Handreiking privacybescherming epidemiologie

Transcriptie

1 VERENIGING VOOR GGD'EN Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacygevoelige gegevens door de GGD Beter voorkomen Kwaliteitsprogramma preventie

2 Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacygevoelige gegevens door de GGD September 2007 Het landelijke kwaliteitsprogramma Beter voorkomen wordt uitgevoerd door GGD Nederland, de VNG en ActiZ, organisatie van zorgondernemers, in opdracht van het ministerie van VWS en onder regie van ZonMw.

3 Colofon GGD Nederland, september 2007 Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacy gevoelige gegevens door de GGD. Auteur: Mw. mr. L.F. Markenstein, KNMG, uitgevoerd in opdracht van GGD Nederland Eindredactie: Communicatie GGD Nederland

4 Inhoudsopgave 1. Inleiding Achtergrond en vraagstelling Opzet Verantwoording werkwijze 3 2. Overzicht in een notendop Eerste oriëntatie op het wettelijk kader Vuistregels voor de praktijk Belangrijkste vraagpunten op een rij Relevante knelpunten en discussiepunten op een rij Stroomschema met toelichting Specifieke aandachtspunten bij diverse vormen van onderzoek met gezondheidsgegevens Vragenlijstonderzoek Verzameling van extra gegevens voor onderzoeksdoeleinden tijdens hulpverleningscontacten van de GGD Gebruik voor onderzoeksdoeleinden van gegevens die voor andere (behandelings)- doeleinden zijn vastgelegd Gegevensverzameling voor effectmeting en/of kwaliteitverbetering van (GVO)-interventies Gegevensverzameling in longitudinaal onderzoek Hergebruik van een combinatie van persoonsgegevens en lichaamsmateriaal voor onderzoeksdoeleinden Presentatie en toelichting regels voor privacybescherming bij onderzoek met gezondheidsgegevens Onderzoek met anonieme gegevens Onderzoek met persoonsgegevens Overige aspecten Overige rechten van betrokkene Bewaring van persoonsgegevens gebruikt in het onderzoek 40

5 Handreiking privacybescherming epidemiologie, september

6 1. Inleiding 1.1. Achtergrond en vraagstelling Het verwerven van, op epidemiologische analyse gebaseerd, inzicht in de gezondheidssituatie van de bevolking is één van de gemeentelijke taken die in de Wet collectieve preventie volksgezondheid (Wcpv) worden benoemd. Artikel 2, lid 2 onder a Wcpv geeft aan dat dit betekent dat in ieder geval eenmaal per vier jaar op landelijk gelijkvormige wijze gegevens worden verzameld en geanalyseerd voor het opstellen van een nota gemeentelijk gezondheidsbeleid door de gemeente. Ook bij de specifieke in de Wcpv benoemde taken heeft het verzamelen en analyseren van gegevens over de gezondheidssituatie van (groepen in) de bevolking een belangrijke functie. De uitvoering van dergelijke taken berust veelal bij de GGD en. De gegevensverzameling en analyse moet vanzelfsprekend aan bepaalde methodologische vereisten voldoen. Ook moet bij het verzamelen, gebruiken en bewaren van persoonsgegevens rekening worden gehouden met eisen voor de bescherming van de persoonlijke levenssfeer van betrokkenen. Het niveau van de eisen voor privacybescherming neemt toe als het gaat om bijzondere, gevoelige persoonsgegevens, bijvoorbeeld persoonsgegevens betreffende iemands gezondheid. Bij het uitvoeren van de Wcpv-taken door GGD en is vaak sprake van verzameling en gebruik van zulke privacygevoelige gezondheidsgegevens. Soms is ook sprake van de verzameling van andersoortige bijzondere persoonsgegevens, bijvoorbeeld gegevens omtrent iemands godsdienst, levensovertuiging, ras of seksuele leven. Ook daarbij is bijzondere zorgvuldigheid vereist. In de praktijk kunnen diverse vragen en knelpunten rijzen bij de toepassing van privacywetgeving en gedragscodes op door GGD en uitgevoerd onderzoek met gezondheidsgegevens. GGD Nederland heeft het beleidsbureau van de KNMG opdracht verleend om te verhelderen welke vereisten in welke situaties gelden. Doel hiervan is dat GGD en zoveel mogelijk op eenduidige en adequate wijze met het vraagstuk van privacybescherming omgaan. Doel van deze handreiking is: - Een voor de praktijk handzame presentatie en toelichting geven van de vereisten ter bescherming van de persoonlijke levenssfeer die van toepassing zijn op het door GGD en verzamelen, gebruiken en bewaren van gezondheidsgegevens voor onderzoeksdoeleinden. - Handvatten bieden voor het omgaan met mogelijke interpretatievragen en/of tips geven voor het vermijden van dergelijke dilemma s. Er is altijd in bepaalde mate sprake van een spanningsveld bij het verrichten van onderzoek met gezondheidsgegevens met de noodzakelijke bescherming van de persoonlijke levenssfeer van betrokkenen. Onderzoek met persoonsgegevens zoals uitgevoerd door GGD en hoeft echter niet op onoverkomelijke juridische barrières te stuiten. De wetgever biedt in principe voldoende ruimte voor zinvol onderzoek met gebruik van persoonsgegevens. Handreiking privacybescherming epidemiologie, september

7 1.2. Opzet In de praktijk van de GGD komen diverse vormen van onderzoek met gezondheidsgegevens voor. Bij het gebruik van gezondheidsgegevens voor onderzoeksdoeleinden is het van belang om onderscheid te maken in: Gaat het om verzameling van nieuwe gegevens (primair gebruik) of om onderzoek met bestaande gegevens (secundair gebruik)? Gaat het om onderzoek met anonieme gegevens of met persoonsgegevens? Als het gaat om onderzoek met persoonsgegevens: betreft het persoonsgegevens waarop wel of geen beroepsgeheim rust? Deze verschillen hebben consequenties voor de op het onderzoek toepasselijke bepalingen en voor de aard en omvang van de bij het onderzoek in acht te nemen privacyvereisten. Deze handreiking is opgebouwd in drie lagen. Allereerst (hoofdstuk 2) wordt een overzicht in een notendop aangereikt met vuistregels voor privacybescherming in de praktijk, een eerste oriëntatie op het wettelijk kader, antwoorden op de meest gestelde vragen en een identificatie van mogelijke knelpunten. In het tweede deel (hoofdstuk 3 en 4) wordt aan de hand van een stroomschema met toelichting dieper ingegaan op de (wettelijke) vereisten en worden de verschillende vormen van onderzoek zoals die door GGD en worden uitgevoerd en daarbij spelende specifieke aandachtspunten besproken. Tot slot (hoofdstuk 5 en 6) wordt ter verdieping van kennis over inhoud en samenhang van wetgeving en gedragscodes een geclusterde presentatie van en toelichting op de (wettelijke) regelingen gegeven Verantwoording werkwijze Voor het opstellen van deze handreiking is de relevante wetgeving en zelfregulering (gedragscodes) bestudeerd en geanalyseerd. Daarnaast is recente Nederlandse literatuur over gezondheidsonderzoek met persoonsgegevens onderzocht op knelpunten bij de interpretatie en toepassing van die regelingen en op mogelijke oplossingen. Voor zover er verschil van interpretatie over bepaalde punten mogelijk is, is aansluiting gezocht bij de meeste gezaghebbende opvattingen. In deze handreiking wordt geen nieuwe interpretatie van en/of uitwerking aan de bestaande vereisten gegeven. Discussies over eventuele aanpassing van wetgeving zijn buiten beschouwing gelaten. De themamiddag privacy in 2005 en de discussiebijeenkomsten bij alle regionale platforms epidemiologie in de zomer van 2007 zijn gebruikt als indicatie voor de aard en omvang van de vragen en knelpunten die in de praktijk rijzen bij de opzet en uitvoering van GGD-onderzoek. Die vragen zijn zoveel mogelijk gestructureerd (welke vragen rijzen bij en/of zijn relevant bij welk type onderzoek?) en van een zo specifiek mogelijk antwoord voorzien. Bij het opstellen van de handreiking is dankbaar gebruik gemaakt van de ervaring en inzichten van de leden van de klankbordgroep Epidemiologie van GGD Nederland op het gebied van uitvoering van onderzoek met persoonsgegevens. De verantwoordelijkheid voor de juridische analyses berust uitsluitend bij de opsteller van deze handreiking, mr. L.F. Markenstein, adviseur Gezondheidsrecht bij de KNMG. Handreiking privacybescherming epidemiologie, september

8 2. Overzicht in een notendop In dit deel van de handreiking wordt een overzicht in een notendop aangereikt in de vorm van een eerste oriëntatie op het wettelijk kader, vuistregels voor privacybescherming in de praktijk, antwoorden op de meest gestelde vragen en een identificatie van mogelijke knelpunten en oplossingsrichtingen. In de volgende delen van de handreiking wordt een en ander verder uitgediept Eerste oriëntatie op het wettelijk kader I. De Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) zijn alleen van toepassing als het gaat om gebruik van persoonsgegevens. Als het gaat om gebruik van anonieme gegevens zijn deze wetten niet van toepassing. Aan het gebruik van anonieme gegevens zijn geen (wettelijke) voorwaarden verbonden. II. De Wbp geeft regels voor alle vormen van verwerking van persoonsgegevens. Verzameling en gebruik van persoonsgegevens voor onderzoeksdoeleinden is een van de mogelijke gebruiksdoelen van de Wbp. De algemene bepalingen van de Wbp zijn van toepassing op gebruik van persoonsgegevens voor onderzoek. Voor het verwerken van bijzondere gegevens (waaronder gegevens over iemands gezondheid) geldt in de Wpb een neen, tenzij -regeling. Als van dergelijke gegevens gebruik wordt gemaakt, dan moeten bijzondere bepalingen worden nageleefd (artikel Wbp). In de Wbp is het belang van gebruik van persoonsgegevens voor wetenschappelijk onderzoek en statistiek onderkend. In bepaalde omstandigheden mag dit zonder toestemming van betrokkenen, mits aan een aantal voorwaarden wordt voldaan. Daarnaast kent de Wbp mogelijkheden voor (her)-gebruik van gegevens die voor andere doeleinden zijn verzameld dan voor wetenschappelijk onderzoek. Persoonsgegevens mogen langer worden bewaard voor wetenschappelijk onderzoek dan voor andere gebruiksdoelen. III. Het vertrekpunt van de Wgbo is niet de verwerking van gegevens, maar het beroepsgeheim van de hulpverlener. Dat beroepsgeheim rust op alle gegevens die door de hulpverlener in het kader van de behandelrelatie worden verzameld en vastgelegd. Voor verwerking van die gegevens door anderen dan de hulpverlener bijvoorbeeld voor onderzoeksdoeleinden is toestemming van de patiënt vereist (artikel 457 Wgbo). Ook de Wgbo kent de mogelijkheid om in bepaalde situaties op dit toestemmingsvereiste een uitzondering te maken voor het gebruik van persoonsgegevens voor wetenschappelijk onderzoek en statistiek (artikel 458). IV. Er is dus geen sprake van een aparte wettelijke regeling die specifiek toegesneden is op het gebruik van persoonsgegevens voor onderzoeksdoeleinden. Wel zijn er door representatieve organisaties specifieke gedragscodes tot stand gebracht over gebruik van persoonsgegevens voor onderzoeksdoeleinden. In die gedragscodes wordt een nadere uitwerking gegeven aan de in wetgeving neergelegde zorgvuldigheidsvereisten. Handreiking privacybescherming epidemiologie, september

9 Van belang zijn met name de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek en de Gedragscode Gezondheidsonderzoek (van toepassing bij gebruik van gegevens waarop een beroepsgeheim rust). Beide zijn door het College Bescherming Persoonsgegevens als een goede uitwerking van de vereisten van de Wbp aangemerkt Vuistregels voor de praktijk I. Overweeg de mogelijkheden om het onderzoek met anonieme gegevens te verrichten; dit houdt in dat bij het verkrijgen van gegevens al wordt afgezien van het verzamelen van gegevens waarmee (directe of indirecte) herleiding tot de individuele persoon mogelijk is. Ga uit van een realistisch beeld van de mogelijkheden en onmogelijkheden om in de praktijk van GGD-onderzoek met niet herleidbare gegevens te werken. Als redelijkerwijs twijfel kan bestaan over het niet herleidbare karakter van gegevens, neem dan de regels die gelden voor verwerking van persoonsgegevens als uitgangspunt. II. Als bij onderzoek gebruik wordt gemaakt van persoonsgegevens, omdat niet kan worden volstaan met gebruik van anonieme gegevens, moet op behoorlijke wijze vorm worden gegeven aan het verkrijgen van toestemming van betrokkenen voor het gebruik van hun gegevens. III. Als om onderzoekstechnische of praktische redenen geen toestemming kan worden verworven van betrokkenen voor het gebruik van hun persoonsgegevens, dan dienen de wettelijke kaders voor het zonder toestemming mogen gebruiken van gegevens te worden gerespecteerd. IV. Omdat het in het verloop van I t/m III gaat om steeds verdergaande inbreuken op de privacyrechten van betrokkenen, moet er steeds een deugdelijke onderbouwing van de noodzaak aanwezig zijn. V. Betracht zorgvuldigheid bij het verzamelen, bewaren en gebruiken van gegevens. Verzamel niet meer persoonsgegevens dan strikt noodzakelijk is voor het onderzoek. Gebruik voor onderzoek verkregen persoonsgegevens uitsluitend voor onderzoek. Bij langere bewaring van persoonsgegevens dan voor het onderzoek noodzakelijk is, moeten de wettelijke vereisten in acht worden genomen. VI. Neem alle maatregelen die nodig zijn om de gegevens afdoende te beveiligen tegen verlies, aantasting, onbevoegde kennisneming, wijziging, herleiding of verstrekking. Zie ook toe op strikte naleving van de vereisten door al degenen die aan het onderzoek meewerken. VII. Stel voor elk onderzoek een onderzoeksprotocol op. Daarin is in ieder geval opgenomen: de naam of namen van de verantwoordelijke onderzoeker(-s); de doelstelling, vraagstelling, methoden en tijdsduur van het onderzoek; de categorie personen over wie gegevens voor het onderzoek worden gebruikt; de eventuele reden waarom geen anonieme gegevens worden gebruikt; een beschrijving van de voorzieningen ter beveiliging van de gegevens; de wijze waarop de resultaten van het onderzoek worden gepubliceerd. VIII. Houdt rekening met de meldingsplicht voor gegevensverwerking zoals neergelegd in artikel 27 Wbp. Handreiking privacybescherming epidemiologie, september

10 2.3. Belangrijkste vraagpunten op een rij Wanneer kan gesproken worden van anonieme gegevens? Hoe moet vorm worden gegeven aan het toestemmingsvereiste, in het bijzonder bij minderjarige en wilsonbekwame deelnemers aan het onderzoek? Wat zijn mogelijkheden om bij GGD-onderzoek zonder toestemming persoonsgegevens voor onderzoek te gebruiken? Wanneer moet bij vragenlijstonderzoek rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen Wmom)? Hoe zit het met de meldingsplicht bij gegevensverwerking voor onderzoeksdoeleinden? Hoe verhouden de verantwoordelijkheden van de GGD als organisatie zich tot de verantwoordelijkheden van de (individuele) onderzoeker? Wanneer kan gesproken worden van anonieme gegevens? Van anonieme gegevens is sprake als herleiding tot de individuele persoon niet of slechts met onevenredige tijd of inspanning mogelijk is. Dit criterium is aan de Wbp te ontlenen. Of aan dit criterium wordt voldaan hangt in belangrijke mate ook af van de omstandigheden in de concrete praktijksituatie. Terughoudendheid is geboden in die zin dat niet te snel geconcludeerd mag worden dat er sprake is van anonieme gegevens. Ook zonder NAW-gegevens kan er sprake zijn van directe of indirecte herleidbaarheid van gegevens. Bijvoorbeeld doordat een combinatie van de wel verzamelde gegevens tot specifieke personen te herleiden is en/of doordat koppeling of vergelijking met andere beschikbare gegevens mogelijk is. Uitgangspunten In termen van de Wbp moet bij alle stappen in de verwerking van gegevens, dus reeds bij de verzameling, sprake zijn van niet-herleidbaarheid. Het anonimiseren van gegevens vraagt meer dan het weglaten en/of verwijderen van NAWgegevens. In algemene zin moet er rekening mee worden gehouden dat het risico van indirect herleidbaarheid toeneemt naarmate de onderzoekspopulatie kleiner is en eenvoudig te lokaliseren (klas, wijk, postcodegebied) terwijl het aantal verzamelde kenmerken van de deelnemers groter of in combinatie met elkaar specifieker is (geslacht, leeftijd, aandoening). Er is uitsluitend sprake van verwerking (verzameling en gebruik) van anonieme gegevens voor onderzoek als de onderzoeker en/of diens medewerkers op geen enkel moment beschikt hebben over de mogelijkheid om de gegevens tot de persoon te herleiden. Ook als bijvoorbeeld na de initiële gegevensverzameling de gegevens worden ontdaan van alle identificerende kenmerken, dan kan niet gesproken worden van anonieme gegevensverwerking. Er is ook geen sprake van gebruik van anonieme gegevens als er een bestand met onderzoeksgegevens en een apart bestand met communicatiegegevens is, maar de verbinding tussen die twee bestanden door de onderzoeker gelegd kan worden. Handreiking privacybescherming epidemiologie, september

11 Gecodeerde gegevens blijven in principe via de sleutel van de code herleidbaar tot de individuele persoon. Pas als er sluitende afspraken zijn gemaakt waardoor gegarandeerd wordt dat de onderzoeker niet over de sleutel kan beschikken, dan mogen gecodeerde gegevens ingedeeld worden in de categorie anonieme gegevens. Bij uitbesteding van de gegevensverzameling aan externe bureaus is geen sprake van nietherleidbaarheid als het bureau zowel de onderzoeksgegevens als de communicatiegegevens ontvangt. Om van niet-herleidbare verwerking te kunnen spreken moet worden voorzien in een strikte scheiding tussen degene die over de onderzoeksgegevens kan beschikken en degene die over de identificerende gegevens (en de sleutel tot de codering) kan beschikken. Een verdeling over verschillende afdelingen, bijvoorbeeld binnen de GGD, komt niet tegemoet aan het vereiste beschermingsniveau. Hoe moet vorm worden gegeven aan het toestemmingsvereiste, in het bijzonder bij minderjarige en wilsonbekwame deelnemers aan het onderzoek? Op grond van de Wbp moet de toestemming voor verwerking van bijzondere persoonsgegevens ondubbelzinnig zijn. Schriftelijke toestemming is niet vereist. De Wbp kent voor minderjarigen tot 16 jaar een regeling voor vertegenwoordiging door de ouders. Die moeten ondubbelzinnig toestemming geven voor gegevensverwerking. Bij meerderjarige wilsonbekwamen die onder curatele of mentorschap staan moet de ondubbelzinnige toestemming voor gegevensverwerking worden verkregen van die vertegenwoordigers. De kring van meerderjarige wilsonbekwamen is in de Wgbo ruimer omschreven (degene die niet in staat is tot een redelijke waardering van zijn belangen ter zake) dan in de Wbp (degene die onder mentorschap of curatele staat). Tegelijkertijd voorziet de Wgbo ook in een ruimere kring van vertegenwoordigers (partners en overige familie) bij wie in voorkomende gevallen toestemming voor gegevensverwerking verkregen kan worden. Uitgangspunten Toestemming is ondubbelzinnig als dat expliciet gevraagd en gegeven wordt. Toestemming mag ook worden afgeleid uit gedrag als dat gedrag maar voor één uitleg vatbaar is. Het door deelnemers nalaten van bepaald gedrag (bijvoorbeeld het niet maken van bezwaar) kan niet als ondubbelzinnige toestemming worden aangemerkt, omdat daarbij al snel sprake is van mogelijke dubbelzinnigheden. Snapten deelnemers wel dat van hen een bepaalde actie werd verlangd? Heeft de relevante informatie hen wel bereikt? Konden zij wel overzien wat de consequenties van het nalaten van die actie zijn? Voorafgaand aan het verkrijgen van toestemming moeten de deelnemers zo volledig mogelijk worden geïnformeerd over het voorgenomen gebruik van hun persoonsgegevens. De informatie moet afgestemd zijn op de betrokkene en alle aspecten betreffen die betrokkene redelijkerwijs nodig heeft voor de oordeelsvorming. Tenminste moet worden aangeven waarom voor het onderzoek persoonsgegevens van betrokkene noodzakelijk zijn, het doel van het onderzoek, het belang ervan en de eventuele gevolgen voor betrokkene. Een eenmaal gegeven toestemming kan altijd worden ingetrokken. Voor zover mogelijk worden dan de gegevens van betrokkene uit het onderzoeksbestand verwijderd. Indien dat niet mogelijk is, dan worden zij tenminste volledig geanonimiseerd. Handreiking privacybescherming epidemiologie, september

12 Het verkrijgen van de vereiste toestemming van vertegenwoordigers (van minderjarigen en/of meerderjarige wilsonbekwamen) kan in de praktijk soms moeilijk zijn. In bijzondere omstandigheden kan zonder toestemming van de wettelijk vertegenwoordiger voor onderzoek gebruik worden gemaakt van gegevens met een beroep op artikel 23 lid 2 Wbp of artikel 458 Wgbo (als het gaat om gegevens waarop een beroepsgeheim rust). Een en ander vereist een goede onderbouwing (zie volgende vraag). Wat zijn de mogelijkheden om bij GGD-onderzoek zonder toestemming persoonsgegevens voor onderzoek te gebruiken? De Wbp biedt in artikel 23 lid 2 ruimte om bijzondere persoonsgegevens zonder toestemming te gebruiken voor onderzoek dat een algemeen belang dient. En de Wgbo biedt in artikel 458 ruimte om gegevens waarop een beroepsgeheim rust zonder toestemming te gebruiken voor wetenschappelijk onderzoek op het gebied van de volksgezondheid. Daarnaast biedt artikel 457 Wgbo de hulpverlener ruimte voor onderzoek met eigen patiëntgegevens die in het kader van de behandelrelatie zijn verzameld. Uitgangspunten De kwalificatie dat de hulpverlener eigen onderzoek met eigen gegevens doet is maar op een beperkt aantal situaties van toepassing. Binnen een organisatie of afdeling gaat het dan uitsluitend om die hulpverleners die behandelcontacten met de cliënt hebben gehad en gegevens hebben vastgelegd. Collega s binnen of buiten de afdeling die dat contact niet hebben gehad moeten worden beschouwd als derden die niet onder deze uitzondering vallen. De uitzonderingsbepaling in de Wbp en in de Wgbo zien op situaties waarin het vragen van toestemming om onderzoekstechnische of praktische redenen niet mogelijk is, terwijl het onderzoek een algemeen belang dient. Het is van belang dat de redenen waarom geen toestemming kan worden gevraagd in het onderzoeksprotocol gespecificeerd en onderbouwd worden. Voor de dimensie van het algemeen belang kan worden verwezen naar de Wcpv-taak van de GGD. Beide bepalingen spreken van wetenschappelijk onderzoek. Bij onderzoek door GGD en is niet altijd sprake van wetenschappelijk onderzoek in de strikte zin van het verwerven van nieuwe wetenschappelijke kennis of inzichten. Soms is meer sprake van een beleidsondersteunende doelstelling bij het onderzoek. Maar vrijwel altijd zal worden voldaan aan het criterium dat het doel van het onderzoek is gelegen in de sfeer van bevordering of bescherming van de volksgezondheid en dat er een redelijke mate van waarschijnlijkheid is dat een groep van enige omvang daarbij een aanzienlijk voordeel kan hebben. Van belang daarbij is dat uit het onderzoeksprotocol blijkt dat het onderzoek naar wetenschappelijke maatstaven zinvol en deugdelijk is. Handreiking privacybescherming epidemiologie, september

13 Beide bepalingen vragen om voorzieningen om te waarborgen dat de persoonlijke levenssfeer van betrokkene niet onevenredig wordt geschaad. En in artikel 457 lid 1 onder b wordt verlangd dat gezorgd wordt dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen. Bij dit laatste wordt gedacht aan codering van gegevens waarbij de sleutel tot herleiding van de gecodeerde gegevens niet bij de onderzoeker komt te rusten. Artikel 458 Wgbo stelt ook als voorwaarde dat de patiënt geen bezwaar heeft gemaakt tegen gebruik zonder toestemming van gegevens voor wetenschappelijk onderzoek. Het is de verantwoordelijkheid van de hulpverlener om aan die bezwaarmogelijkheid en de daarvoor noodzakelijke informatie aan patiënten vorm te geven. Als het gaat om (her)-gebruik van gegevens waarop een beroepsgeheim rust wordt in de Gedragscode Gezondheidsonderzoek toetsing door een METC aanbevolen. Het opstellen van een gedragscode waarin de redenen om af te zien van het vragen van expliciete toestemming bij bepaalde typen onderzoek (bijvoorbeeld van wettelijk vertegenwoordigers voor e-movo) worden gespecificeerd is aan te bevelen. Zo n gedragscode kan ter advisering en/of toetsing aan het CBP worden voorgelegd. Wanneer moet bij vragenlijstonderzoek rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen? De Wet medisch-wetenschappelijk onderzoek met mensen (Wmom) biedt bescherming tegen onverantwoorde risico s voor deelnemers aan medisch-wetenschappelijk onderzoek. Vragenlijstonderzoek (verzamelen van gegevens via vragenlijst, enquête of interview) valt alleen onder de reikwijdte van de Wmom als er een wetenschappelijke doelstelling is en sprake is van het in een zodanige frequentie afnemen van vragenlijsten dat daardoor sprake is van het opleggen van een gedragswijze aan betrokkenen. Bij vragenlijstonderzoek door GGD en is dit meestal niet aan de orde. Ook bij eenmalig vragenlijstonderzoek kunnen er risico s voor de deelnemers aan beantwoording vastzitten. Met name als het gaat om psychisch belastende vragen. Dan is extra zorgvuldigheid gepast, met name ook bij minderjarigen. Op epidemiologen rust een eigen verantwoordelijkheid om een bewuste afweging te maken of het wel aanvaardbaar is om bepaalde vragen op te nemen in vragenlijstonderzoek. Uiteenlopende maatregelen zijn mogelijk om extra zorgvuldigheid te betrachten. Het kan met zich meebrengen dat de vragenlijst wordt aangepast en/of dat deelnemers nadrukkelijk op het mogelijkerwijs psychisch belastende karakter van de vragenlijst worden gewezen en/of dat er in adequate signalering van en doorverwijzing bij eventuele problemen is voorzien. Handreiking privacybescherming epidemiologie, september

14 Hoe zit het met de meldingsplicht bij gegevensverwerking voor onderzoeksdoeleinden? Het door de GGD verwerken van persoonsgegevens voor onderzoeksdoeleinden is niet vrijgesteld van de meldingsplicht op grond van artikel 27 Wbp. Gegevensverwerking door de GGD voor behandelingsdoeleinden valt wel onder het Vrijstellingsbesluit. Dat geldt echter niet voor het door de GGD verwerken van gegevens voor onderzoeksdoeleinden. Verder kan de GGD niet worden aangemerkt als organisatie voor wetenschappelijk onderzoek in de zin van het Vrijstellingsbesluit. Uitgangspunten Het niet van toepassing zijn van het Vrijstellingsbesluit op gegevensverwerking voor onderzoeksdoeleinden door de GGD heeft weinig praktische gevolgen. De administratieve verplichtingen horend bij de meldingsplicht kunnen via een eenmalige melding door de GGD vorm worden gegeven. De verantwoordelijkheid hiervoor berust bij de organisatie. Voor de toepasselijkheid van de overige Wbp-bepalingen heeft een en ander geen gevolgen. Hoe verhouden de verantwoordelijkheden van de GGD als organisatie zich tot de verantwoordelijkheden van de (individuele) onderzoeker? De in de Wbp neergelegde plichten en verantwoordelijkheden moeten worden nagekomen door de verantwoordelijke. Dat is degene die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. De Wbp gaat er vanuit dat bij de directie van de GGD de formeeljuridische zeggenschap over de gegevensverstrekking berust. De Gedragscode Gezondheidsonderzoek legt plichten en verantwoordelijkheden op aan individuele onderzoekers (voor zover aangesloten bij beroepsverenigingen die onder de Federatie van Medisch Wetenschappelijke Verenigingen (FMWV) vallen en voor zover het gaat om gebruik van gegevens waarop een beroepsgeheim rust). De onderzoeker is de feitelijke (eind-) verantwoordelijke voor het opstellen van het onderzoeksprotocol en de uitvoering van het onderzoek. De Gedragscode Gezondheidsonderzoek gaat er vanuit dat de verantwoordelijke (in de zin van de Wbp) de onderzoeker in de gelegenheid stelt om de wettelijke bepalingen en de uitwerking daarvan in de gedragscode na te leven. Daarnaast moet de verantwoordelijke passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Uitgangspunten Het CBP heeft van de Gedragscode Gezondheidsonderzoek en de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek aangegeven dat daarin een goede uitwerking aan de vereisten in de Wbp wordt gegeven. Aangezien de GGD als verantwoordelijke gebonden is aan de naleving van de Wbp, zijn die gedragscodes daarmee ook voor de GGD als organisatie richtinggevend voor de manier waarop met de verwerking van persoonsgegevens bij onderzoek moet worden omgegaan. Handreiking privacybescherming epidemiologie, september

15 2.4. Relevante knelpunten en discussiepunten op een rij (Te) Hoge drempel voordat gesproken kan worden van anonimisering? Bij onderzoek door de GGD zal om praktische of onderzoekstechnische redenen niet (snel) aan het vereiste van anonieme gegevensverzameling worden voldaan. Met name omdat daarvoor nodig is dat vanaf het begin de onderzoeker en/of diens medewerkers niet over identificerende gegevens van de deelnemers beschikken. Vaak zal in eerste instantie behoefte zijn aan een herinnering ter verhoging van de respons en/of analyse van de non-respons en zal pas in een latere fase de (afdoende) ontkoppeling van identificerende en onderzoeksgegevens worden gerealiseerd. Complicatie is ook dat het ontkoppelen van communicatiegegevens soms niet voldoende is om herleidbaarheid van de gegevens uit te sluiten. Een combinatie van gegevens kan toch herleiding tot het individu mogelijk maken en/of er is slechts sprake van codering met behoud van de sleutel door de onderzoeker. De drempels voor het realiseren van gegevens in niet herleidbare vorm zijn tamelijk hoog en het is de vraag of het lonend is om daar sterk op in te zetten. Een en ander heeft wel consequenties voor de oriëntatie op toepasselijke wetgeving bij het onderzoek van de GGD. Rekening moet worden gehouden met Wbp en Wgbo en in principe moet toestemming voor de gegevensverwerking worden verkregen. Een beroep op de uitzonderingsbepalingen om zonder toestemming te mogen werken, vergt extra inspanningen. Dit staat in schril contrast met de onbeperkte mogelijkheden tot gebruik van anonieme gegevens. Dit is een reëel knelpunt, dat binnen de huidige wetgeving niet bevredigend is op te lossen. Momenteel staat de introductie van een lichter wettelijk regime voor gecodeerde gegevens ter discussie. Dit zal tot op zekere hoogte aan de bezwaren tegemoet komen, als binnen GGD en goed vorm kan worden gegeven aan de bij codering in acht te nemen vereisten. (Te) Beperkte mogelijkheden om zonder toestemming (van wettelijk vertegenwoordigers bij minderjarigen of meerderjarige wilsonbekwamen) gegevens te verzamelen voor onderzoeksdoeleinden? Het verwerven van toestemming voor gegevensverzameling vergt soms aanzienlijke inspanningen en is soms weinig succesvol. De situatie kan ontstaan dat onderzoek van groot belang is om de gezondheidssituatie van bepaalde groepen te verbeteren, maar dat door het toestemmingsvereiste een groot risico op non-respons met name in de belangrijkste doelgroepen ontstaat. (Her)-gebruik van gegevens zonder toestemming en/of gegevensverzameling onder minderjarigen of meerderjarige wilsonbekwamen zonder toestemming van hun wettelijk vertegenwoordiger is dan een te overwegen optie. In principe bieden de Wbp en Wgbo daarvoor ruimte. Onderzoekers ervaren aanzienlijke drempels in het gebruik maken van die ruimte. Een taxatie is nodig of het onderzoek aan de wettelijke vereisten voldoet en dat kan de nodige (rechts-)onzekerheid opleveren. Een mogelijkheid is om bij die taxatie de hulp van een METC in te roepen of om een gedragscode voor GGD-onderzoek te ontwikkelen. Handreiking privacybescherming epidemiologie, september

16 (Te) weinig erkenning in wetgeving van het specifieke belang van GGD-onderzoek dat vaker beleidsondersteunend dan wetenschappelijk is en daarmee samenhangende tekortkomingen in het benodigde instrumentarium voor dit type onderzoek? De Wbp heeft onmiskenbaar een zeer algemeen karakter. De Wgbo neemt behandelingsrelaties als uitgangspunten en niet onderzoeksrelaties. De tot nu toe tot stand gebrachte gedragscodes voorzien ook niet specifiek in oplossingen voor problemen waarop GGD-onderzoek stuit. Ontwikkeling van eigen gedragscodes voor GGD-onderzoek kan een mogelijkheid bieden om te voorzien in meer specifiek op GGD-onderzoek toegespitste uitwerkingen van de wettelijke vereisten van Wbp en Wgbo. Een eventuele gedragscode kan dan aan het CBP worden voorgelegd om te toetsen of de uitwerkingen binnen de wettelijke grenzen zijn gebleven. Een en ander kan bijvoorbeeld een steun in de rug zijn voor onderzoekers die overwegen om een beroep te doen op de uitzonderingsbepalingen in Wbp en Wgbo. (Te) weinig gebruik van mogelijkheden om onderzoeksprotocollen ter toetsing aan een METC voor te leggen? Het veld van METC s in Nederland is divers. Niet alle METC s die een erkenning hebben voor toetsing van medisch-wetenschappelijk onderzoek met mensen zijn bereid tot toetsing van andersoortig onderzoek, bijvoorbeeld onderzoek met gezondheidsgegevens. Bij de niet-erkende METC s zijn de kwalificaties van de leden niet altijd gegarandeerd. Ook is het de vraag of bij de METC s wel voldoende specifieke kennis en ervaring met GGD-onderzoek aanwezig is. Daarvoor zou de samenstelling van de METC bijvoorbeeld met een epidemioloog moeten worden uitgebreid. Aan de andere kant kan externe toetsing van onderzoeksprotocollen er aan bijdragen dat voor onderzoekers de wettelijke criteria worden verhelderd en dat meer rechtszekerheid ontstaat. De bestaande mogelijkheden zijn dus weliswaar niet optimaal, maar kunnen zeker beter benut worden. Handreiking privacybescherming epidemiologie, september

17 Handreiking privacybescherming epidemiologie, september

18 3. Stroomschema met toelichting (stroomschema zie achterin dit document) 1. Bepaling van de onderzoeksopzet De doel-/vraagstelling van het onderzoek is leidend bij de bepaling van de aard en omvang van de gegevensverzameling. Elk onderzoek moet zo worden opgezet dat de persoonlijke levenssfeer van betrokkene zoveel mogelijk wordt beschermd. Dat betekent ten eerste dat er niet meer gegevens worden verzameld dan voor het onderzoek noodzakelijk zijn. En het betekent ook dat bij onderzoek voor zover mogelijk gebruik worden gemaakt van anonieme gegevens. Persoonsgegevens worden uitsluitend gebruikt voor zover het onderzoek redelijkerwijs niet zonder deze gegevens kan worden verricht. 2. Anonieme gegevensverwerking De bepaling of er gelet op de onderzoeksvraag anonieme gegevens of persoonsgegevens worden verzameld, is van belang voor de al dan niet toepasselijkheid van de Wbp, Wgbo en gedragscodes. Die gelden alleen bij gebruik van persoonsgegevens en niet bij gebruik van anonieme gegevens. Er is uitsluitend sprake van verwerking (verzameling en gebruik) van anonieme gegevens voor onderzoek als de onderzoeker en/of diens medewerkers op geen enkel moment beschikken over de mogelijkheid om de gegevens tot de persoon te herleiden. Om van niet herleidbare verwerking te kunnen spreken moeten ofwel geen direct of indirect identificerende gegevens worden verzameld ofwel moet worden voorzien in een strikte scheiding tussen degene die over de onderzoeksgegevens kan beschikken en degene die over de identificerende gegevens en de sleutel tot de code kan beschikken. Er is bijvoorbeeld geen sprake van anonieme gegevensverzameling als pas na de initiële fase de gegevens worden ontdaan van identificerende kenmerken en/of als verzamelde gegevens gescheiden worden in een bestand met zogenaamde communicatiegegevens en een bestand met onderzoeksgegevens. Een verdeling van bestanden en/of sleutels over verschillende afdelingen binnen de GGD komt niet voldoende tegemoet aan het vereiste beschermingsniveau om van anonieme gegevensverwerking te mogen spreken. Bij uitbesteding van de gegevensverzameling aan externe bureaus is ook geen sprake van waarborgen van niet herleidbaarheid als zo n bureau zowel de onderzoeksgegevens als de communicatiegegevens ontvangt. Anonimisering vergt ook meer dan het alleen weglaten van direct identificerende kenmerken (zoals NAW-gegevens). Aandacht moet worden besteed aan de vraag of een combinatie van de wel verzamelde gegevens (bijvoorbeeld leeftijd, geslacht, volledige postcode) in de specifieke situatie niet leidt tot het kunnen vaststellen van de identiteit van betrokkenen zonder dat dit onevenredige inspanning kost. In algemene zin kan aangegeven worden dat het risico van indirecte herleidbaarheid van gegevens toeneemt naarmate de onderzoekspopulatie kleiner is en/of eenvoudig te lokaliseren (klas, wijk, postcodegebied) terwijl het aantal verzamelde kenmerken van die populatie groter en/of eventueel in combinatie - specifieker is (geslacht, leeftijd, lengte, aandoeningen). In de Wbp fungeert het criterium al dan niet met onevenredige inspanning tot de persoon herleidbaar als scharnierpunt. De onderzoeker moet in de concrete situatie die taxatie Handreiking privacybescherming epidemiologie, september

19 maken. Daarbij is terughoudendheid gepast in die zin dat niet te snel geconcludeerd mag worden dat er sprake is van anonieme gegevens. Als het risico van indirecte herleiding reëel aanwezig is, dan is het verstandig om maatregelen te treffen om die indirecte herleiding te kunnen voorkomen, bijvoorbeeld door bepaalde gegevens niet te verzamelen. Als aanvullende maatregelen niet mogelijk zijn, dan moet naar de deelnemers duidelijk worden gemaakt dat er geen sprake is van anonieme gegevensverzameling en moeten de Wbp-vereisten worden nagekomen. Als het gaat om de verwerking van anonieme gegevens dan zijn er geen restricties aan het gebruik en gelden er geen bijzondere voorwaarden voor het beheer van de gegevens. Wel moet worden gegarandeerd dat koppeling met andere bestanden waardoor herleidbaarheid kan ontstaan niet plaatsvindt. 3. Toestemmingsvereiste voor verwerking persoonsgegevens De Wbp verlangt voor de verwerking van persoonsgegevens voor onderzoeksdoeleinden ondubbelzinnige toestemming van betrokkene. Dit kan bijvoorbeeld worden vormgegeven in een door betrokkene te ondertekenen toestemmingsverklaring. Maar expliciete mondelinge toestemming is ook toereikend, omdat strikt genomen de Wbp geen schriftelijke toestemming vergt. Toestemming mag ook worden afgeleid uit gedrag van de deelnemer, bijvoorbeeld het beantwoorden van vragen, retourneren van vragenlijsten etc. Als extra waarborg kan het verstandig zijn om deelnemers er op te attenderen dat bepaald gedrag als toestemming zal worden geïnterpreteerd. Het door deelnemers nalaten van bepaald gedrag (bijvoorbeeld het achterwege laten van bezwaar) interpreteren als toestemming stuit op bezwaren. Zo is bij sommige groepen al bij voorbaat duidelijk dat de drempel voor het kunnen maken van bezwaar onevenredig hoog is (moeite om informatie te begrijpen, moeilijke procedure, taalproblemen), waardoor uit het achterwege blijven van bezwaar niets mag worden afgeleid. Van belang is dat het aan de deelnemers verstrekte informatiemateriaal een juiste weergave vormt van de onderzoeksopzet (vraagstelling, relevantie van het onderzoek) en de manier waarop de gegevens worden verwerkt en bij verzameling van persoonsgegevens de manier waarop daarmee na het onderzoek wordt omgegaan (inclusief eventuele bewaring en/of hergebruik). Het in het informatiemateriaal geschetste beeld moet de feitelijk gang van zaken dekken, anders is de op basis daarvan verkregen toestemming niet rechtsgeldig en de daarop gebaseerde gegevensverwerking niet rechtmatig. 4. Wettelijke vertegenwoordiging minderjarigen en (andere) wilsonbekwamen Als sprake is van verzameling van persoonsgegevens van minderjarigen (tot 16 jaar), dan moet van de ouders de expliciete toestemming voor deelname aan het onderzoek en het verwerken van de gegevens worden verkregen. De Wbp verlangt bij meerderjarige wilsonbekwamen die onder curatele of mentorschap zijn geplaatst, dat voor de verwerking van hun persoonsgegevens de toestemming van de curator of mentor wordt verkregen. De Wgbo, die van toepassing is op de verwerking van persoonsgegevens waarop een beroepsgeheim rust, is strikter door in alle gevallen van feitelijke wilsonbekwaamheid van betrokkene (dus niet alleen als er sprake is van een mentorschap of curatele) te verlangen dat er toestemming van een vertegenwoordiger wordt verkregen. Handreiking privacybescherming epidemiologie, september

20 Als het gaat om de verzameling van anonieme gegevens bij minderjarigen en meerderjarige wilsonbekwamen moeten inspanningen worden gedaan om de ouders respectievelijk de wettelijk vertegenwoordiger in ieder geval op de hoogte te stellen en hen een mogelijkheid tot het maken van bezwaar tegen deelname te bieden. Als sprake is van mogelijkerwijs psychisch belastende vragen in het onderzoek verdient het aanbeveling die inspanningen te intensiveren. Gegevens waarop wel/niet beroepsgeheim rust Op gegevens die in een (Wgbo-)hulpverleningsrelaties worden verzameld rust een (medisch) beroepsgeheim. De Wgbo beperkt de mogelijkheden tot gebruik van deze gegevens en verbindt daaraan nadere voorwaarden. Als dergelijke gegevens met inachtneming van de vereisten voor onderzoek ter beschikking worden gesteld, blijft het beroepsgeheim op die gegevens rusten. Dit beperkt de mogelijkheden voor hergebruik van die gegevens. Door hulpverlenende afdelingen van de GGD (JGZ, Infectieziekten, OGGZ) kan gebruik gemaakt worden van behandelcontacten om van cliënten bij voorbaat toestemming te vragen voor gebruik van hun behandelgegevens voor epidemiologisch onderzoek. Op gegevens die in het kader van onderzoek rechtstreeks bij betrokkenen worden verzameld rust geen (medisch) beroepsgeheim. Wel heeft de onderzoeker de plicht om te zorgen dat alleen degenen die over de gegevens mogen beschikken afgemeten aan de doelstelling waarmee de gegevens zijn verzameld ook over die gegevens kunnen beschikken. De mogelijkheden tot gebruik van deze gegevens worden bepaald door de Wbp. 5. Uitzondering op toestemmingsvereiste in artikel 23 lid 2 Wbp Artikel 23 lid 2 Wbp maakt het mogelijk om bij wijze van uitzondering, zonder toestemming van betrokkene, bijzondere persoonsgegevens voor onderzoeksdoeleinden te verwerken. Om een beroep op dit artikel te kunnen doen, moet worden onderbouwd waarom in het specifieke onderzoek het vragen van uitdrukkelijke toestemming onmogelijk is of onevenredige inspanning kost. Daarnaast moet worden aangetoond dat het onderzoek een algemeen belang dient en moeten waarborgen worden geboden dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad. Bij dat laatste valt te denken aan maatregelen als: het zoveel mogelijk onderscheid maken tussen een communicatiebestand met direct identificerende gegevens en het onderzoeksbestand en het zo snel mogelijk teniet doen van koppelingsmogelijkheden daartussen en/of vernietigen van de communicatiegegevens. Strikt genomen vergt de Wbp niet dat het onderzoeksprotocol in een dergelijke situatie wordt getoetst door een METC. Maar het kan toch aanbeveling verdienen om een onafhankelijk oordeel te zoeken over de vraag of in de specifieke situatie inderdaad sprake is van onmogelijkheid of onevenredigheid van de inspanning om toestemming te vragen. Een gedragscode kan in dergelijke afwegingen meer houvast bieden. 6. Uitzondering op toestemmingsvereiste in artikel 458 Wgbo Artikel 458 Wgbo maakt het mogelijk om bij wijze van uitzondering, zonder toestemming van betrokkene, persoonsgegevens waarop een beroepsgeheim rust voor onderzoeksdoeleinden te verwerken. Om een beroep op dit artikel te kunnen doen moet worden onderbouwd waarom in het specifieke onderzoek het vragen van toestemming in redelijkheid niet mogelijk is of vanwege Handreiking privacybescherming epidemiologie, september

21 onderzoekstechnische redenen niet kan worden verlangd. Daarnaast moet worden aangetoond dat het onderzoek een algemeen belang dient, dat het onderzoek niet zonder de gegevens kan worden uitgevoerd en dat de patiënt geen uitdrukkelijk bezwaar heeft gemaakt. Vereist is ook dat wordt voorzien in waarborgen om de persoonlijke levenssfeer van de patiënt niet onevenredig te schaden (zie boven). In geval van onderzoekstechnische redenen om geen toestemming te vragen is sprake van een iets strengere eis, namelijk dat moet worden voorzien in verstrekking van de gegevens in zodanige vorm dat herleiding tot de individuele patiënt redelijkerwijs wordt voorkomen. Codering is daarvoor de aangewezen vorm. De hulpverlener draagt zorg voor het ontdoen van de gegevens van identificerende kenmerken en voorziet ze van een code. De onderzoeker krijgt slechts de gecodeerde gegevens. Gedurende het onderzoek kan de onderzoeker dan nog aanvullende gegevens krijgen door tussenkomst van de hulpverlener die de code beheert. De Gedragscode Gezondheidsonderzoek stelt dat het onderzoeksprotocol ter toetsing moet worden voorgelegd aan een METC om een onafhankelijk oordeel te verkrijgen of aan de vereisten van artikel 458 Wgbo is voldaan. Een dergelijk oordeel kan een belangrijk middel zijn om hulpverleners die aarzelen of gegevensverstrekking zonder toestemming verantwoord is, over de streep te trekken. 7. Meldingsplicht verwerking persoonsgegevens Melding van een (nieuwe) verwerking van persoonsgegevens bij het CBP is noodzakelijk. Veelal zal de GGD al hebben voorzien in melding bij het CBP dat sprake is van verwerkingen van gegevens voor onderzoeksdoeleinden, waarbij is aangegeven welke specifieke gegevens rond welke doelgroepen voor gespecificeerde onderzoeksdoeleinden worden verwerkt. Als het onderzoek en de gegevensverwerking onder één van de reeds gemelde categorieën valt, dan hoeft geen aparte melding (meer) plaats te vinden. Handreiking privacybescherming epidemiologie, september

22 4. Specifieke aandachtspunten bij diverse vormen van onderzoek met gezondheidsgegevens 4.1. Vragenlijstonderzoek Algemeen Soms moet bij studies waar via vragenlijsten, enquêtes of interviews gegevens bij betrokken proefpersonen zelf worden verzameld, rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen (Wmom). Dit is aan de orde als er sprake is van een wetenschappelijke doelstelling en vragenlijsten in een zodanige frequentie worden afgenomen dat daardoor sprake is van het opleggen van een gedragswijze aan betrokkenen. Bijvoorbeeld het gedurende een bepaalde periode dagelijks moeten bijhouden van een dagboekje met uitgebreide vragen, het regelmatig invullen van vragenlijsten ed. Dergelijk onderzoek moet ter toetsing aan een METC voorgelegd worden. Eenmalig vragenlijstonderzoek valt niet onder de Wmom. Toetsing van eenmalig vragenlijstonderzoek kan desondanks wenselijk zijn als er sprake is van psychisch belastende vragen. Verplicht is dat echter niet. Extra zorgvuldigheid is nodig. Zo is in ieder geval van belang om de deelnemers, in de informatieverstrekking voor het verkrijgen van toestemming, expliciet te wijzen op eventuele risico s in de sfeer van psychische belasting. Een en ander neemt echter de eigen verantwoordelijkheid van de onderzoeker niet weg. Die moet een inschatting maken van de aanvaardbaarheid van de risico s en maatregelen treffen om risico s zoveel mogelijk te voorkomen en/of de schade zoveel mogelijk te beperken (bijvoorbeeld door te wijzen op mogelijkheden voor ondersteuning of hulpverlening bij schade). De onderzoeker moet afwegen of het belang van het onderzoek groot genoeg is om dergelijke risico s te kunnen rechtvaardigen. Benadering en informeren van algemene bevolking Als wordt gekozen voor het at random aanschrijven van de bevolking (in een bepaalde wijk/gemeente) dan kunnen daarvoor NAW-gegevens van het GBA gebruikt worden (bij aanschrijving op naam) of kan worden gekozen voor het aanschrijven op bewoner van dit pand. Ook als wordt gekozen voor aanschrijving op naam van de beoogde deelnemers, dan nog kan de gegevensverzameling anoniem zijn. Anonieme gegevensverzameling impliceert dat in de respons in ieder geval NAW-gegevens of woonadres niet zijn opgenomen, daarnaast moet geen koppeling van de respons aan het bronbestand mogelijk zijn en moet gewaakt wordt voor het verzamelen van combinaties van gegevens die (indirecte) herleiding mogelijk maken. Als opname van identificerende gegevens om onderzoekstechnische reden, bijvoorbeeld analyse van de non-respons toch nodig is, dan kan niet meer gesproken worden van anonieme gegevensverwerking en dienen de uit de Wbp voortvloeiende vereisten rond verwerking van persoonsgegevens in acht te worden genomen. Als wordt gekozen voor het aanschrijven van een gestratificeerde steekproef van de bevolking, dan zal ten behoeve van de selectie een bestand aanwezig moeten zijn c.q. worden verkregen met Handreiking privacybescherming epidemiologie, september

23 gegevens ten behoeve van die selectie (NAW in combinatie met bijvoorbeeld leeftijd, geslacht, etniciteit, gezondheidsgegevens). Het is van belang dat dit bestand rechtmatig is verkregen en dat daarvan voor het onderzoek rechtmatig gebruik kan worden gemaakt. Scenario s voor het rechtmatig verkrijgen en gebruiken van een dergelijk (selectie) bestand zijn: - toestemming verkrijgen van betrokkenen voor het opnemen van hun gegevens in een dergelijk bestand, bijvoorbeeld bij contacten in het kader van hulpverlening (door GGD zelf of door andere hulpverleners). - gebruik maken van een rechtmatig door anderen aangelegd bestand (bijvoorbeeld het GBA) waarin voorzien is in het ter beschikking (mogen) stellen van dergelijke gegevens voor onderzoeksdoeleinden (c.q. het benaderen van mensen voor onderzoeksdoeleinden). Daar waar het gaat om toezending van vragenlijsten (per post, per ) kan uit de beantwoording en retournering van de ingevulde vragenlijsten de toestemming van de deelnemers voor de verwerking c.q. het gebruik van de door hen verstrekte gegevens worden afgeleid. Van belang is dan wel dat het meegezonden informatiemateriaal een juiste weergave vormt van de onderzoeksopzet (vraagstelling, relevantie van het onderzoek) en de manier waarop de gegevens worden verwerkt. Het in het informatiemateriaal geschetste beeld moet de feitelijke gang van zaken dekken, anders is de op basis daarvan verkregen toestemming van de deelnemer niet rechtsgeldig en de daarop gebaseerde gegevensverwerking niet rechtmatig. Problemen in deze sfeer kunnen bijvoorbeeld ontstaan als in het informatiemateriaal wordt aangegeven uw gegevens worden anoniem verwerkt, terwijl dat feitelijk niet het geval is. Bijvoorbeeld omdat door de combinatie van verzamelde gegevens (indirecte) herleiding niet is uitgesloten of omdat de onderzoeksopzet voorziet in koppeling (bijvoorbeeld via een code) tussen bestanden waardoor herleiding (op enig moment) plaatsvindt (bijvoorbeeld tussen bronbestand en onderzoeksbestand om de non-respons te analyseren). In zo n geval is geen sprake van anonieme gegevensverzameling, ook al wordt bijvoorbeeld na de analyse van de non-respons de code vernietigd. Op zich vormt zo n handelwijze wel een belangrijke - extra waarborg voor de privacy van de deelnemer en kan het als zodanig in het informatiemateriaal worden benoemd. Benadering ouders bij klassikaal vragenlijstonderzoek jeugdigen Bij klassikaal vragenlijstonderzoek bij minderjarigen is een goede vormgeving aan de toestemmingsprocedure van belang voor de school (verantwoordelijkheid jegens de ouders) en voor de onderzoeker (rechtmatigheid van het gebruik van de verzamelde gegevens). Van het aanbieden van vragenlijsten aan leerlingen dienen de ouders op de hoogte te (kunnen) zijn, ook als er sprake is van verzameling van anonieme gegevens. De verspreiding van het informatiemateriaal aan de ouders dient zodanig te zijn dat er een goede kans is dat zij die ook daadwerkelijk onder ogen krijgen. Als er sprake is van verzameling van herleidbare gegevens dient de toestemming van de ouders voor deelname aan het onderzoek en het verwerken van de gegevens expliciet te worden gegeven. Uit het achterwege blijven van een reactie van de ouders mag niet hun toestemming voor de verwerking van persoonsgegevens over hun kinderen worden afgeleid. Handreiking privacybescherming epidemiologie, september