• Nieuws

AVG biedt mogelijkheden voor wetenschappelijk onderzoek in het kader van COVID-19 (maar moet wel in acht worden genomen)

01 oktober 2020
Privacy - Corona (COVID-19) juridische Helpdesk - Zorg

Persoonsgegevens, wetenschappelijk onderzoek en COVID-19: een richtlijn

De jacht op het vaccin. Het vinden van de juiste medicatie voor een effectieve behandeling van patiënten met het coronavirus. Dat betekent veel wetenschappelijk onderzoek. En dat leidt vaak tot vragen over de bescherming van persoonsgegevens. In hoeverre kunnen gezondheidsgegevens voor dit doel worden gebruikt en hoe zorgt men ervoor dat – ook in crisistijd – aan de vereisten van de Algemene Verordening Gegevensbescherming (“AVG”) wordt voldaan?

Het European Data Protection Board (“EDPB”), waarin de verschillende Europese privacytoezichthouders zijn verenigd, publiceerde medio maart 2020 al een statement dat de AVG niet aan het bestrijden van het coronavirus in de weg staat. Wel werd hierin benadrukt dat aan de vereisten van de AVG moet worden voldaan. Daaropvolgend heeft het EDPB hiervoor richtsnoeren opgesteld.

Hieronder een overzicht van bepalingen uit de AVG waarop academici, farmaceuten en andere onderzoekspartners zich kunnen beroepen om gezondheidsgegevens te kunnen gebruiken voor onderzoek naar COVID-19. Voorts geef ik aan welke waarborgen daarbij moeten worden getroffen, waarbij ook internationale samenwerking aan bod komt. Veel van hetgeen in dit blog wordt beschreven geldt overigens in het algemeen voor wetenschappelijk onderzoek; her en der ziet het genoemde vooral op de onderhavige uitzonderlijke crisissituatie. Hierin lijkt toch iets ruimer te worden omgegaan met een aantal vereisten. Het EDPB geeft ook aan dat de ontwikkeling van meer uitgebreide richtsnoeren voor wetenschappelijk onderzoek op de agenda staat (!).

Mogen gezondheidsgegevens worden gebruikt voor wetenschappelijk onderzoek in verband met het coronavirus (COVID-19) en zo ja, onder welke voorwaarden?

Er zal steeds een balans moeten worden gevonden tussen het recht op privacy en vrijheid van wetenschap (art. 7 resp. 13 Handvest EU). Gezondheidsdata kan uit verschillende bronnen worden verkregen. Hierbij bestaat een verschil tussen primary use en second use: vooral dat laatste – d.w.z. data die oorspronkelijk niet is verzameld voor onderzoeksdoeleinden wordt daarvoor nu gebruikt – is nu juist vaak aan de orde in het kader van wetenschappelijk onderzoek. Dat onderscheid is met name belangrijk voor de hierna te bespreken verwerkingsgrondslag en informatieplicht – met in het achterhoofd het beginsel dat gegevens alleen mogen worden gebruikt voor het doel waarvoor ze zijn verkregen (‘doelbinding’).

Voor wetenschappelijk onderzoek gelden bijzondere regels. Wat valt er nu onder de noemer ‘wetenschappelijk onderzoek’ zoals bedoeld in de AVG? Deze wettelijke term mag niet te ruim worden geïnterpreteerd. Het moet gaan om ‘een onderzoeksproject dat is opgezet in overeenstemming met sectorgerelateerde methodologische en ethische standaarden, overeenkomstig good practice’.

Te allen tijde moet bij de verwerking van persoonsgegevens worden voldaan aan de beginselen van het privacyrecht zoals neergelegd in artikel 5 van de AVG (tip: hanteer de door Ploum opgestelde ‘zeven vuistregels). In dit kader is uiteraard relevant dat gezondheidsgegevens bijzondere persoonsgegevens zijn en daarvoor geldt in beginsel een verwerkingsverbod (in ons artikel leest u meer over bijzondere persoonsgegevens). Er moet dan – naast een verwerkingsgrondslag (artikel 6 AVG) ook een wettelijke uitzondering bestaan wil het gebruik van deze persoonsgegevens voor wetenschappelijk onderzoek zijn toegestaan (artikel 9 AVG).

Op welke grond kunnen gezondheidsgegevens in het kader van wetenschappelijk onderzoek worden verwerkt?

Voor een rechtmatige gegevensverwerking is altijd een verwerkingsgrondslag nodig (artikel 6 AVG). Een eerste mogelijkheid in het onderhavige kader is toestemming. Zoals voor de meeste lezers bekend, zitten daar haken en ogen aan. Van betrokkenen (veelal: patiënten) verkregen toestemming moet aan een aantal voorwaarden voldoen. In geval van wetenschappelijk onderzoek is het onder meer belangrijk dat de patiënt vrij is in zijn of haar keuze om al dan niet toestemming te verlenen: er mag geen consequentie aan worden verbonden als hij/zij geen toestemming voor de verwerking van persoonsgegevens voor wetenschappelijk onderzoek wenst te verlenen. Bovendien moet de toestemming middels een verklaring of ondubbelzinnige, actieve handeling worden verleend en moeten patiënten goed worden geïnformeerd waarvoor zij precies toestemming verlenen. Verkregen toestemming moet kunnen worden aangetoond.

Praktisch is het echter vaak – zeker met de in het kader van de coronacrisis gewenste snelheid – niet gewenst of schier onmogelijk om elke patiënt (opnieuw) toestemming te moeten vragen. Toestemming kan bovendien altijd worden ingetrokken (dat is in het algemeen een nadeel van het verwerken van persoonsgegevens op basis van deze grondslag). In de praktijk is dat in het bijzonder relevant voor verder wetenschappelijk (vervolg)onderzoek.

Naast toestemming, bevatten artikel 6 en artikel 9 AVG ook andere grondslagen voor de verwerking respectievelijk uitzonderingen op het verwerkingsverbod voor medische gegevens die in dit kader uitkomst kunnen bieden. M.n. het algemeen belang c.q. gerechtvaardigd belang en het feit dat het wetenschappelijk onderzoek betreft wordt dan ingeroepen. Het gebruik van dit type persoonsgegevens vereist altijd een zorgvuldige analyse en inrichting van het proces van verwerking van persoonsgegevens. Nu op dit punt ruimte aan de nationale wetgever is geboden voor de nadere invulling hiervan, is men daarbij (ook) afhankelijk van nationaal recht in de betrokken lidstaten. Hierbij wordt door het EDPB expliciet benadrukt dat alleen gegevens moeten worden verwerkt voor zover dat strikt noodzakelijk is.

Voldoen aan andere wettelijke verplichtingen

Aangenomen dat er een wettelijke grondslag én uitzondering bestaat voor de verwerking van de gezondheidsgegevens voor wetenschappelijk onderzoek, moet de verwerking ook anderszins aan de AVG voldoen. Kort samengevat is (ook volgens het EDPB) het volgende belangrijk:

  • Informeer betrokkenen dat hun gegevens voor wetenschappelijk onderzoek worden gebruikt
  • Gebruik persoonsgegevens alleen voor het doel waarvoor ze zijn verkregen
  • Let op het principe van dataminimalisatie (anonimiseer waar mogelijk, stel vast welke gegevens noodzakelijk zijn voor welke onderzoeksvraag/-fase en welke partij toegang heeft tot de data)
  • Zorg dat je voldoet aan strenge beveiligingseisen (denk aan pseudonimisering, versleuteling, geheimhoudingsovereenkomsten)
  • Hanteer proportionele bewaartermijnen
  • Leef rechten van betrokkenen na (waarbij mogelijk wel uitzonderingen kunnen worden ingeroepen, maar alleen indien noodzakelijk; let hier ook op nationale verschillen)
  • Houd een verwerkingsregister bij (neem hierin de getroffen beschermingsmaatregelen op)
  • Verricht – in bepaalde gevallen – een Data Protection Impact Assessment (DPIA)
  • Overleg met de FG
  • Let op bij het uitwisselen van data buiten de EER (internationale samenwerking)

Hieronder licht ik twee onderwerpen waar veel vragen over bestaan uit. Aanvullend nog een advies: sluit goede contracten bij samenwerking met derden, waarin ook voornoemde principes van de AVG worden toegepast, de rollen van partijen onder de AVG helder zijn (verwerkingsverantwoordelijke/verwerker) en de verantwoordelijkheden in het kader van de verwerking van persoonsgegevens goed worden verdeeld.

Uitgelicht – Informatieplicht

Betrokkenen moeten op grond van de AVG over diverse zaken worden geïnformeerd, zoals waarvoor hun persoonsgegevens worden gebruikt en door wie. Maar bijvoorbeeld ook over wat hun rechten zijn. Dat moet voorafgaand aan de verwerking, of wanneer gegevens van een derde partij worden verkregen, binnen redelijke termijn (uiterlijk binnen een maand). Maar, als sprake is van second use, moet dat wel vóórdat de gegevens verder worden verwerkt voor wetenschappelijk onderzoek.

Het vooraf informeren van patiënten is niet altijd mogelijk of wenselijk. Dan is het nuttig om te kijken of er een beroep op een uitzondering op de informatieplicht kan worden gedaan. In verband met wetenschappelijk onderzoek bestaat bijvoorbeeld zo’n uitzondering wanneer het vooraf informeren van betrokkenen onevenredig veel inspanningen vergt of wanneer de verwerking bij wet is voorgeschreven. In het kader van COVID-19 is denkbaar dat hiervan in bepaalde gevallen sprake is, maar informeer betrokkenen dan wel altijd alsnog zodra het kan en zorg ervoor dat je kunt aantonen waarom je een beroep meent te mogen doen op de uitzondering (we kunnen het niet vaak genoeg zeggen: analyseer en documenteer!).

Uitgelicht – Internationale samenwerking

In het kader van wetenschappelijk onderzoek wordt veelal internationaal samengewerkt. Onlangs is flink wat onrust ontstaan door de uitspraak van het Europese Hof van Justitie in de zaak Schrems II, waarin het Privacy Shield ongeldig is verklaard en het sterk de vraag is of gegevens nog wel kunnen worden uitgewisseld tussen partijen gevestigd in de Europees Economische Ruimte en daarbuiten. Ons privacy team krijgt daar veel vragen over. Op basis van de richtsnoeren van het EDPB kan gelukkig worden geconstateerd dat deze problematiek voor het doen van onderzoek naar COVID-19 niet al te veel problemen hoeft op te leveren. De AVG biedt de nodige uitzonderingen, waarop men zich kan beroepen als wordt samengewerkt met bijvoorbeeld een partij in de VS (toestemming of het algemeen belang vormen dan een basis). Wel moeten betrokkenen altijd goed worden geïnformeerd over deze gegevensdoorgifte en de uitzondering waarop deze al dan niet is gebaseerd. Bovendien moeten de uitzonderingen restrictief (en tijdelijk) worden toegepast en geldt ook hier dat een analyse en vastlegging geboden zijn, alsmede het treffen van passende maatregelen.

Conclusie en advies

De AVG biedt voldoende handvatten om gezondheidsgegevens te gebruiken voor wetenschappelijk onderzoek in het kader van COVID-19. Het is wel zaak te bezien op welke grondslag én uitzondering een beroep kan worden gedaan en hoe het proces verder dan moet worden ingericht. Zeker nu er bij het gebruik van gezondheidsgegevens een hoger risico bestaat op een negatieve impact op de persoonlijke levenssfeer van patiënten en in het kader van onderzoek naar COVID-19 diverse (typen) partijen betrokken zijn bij de gegevensverwerking, moet (te meer) secuur worden omgegaan met de privacyregels, benadrukt ook het EDPB.

Ons advies is dan ook: verricht voorafgaand aan de verwerking van persoonsgegevens voor het wetenschappelijk onderzoek een goede (juridische en praktische) analyse. Breng in kaart welke persoonsgegevens nodig zijn, waarom en door wie (per onderzoeksvraag en -fase). Stel vast op basis van welke wettelijke bepalingen de gegevens kunnen worden verwerkt. Leg vervolgens bevindingen en de naar aanleiding daarvan getroffen maatregelen op alle bovengenoemde punten vast en geef daarbij aan waarom bepaalde keuzes zijn gemaakt. Dat is ook nodig in het kader van de onder de AVG geldende verantwoordingsplicht. En last but not least: sluit de juiste contracten bij samenwerking (zorg bijvoorbeeld voor goede modellen, waarin de hierboven benoemde zaken worden meegenomen).

“Duurt (te) lang”? In principe hoeft dat helemaal niet het geval te zijn, is onze ervaring.

Vragen over het gebruik van gezondheidsgegevens voor wetenschappelijk onderzoek of andere verwerkingen van persoonsgegevens – al dan niet in het kader van de coronacrisis? Of over het sluiten van de juiste contracten?

Onze privacy specialisten, in voorkomend geval samen met ons team Zorg waar diverse specialismen in vertegenwoordigd zijn, helpen graag en zijn goed bereikbaar. Mail naar privacy@ploum.nl, dan nemen we z.s.m. contact op.

Meer informatie

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel