De AVG, belangrijkste begippen

Transcriptie

1 De AVG, belangrijkste begippen MedLawconsult Evert-Ben van Veen

2 Welke Persoonsgegevens Beginselen gegevensverwerking Toestemming Recht om vergeten te worden De uitzonderingen, met name wetenschappelijk onderzoek Twee versies Beide Beetje Veel niet

3 Persoonsgegevens Direct of indirect identificeerbaar EP: ook uit te kiezen, singling out??, kan directe verbinding met die persoon worden gelegd, ook al weet je niet wie het is.. Kan worden geïdentificeerd: aan de hand van kenmerkend identificatiemiddel waarvan redelijkerwijs te verwachten is dat verantwoordelijke of ieder ander.kan identificeren.technologische ontwikkeling

4 Nieuw EP: gepseudonimiseerde persoonsgegevens Overigens ook Redding; altijd Persoonsgegevens die niet aan bepaalde persoon kunnen worden gekoppeld zonder aanvullende info, mits die apart wordt bewaard en op voorwaarde technische en organisatorische maatregelen om koppeling te voorkomen.. Zijn dus 1 e plaats al persoonsgegevens.? Koppeling is bedoeld. Van die aanvullende info ten behoeve van identificatie van die persoon? Vraag of deze het haalt

5 Waar staan we nu.. Reikwijdte persoonsgegevens uitgebreid Los van de definities Door technologische ontwikkelingen is herleiding steeds meer mogelijk. (zie de middag) Immers niet uitsluitend wat verantwoordelijke kan en redelijkerwijs zal, maar een ieder.

6 2 Uitbreiding door de definities??? Opinie 7/2011 WP Daar ook tweeweg gepseudonimiseerd onder omstandigheden anoniem NU; indien weg terug, ook al is die voor verantwoordelijke afgesneden, dan persoonsgegevens EP claimt nauwelijks Singling out, beperkt opgevat, je kunt NN bereiken Niet onbegrijpelijk Gepseudonimiseerd in het algemeen altijd persoonsgegeven??? In beperkte lezing niet. Juridisch soms wat je (niet) wilt

7 Gepseudonimiseerd.. Ja maar je kunt koppelen en daardoor toch herleidbaar. Het ge ja maar.. Klopt dat koppelen en verrijken alsnog tot persoonsgegevens kan leiden Noemden we al in Gedragscode Gezondheidsonderzoek 2004 Betekent niet dat afzonderlijke datasets persoonsgegevens zijn Dus houd vast aan huidige opvatting 1 weg gepseudonimiseerd Verder vanmiddag

8 Beginselen, grotendeels al geldend recht Rechtmatige grondslag Eerlijk en transparant Doelbinding Minimale gegevensverwerking Juist, anders wissen of rectificeren Niet langer bewaren dan nodig Zodanig verwerkt dat betrokkene diens rechten kan uitoefenen Spanning met PET later. Integriteit Verantwoordingsplicht

9 Relevant anders Thans 9.3 Wbp: verder verwerken voor wetenschappelijk onderzoek niet onverenigbaar Ook in EC ontwerp, met name overweging 40 EP schrapt die. Verder bewaren mag.. mits in overeenstemming met bepalingen over wetenschappelijk onderzoek, niet de uitzondering.. Voor verder verwerken dus eerst naar die artikelen.

10 Toestemming Voornaamste ingangspunt voor rechtmatigheid, al blijven andere genoemd Uitvoering overeenkomst, wettelijke verplichting, vitaal belang,.., gerechtvaardigd belang verantwoordelijke mits Toestemming voor een of meer specifieke doeleinden welbepaalde doeleinden Moeten daadwerkelijk worden goedgekeurd Specifiek voor andere Zoals gebruik inhoud berichten voor ads. Moet zeer specifieke info aan ten grondslag liggen EP heeft zich uitgeleefd in symbolen Overigens uitzondering indien voor wetenschappelijk onderzoek mits

11 Broad consent voor wetenschappelijk onderzoek exit?? Is inmiddels de standaard METC s keuren deze (in het algemeen) goed VS: IRB s van specifiek naar broad Onduidelijk.. Zweedse DPA indertijd : doeleinden onvoldoende bepaald, dus consent is niet specifiek Ik: doeleinden wel bepaald, namelijk onderzoek naar oorzaken ziekten en gezondheid met behulp van.. EP: in 81 ter (gegevens over gezondheid): toestemming voor een of meer vergelijkbare onderzoeken Voldoet dit aan vergelijkbaarheidsvoorwaarde

12 Conclusies voor toestemming Moet hoe dan ook worden gelezen in samenhang met Informatie en overige beginselen Kritiek uit deel wetenschap: Moereel, oratie Oa. verwijzend naar hoe consumenten keuzes maken Fair verwerken belangrijker Maar thans: de uitzondering bepaalt de regel Transparantie hoe dan ook belangrijker Ik: brengplicht verantwoordelijke maar ook haalplicht betrokkene Gelaagd systeem Niet geldend recht: governance Nog steeds broad consent, mits vergelijkbaar. Maar meer langs DPA s > niet zeker.. strikt noodzakelijk

13 Recht om vergeten te worden. Staat er niet: recht op wissen of wissen koppelingen Geclausuleerd Gaat verder dan thans: namelijk ook wanneer bezwaar bij vitaal belang, alg. belang of gerechtvaardigd belang verantwoordelijke tenzij. Niet indien bewaren ten behoeve van historische, statistische of wetenschappelijke doeleinden CF. art. 83. Zou zelfs gelden indien toestemming wordt ingetrokken Nu al Google uitspraak Hof Had niet betrekking op onderliggende krantenartikel. Nu al vernietiging dossier op grond van WGBO

14 Gegevens over gezondheid persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon Aparte definitie genetische gegevens Species van gegevens over gezondheid Genetic exceptionalism? Ja, maar toch hetzelfde behandeld Net als thans, is verboden tenzij:

15 Gegevens over gezondheid Uitdrukkelijke toestemming voor een of meer welbepaalde doelstellingen Vitaal belang etc. Gezondheidszorg, art. 81 Wetenschappelijk onderzoek, art. 83 EP, archieven, art. 83 bis

16 Gezondheidszorg Deels als huidig art. 21 Wbp Met toevoeging van veel meer mits strikt, etc. Toevoeging: Openbaar belang volksgezondheid, infectieziekten maar ook garanderen hoge kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen en medische hulpmiddelen, Mits vertrouwelijkheid in acht moet worden genomen daar kunnen we wat mee

17 Wetenschappelijk onderzoek 83 EP: In overeenstemming met rest, dus o.a. toestemming, mag t uitsluitend indien: Niet kan met anonieme gegevens Hoe kom je aan die anonieme gegevens indien je die niet eerst tot zodanig verwerkt/omwerkt. Scheiding tussen communicatie gegevens en onderzoeksgegevens volgens de allerhoogste technische standaarden en alle noodzakelijke maatregelen worden getroffen dat betrokkene alsnog oneigenlijk wordt geïdentificeerd Al zeer veel PET en veiligheid in AVG, nog meer???

18 Wetenschappelijk onderzoek, zonder toestemming EP bij gegevens omtrent gezondheid, uitsluitend indien: Voorzien in wetgeving lid-staten; Gewichtig algemeen belang Niet anders mogelijk Anoniem gemaakt (EB: maar dan vallen ze er toch niet meer onder), gepseudonimiseerd volgens de allerhoogste technische standaarden Geen bezwaar volgens art. 19 Gewichtig algemeen belang mits..

19 Tot slot Waar staan we nu? Deel is duidelijk Deel is onduidelijk Maar verwacht strikte interpretatie Deel is duidelijk en verklaarbaar PET en veiligheid Deel is bedoeld voor online wereld Klein deel is winst Veiligheid Wetenschappelijk onderzoek is bedreigend Zie vanmiddag