Recent kwam ik in aanraking met een medisch-wetenschappelijk onderzoek. Hierin werd de betrokkene (patiënt) gevraagd naar een aantal medische gegevens. Dit is op zich niet vreemd. Wat mij opviel, is dat er ook medische gegevens gevraagd werden van familieleden van deze patiënt. Niet alleen ouders, zussen en broers, maar ook grootouders, tantes en ooms. Per persoon moesten zowel naam, geboortedatum, relatie tot de patiënt (vader, tante, opa) als specifieke medische kenmerken ingevuld worden.

Voor een onderzoek snap ik dat het interessant en belangrijk is om bepaalde (genetische) kenmerken uit te vragen, om bijvoorbeeld beter te kunnen onderzoeken en snappen waar bepaalde aandoeningen vandaan komen. Maar de patiënt die deze gegevens aanlevert, is niet de eigenaar van de medische gegevens van haar of zijn familieleden. Terwijl die wel specifiek én herleidbaar naar de persoon worden verwerkt. Mag dit wel?

Wat houdt de AVG in?

In mei 2016 is de AVG (GDPR in het Engels) in werking getreden. De Algemene Verordening Gegevensbescherming ziet toe op de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie. Onder verwerking wordt zowel de opslag van gegevens verstaan, als het gebruik ervan in analyses. Om gegevens te mogen verwerken, moet een organisatie een goede reden hebben om die gegevens te verwerken; het zijn immers persoonlijke gegevens die een inbreuk kunnen hebben op de privacy van personen. In juridische termen heet wordt een goede reden de grondslag genoemd.

De AVG noemt zes verschillende grondslagen die het verwerken van persoonsgegevens kunnen rechtvaardigen. Je hoeft dus niet aan alle zes de grondslagen te voldoen, één ervan is voldoende.

1. De betrokkene heeft toestemming gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Daarom moet je bijv. toestemming geven voor cookies.
2. Verwerking is noodzakelijk voor de uitvoering van een contract waar betrokkene deel van is of om op verzoek van de betrokkene stappen te ondernemen voordat hij een contract sluit. Denk aan een arbeidscontract, of een verzekering afsluiten.
3. Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen. Een werkgever die belasting moet afdragen voor werknemers.
4. Verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te behartigen. Een notaris bijvoorbeeld.
5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van officiële autoriteit van de voor de verwerking verantwoordelijke. DIt kan een Waterschap zijn dat een informatie brief stuurt naar omwonenden; ze hebben dan je naam en adres nodig.
6. Verwerking is noodzakelijk met het oog op de rechtmatige belangen die door de voor de verwerking verantwoordelijke of door een derde worden behartigd, tenzij de belangen of fundamentele rechten en vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, prevaleren boven deze rechtmatige belangen, met name wanneer de betrokkene een kind is. Dit geeft in feite aan dat soms (privacy) belangen kunnen botsen, en dat alleen in zwaarwegende gevallen je dan toch persoonsgegevens van een ander mag verwerken.

Aan nummer 1 wordt voldaan door de patiënt met betrekking tot haar of zijn eigen gegevens, maar niet met betrekking tot de gegevens van familieleden. Op het formulier werd geen toestemming aan de familieleden gevraagd. Nummer 4 is op zich relevant voor de patiënt en mogelijke toekomstige patiënten, maar is niet relevant voor de behandeling van de patiënt. Het gaat hier om onderzoek om toekomstige behandelingen uit te vinden of te verbeteren. Dus de patiënt die de gegevens verstrekt heeft er op dat moment geen baat bij.

Wat zijn de specifieke regels omtrent medische gegevens?

De AVG maakt vervolgens nog melding van bijzondere persoonsgegevens. Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Onder deze gegevens vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon. We noemen deze gegevens bijzondere persoonsgegevens (AVG: bijzondere categorieën van persoonsgegevens). De AVG ziet de volgende persoonsgegevens als bijzondere persoonsgegevens:

1. persoonsgegevens waaruit ras of etnische afkomst blijkt;
2. persoonsgegevens waaruit politieke opvattingen blijken;
3. persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
4. persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
5. gegevens over iemands gezondheid;
6. gegevens over iemands seksueel gedrag of seksuele gerichtheid;
7. genetische gegevens;
8. biometrische gegevens met het oog op de unieke identificatie van een persoon.

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij men zich kan beroepen op een wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen. Nummers 1, 5, 7 en 8 kwamen voor de in genoemde vragenlijst, en dus moet de organisatie zich houden aan de vereisten voor bijzondere persoonsgegevens én een grondslag hebben uit de eerdere lijst van zes.

Uitzonderingen in de AVG m.b.t. medische gegevens

In de Algemene verordening gegevensbescherming (AVG) staan tien uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod niet geldt wanneer de organisatie zich kan baseren op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én op een van de uitzonderingen op het verwerkingsverbod.

Van de tien uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat men zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag. De 10 uitzonderingen zijn:

• 1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens. Kan van toepassing zijn, maar was hier NIET het geval.
• 2. (alleen als het in een wet staat) De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht. Niet van toepassing.
• 3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven. Niet van toepassing.
• 4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen. Niet van toepassing.
• 5. U verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt. Niet van toepassing. (er vanuit gaande dat de meeste mensen hun medische geschiedenis niet openbaar maken)
• 6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid. Niet van toepassing.
• 7. (alleen als het in een wet staat) De verwerking is noodzakelijk voor een zwaarwegend algemeen belang. Niet van toepassing.
• 8. (alleen als het in een wet staat) De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg. Niet van toepassing.
• 9. (alleen als het in een wet staat) De verwerking is noodzakelijk voor de volksgezondheid. Niet van toepassing.
• 10. (alleen als het in een wet staat) De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden. Van toepassing.

Zo te lezen zijn er dus grondslagen waarmee een onderzoeker deze medische gegevens mag verwerken. Zoals ik de artikel van de AVG lees, hoeft er dus geen uitdrukkelijke toestemming gegeven te worden als in de wet staat dat deze gegevens noodzakelijk zijn voor archivering in het belang van wetenschappelijk onderzoek. Dat gebeurde hier niet, maar als jij überhaupt niet weet dat jouw gegevens ergens liggen, dan kun je ook geen toestemming geven. En dus rees bij mij het vermoeden dat dit al jaren “normaal” is en dat deze gegevens dus al jaren uitgevraagd en verwerkt worden.

De realiteit

Het lijkt erop dat iedereen erop kan vertrouwen dat haar of zijn persoonlijke gegevens niet zonder toestemming worden verwerkt door een medisch onderzoeker, wanneer je deze zelf verstrekt. Gezien de hoeveelheid aan medisch-wetenschappelijk onderzoek in Nederland (gemiddeld geeft de overheid zo’n 1,6 miljard euro per jaar uit), doe ik de aanname dat familie gegevens regelmatig uitgevraagd worden, en werden in het verleden. Dit zou betekenen dat er mogelijk van duizenden niet-patiënten gegevens verwerkt en gebruikt worden in medisch onderzoek. Mogelijk zit jij daar ook bij, zonder dat je het weet.

Voor de volledigheid: ik wil niet suggereren dat artsen, onderzoekers en ander personeel onzorgvuldig omgaan met medische gegevens. Ook trek ik niet in twijfel dat medisch onderzoek niet nuttig is, dat is het wel. Als bloed- en plasmadonor werk ik daar zelf ook aan mee, met als verschil dat ik zélf uitdrukkelijk toestemming geef voor gebruik van mijn gegevens en mijn bloed. Overigens stelt de bloedbank ook vragen over je familiehistorie, maar dan zonder dit specifiek per persoon vast te leggen. Bijvoorbeeld: komt de ziekte Creutzfeldt-Jakob in uw familie voor? Relevante informatie dus, die niet herleidbaar naar iemand anders dan ikzelf wordt verwerkt.

Navraag bij de betreffende organisatie leverde geen sluitend antwoord op: men gaf aan de laatste tijd pas een aantal vragen hierover gehad te hebben, en ging uitzoeken hoe hiermee om te gaan. De AVG is ondertussen al vijf(!) jaar van kracht, en men weet dit dus niet. Ik ben hier behoorlijk van geschrokken en stel hier dus de vraag: bij hoeveel ziekenhuizen, klinieken, universiteiten en overheidsinstanties is er geen duidelijk beleid en werkwijze voor het verwerken van deze gegevens?

Of het een overtreding van de AVG is, durf ik niet te zeggen. Ik ben geen jurist, maar ik ga het zeker navragen bij iemand die hier antwoord op kan geven. Ik kom er in een nieuwe blogpost dan op terug. Weet jij het antwoord? Dan hoor ik het graag!