1. Norea (Nederlandse Orde van Register EDP-‐auditors) is de beroepsorganisatie van IT-‐auditors. Aan de handreiking heeft het CBP een bijdrage geleverd en het document heeft de formule status van studiedocument voor

beroepsbeoefenaars.70

Afbeelding 3.1: Het PIA stappenplan (Bron: Norea 2013)

Het stappen plan is ontworpen ter illustratie van het proces, kan dienen als stappenplan voor het uitvoeren van een PIA. De eerste stap is om in overeenstemming met artikel 33 lid 1 een verantwoordelijke aan te wijzen. Veelal is de voor de verwerking verantwoordelijke persoon die verantwoordelijk is voor het uitvoeren van een PIA. Nadat een verantwoordelijke is aangewezen dient alle relevante informatie verzameld te worden.

De tweede stap is het invullen van de vragenlijst. Deze vragenlijst gecombineerd met een impact beoordeling en maatregelen, dient antwoord te geven op de eisen aan een PIA als in artikel 33 lid 3 van het voorstel. In de aangenomen tekst zijn enkel amendementen doorgevoerd met betrekking tot dit lid. Meest opzienbarende veranderingen zijn de toevoeging van het eerder genoemde contextuele criteria en de toevoeging van de data life cycle, welke verder wordt behandeld in hoofdstuk 4. Dit alles

dient gedocumenteerd te worden.71_{Tot
slot
kan
in
overeenstemming
met
overweging}

60 van de aangenomen tekst het verslag worden getoetst door een onafhankelijke interne of externe controleur.

68_{Norea,
2013,
p.
10.} 69_{Norea,
2013,
p.8.} 70_{Norea
2013,
p.
2.}

71_{Artikel
33
lid
3
aangenomen
teksten
Algemene
verordening
gegevensbescherming.}N O R E A • P R I VA C Y I M P A C T A S S E S S M E N T

1 0

H

2. Handreiking voor het PIA proces

Dit deel bevat een handreiking voor het effectief en efficiënt uitvoeren van een PIA. Afhankelijk van de omstandigheden waarin de PIA wordt uitgevoerd kan op het onderstaande stappenplan worden gevarieerd. U krijgt antwoorden op vragen als: Uit welke stappen bestaat het PIA proces? Wie kan ik betrekken bij de PIA? Wat zijn succes- en faalfactoren?

2.1 Wat zijn de stappen in een PIA proces?

De uitvoering van een PIA kan bestaan uit de volgende stappen:

Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren. Verzamel relevante informatie over het project.

Vul de PIA vragenlijst in.

Beoordeel de impact en bedenk waar nodig (aanvullende) maatregelen. Stel het PIA verslag op.

Laat eventueel een (onafhankelijke) toets op de PIA uitvoeren.

Deze stappen worden hierna kort toegelicht.

2.1.1 Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren

De vragenlijst kan worden ingevuld door één persoon of door een team. Het heeft de voorkeur om de PIA door een team uit te laten voeren. De resultaten van de PIA worden daardoor beter omdat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken. Indien dit om praktische redenen niet mogelijk is, kan ervoor gekozen worden om de PIA door één per-soon uit te laten voeren en te laten reviewen door een tweede perper-soon. In bijlage B is een overzicht opgenomen van de personen die betrokken kunnen worden bij een PIA.

Voordat begonnen wordt met het uitvoeren van de PIA is het belangrijk vast te stellen wat u wilt bereiken, wie wat met de resultaten gaat doen en op welke manier de resultaten gebruikt gaan wor-den. Hierbij is het goed om de belangrijkste succes- en faalfactoren, zoals opgenomen in bijlage C, door te nemen en te bepalen hoe hiermee omgegaan wordt.

De antwoorden op bovenstaande vragen worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan.

1 2 3 4 5 6

(15)

De handreiking, en daarmee het stappenplan, zijn gebaseerd op het voorstel en daarmee niet conform de aangenomen teksten. In het stappenplan ontbreken dan een

beoordeling van de context en nalevingscontrole.72_{Beide
worden
behandeld
in}

hoofdstuk 4.

Opkomst en invoering PIA

Er zijn drie drijfveren te onderscheiden die aan de basis liggen van de opkomst en invoering van de verplichting tot het uitvoeren van een PIA. De mate waarin gegevens

worden verzameld, verwerkt, bewerkt en bewaard is enorm tegenomen.73_{Daarmee
zijn}

er toenemende bedreigen voor de privacy van betrokkenen. Ten tweede is er een toenemende trend om in actie te komen tegen toenemende privacy-‐invasie van overheden en grote corporaties. Tot slot wordt het steeds gebruikelijker om binnen organisaties gebruik te maken van risicomanagement.

Waarom een PIA uitvoeren?

Hoewel binnen de literatuur een grote hoeveelheid aan verschillende redenen wordt behandeld voor het uitvoeren van een PIA, is er splitsing te maken in een drietal redenen. De eerste, en meeste belangrijke reden, tot het uitvoeren van een PIA om vroegtijdig mogelijke privacyrisico’s te kunnen ontdekken en voorzorgsmaatregelen te

kunnen nemen en mogelijke waarborgen in te kunnen bouwen.74_{De
geldt
ook
voor}

biobanken. Door middel van het uitvoeren van een privacy impact assessment voor het uitgeven van data en biomateriaal aan onderzoekers zijn ze in staat de impact op de privacy hiervan uit te vinden. Op deze manier kunnen voordat de gegevens worden uitgegeven maatregelen worden genomen om de privacy van betrokkenen te waarborgen, en eventueel kan er op basis van de uitkomsten van de PIA besloten worden om de gegevens niet uit te geven.

Ten tweede kan een PIA ook worden uitgevoerd door biobank om er voordeel uit te

halen.75_{Het
uitvoeren
van
een
PIA
kan
het
vertrouwen
van
deelnemers
in
de
biobank}

verbeteren. Het uitvoeren van een PIA laat zien dat de biobank de privacy van deelnemers serieus neemt.

Tot slot kan door in het PIA proces belanghebbenden, zoals deelnemers, te betrekken kunnen nieuwe inzichten en overwegingen worden gegenereerd. Andersom geeft dit ook inzicht aan de belanghebbenden zelf, zodat zij een duidelijk beeld kunnen vormen

over de organisatie en verantwoording van de biobank.76

Consequenties niet naleving

Binnen de huidige Nederlandse en Europese wetgeving is er geen expliciete verplichting tot het uitvoeren van een PIA. Zoals in de volgende hoofdstukken zal blijken kan verdedigd worden dat er onder de huidige regelgeving al een verplichting bestaat tot het uitvoeren. Aangezien dit niet expliciet is vastgelegd, is er weinig duidelijkheid over de mogelijke consequenties van niet naleving van deze verplichting.

In het voorstel is het uitvoeren van een PIA wel verplicht. Het dient uitgevoerd te worden om te voldoen aan de verordening. Als hier niet aan wordt voldaan kunnen op

72_{Artikel
33
bis
aangenomen
teksten
Algemene
verordening
gegevensbescherming.} 73_{Algemene
verordening
gegevensbescherming,
p.
1.}

74_{De
Hert
&
Wright
2012,
p.
10-‐11.} 75_{De
Hert
&
Wright
2012,
p.
16.} 76_{De
Hert
&
Wright
2012,
p.
16.}