GDPR zekere en mogelijke consequenties

Transcriptie

1 GDPR zekere en mogelijke consequenties MedLawconsult

2 vooraf Dank aan FEDERA en COREON Hebben (haast) alle tijd mogelijk gemaakt NIVEL Remco Coppen Borrel Vele buitenlandse contacten

3 Wat is er aan hand Thans onze privacywetgeving gebaseerd op een Europese Richtlijn (95/46/EC) De EC heeft een General Data Protection Regulation voorgesteld Algemene Verordening Bescherming Persoonsgegevens In tegenstelling tot een Richtlijn werkt een Verordening rechtstreeks, geen of nauwelijks omzetting in recht lid-staten Zal direct bepalend zijn hoe welke gegevens voor wetenschappelijk onderzoek mogen worden verwerkt, ook bij WGBO

4 Speelt her en der, met name commercieel.

5

6

7 Programma bespreking zekere en mogelijke consequenties Blokjes, aan de hand van de GDPR Maar eerst, context Meer Regulations Europese wetgevingsprocedure bespreking afwenden mogelijke, ongewenste consequenties 5-6 Lobby??? borrel, aangeboden door het NIVEL

8 Institutionele context -1 EU kan uitsluitend opereren binnen toegekende bevoegdheden Voornamelijk TFEU Direct werkende bepalingen Vrije verkeer Procedurele bepalingen Grondslagen Omtrent harmonisatie wetgeving (114) Wetgevende procedure Specifieke beleidsgebieden Publieke gezondheid (168)

9 IC-2 Verdrag EU (Lissabon) Subsidiariteit Protocollen Speelt geen/nauwelijks rol meer bij de GDPR EU Charter- Handvest Grondrechten Art. 8 gegevensbescherming Oa. DPA In onderdeel over vrijheden Art. 35 gezondheidszorg In onderdeel over solidariteit

10 Context 3 Trend voor Richtlijn naar Verordening Clinical trials Deze evenwichtiger dan Richtlijn 2001/20/EC Commissie erkent dat deze tot AE heeft geleid Nederland werkt aan input voor de Raad (hierna) In samenhang met pharma regelgeving Pharmacovigilance Verordening 1235/2010 Medische hulpmiddelen PMS bepalingen Pharmovigilance en PMS, binnen privacywetgeving

11 IC-slot- het gewone wetgevende proces Drie spelers: De EC Het EP De Raad (van ministers) EC doet voorstel Gaat naar EP en Raad Eerste lezing EP amendeert Zie bijvoorbeeld LIBE, voorstel Op dit moment ong amendementen!!!!

12 Vervolg wetg. proces Tegelijk beraadslaagt Raad Dan voorzitter, nu Ierland Veel minder transparant EC en Raad communiceren, met EP niet formeel EP komt tot een nieuwe tekst Raad komt samen met de EC een voorstel voor de 2 e draft, voor de 2 e lezing in het EP EP komt met nieuw voorstel Raad aanvaardt of verzoeningsprocedure EC feitelijk leiding, stemprocedures

13 Inhoud Recitals Algemene bepalingen Definities Beginselen Rechten betrokkene Verantwoordelijke en bewerker Privacy by desing PIA DPO (FG) Gedragscodes

14 Inhoud -2 Gegevens naar derde landen DPA s Europees afstemmingsmechanisme EDPB Aansprakelijkheid etc. Speciale situaties Gezondheidszorg art. 81 Uitzondering voor wetenschappelijk onderzoek art. 83 Delegated en implementing acts

15 Def. persoonsgegeven betrokkene : een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit. Gepseudonimiseerde gegevens? Reding Ja Anders minder rechten dan nu

16 Gepseudonimiseerd Verschillende definities. LIBE singling out ISO echter >anonieme gegevens onze definitie Keten Van 1 naar 2; NAW >P Onderzoeksgegevens onder P Onder omstandigheden anoniem

17 Genetische en gezondheid gegevens Heel breed Geërfde of aangeboren karakteristieken Ontbreekt door gevonden door omic test Maakt geen onderdeel van gegevens over gezondheid

18 Toestemming Uitdrukkelijke toestemming > informed consent elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt LIBE nog specifieker

19 Toestemming - 2 Voor welbepaalde doeleinden exit broad consent?

20 Beginselen Verandert niet zo veel Wel minimal data use etc Mag langer bewaren voor onderzoek, mits periodiek review dat daarvoor nog nodig is Rechtmatig, de 6 voorwaarden uit 8 Wbp Restbepaling, rechtmatige belangen verantwoordelijke, mits Uitvoerige bepalingen betreffende kinderen (18 jr.) Beperking bijzondere persoonsgegevens Uitz. voor 81 en 83

21 Tussenartikel 10 Wanneer de door de voor de verwerking verantwoordelijke verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon te identificeren, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene. Def. is knullig maar hoogst belangrijke bepaling. Lost paradox op dat je wel gegevens hebt die als persoonsgegevens moeten worden aangemerkt maar je die niet mag en zeker niet wilt herleiden tot betrokkene en terwijl die betrokkene wel alle rechten toekomen en daarvoor zou moeten herleiden.

22 Rechten Transparantie Info vooraf welke gegevens worden verwerkt en hoe, hoelang, naar wie (categorie) etc. Als data van een derde komen, welke derde Beperking indien onmogelijk of disproportioneel Recht op toegang, rectificatie Recht op vergeten te worden en vernietiging Beperking voor oa. 81 en 83 Maar niet bij wel consent maar toch noodzakelijk voor onderzoek

23 Verantwoordelijke etc. Bijhouden documentatie dat persoonsgegevens rechtmatig worden verwerkt Data protection by default and design PIA onder voorwaarden noodzakelijk Wij vallen in het algemeen daaronder Risico s en hoe die risico s worden gemitigeerd Lijkt niet zozeer bredere NOPROS (zie Big Data rapport) Opinies betrokkenen moeten in beginsel worden gehoord Komen ook specifieke regels auditing

24 Voorafgaande consultatie DPA Verplicht PIA toont sterke, specifieke risico s Voor gegevensverwerking waarvan DPA dat heeft bepaald DPA kan PIA ook opvragen Toestemming soms bij naar derde land (hierna)

25 Data veiligheid Passende veiligheidsmaatregelen Risico evaluatie Verplichting tot melden inbreuk (data breach) Erg ongeclausuleerd, elke.

26 DPO FG Moet Bestuursorgaan Meer dan 250 mensen (omstreden) Bij systematisch monitoren betrokkenen Kwalificaties Expert knowlegde etc. Kan gezamenlijk 1 of worden ingehuurd Toezichthoudende taken Liaison met betrokkenen en DPA

27 Gedragscodes en veiligheidszegels Voorwaarden Of DPA of EC Certificatiemechanismes Veiligheidszegel Ook bedoeld voor betrokkene

28 Derde landen Verandert de facto niet zo veel Mag niet, tenzij Commissie > land erkend als adequaat Nieuw kan ook voor sector Standaard overeenkomst volgens commissie Erkende BCR Door DPA vastgestelde clausules Zelf overeengekomen naar toestemming DPA Maar ook tenzij Bijvoorbeeld toestemming na op risico s te zijn gewezen

29 DPA en EDPB Dpa onafhankelijk etc. Moeten erkende privacy kennis hebben Verder bij wet lid-staat regelen Kunnen adm. sancties opleggen Niets over governance, consultatie Uitvoerige bepalingen overleg DPA s Wederzijdse bijstand Afstemming Conformiteitsprocedure (consistency mechanism) EC en EDPB

30 EDPB Opvolger art. 29 Werkgroep Taak : consistentie toepassing Verordening Niets over governance EC veel implementerende en gedelegeerde bevoegdheden Daarop veel kritiek In plaats van EC naar EDPB?? Bepaald geen goed idee

31 Handhaving. Strafrechtelijke penalties lid staten Administratieve Klein, niet commercieel waarschuwing Tot E. of 0,5 % omzet onderneming bij geen mechanisme info Tot of 1 % omzet bij schending bepaalde rechten en adm. voorschriften Tot 1 milj. E. 2 % omzet bij de rest

32 En dan nu Uitzonderingen op informed consent Vrijheid van meningsuiting artistiek, literair, journalistiek Gezondheidszorg 81 Wetenschappelijk onderzoek 83

33 Artikel 81 Gegevens over gezondheid (en niet genetische??) binnen grenzen nationaal recht en voorzien van passende waarborgen voor: Zorg en management zorg, mits beroepsgeheim of equivalent Publieke gezondheid maar ook veiligheid en kwaliteit Voor zorgsysteem, zorgverzekeraars etc.

34 Art. 83 Voor historisch, statistisch en wetenschappelijk onderzoek, mits Kan niet met data die niet (langer) identificatie toestaan; Voorzover mogelijk info die identificatie toelaat gescheiden van de andere data gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie

35 En nu.. Lobby??? /data-protection-week Wat en bij wie Geheel, niet uitsluitend 83 Naast EP, ook EC en Raad Redden beperkte def. gepseudonimiseerd Broad consent Ook opt-out mits

36 Aanrader :