De AVG, belangrijkste begippen

De AVG, belangrijkste begippen MedLawconsult Evert-Ben van Veen

Seminar 24 juni 2014, GDPR hoofdlijnen

Welke     



Persoonsgegevens Beginselen gegevensverwerking Toestemming Recht om vergeten te worden De uitzonderingen, met name wetenschappelijk onderzoek Twee versies…  

Beide Beetje • Veel niet……


Persoonsgegevens 

Direct of indirect identificeerbaar  



EP: ook “uit te kiezen”, ‘singling out’ ??, kan directe verbinding met die persoon worden gelegd, ook al weet je niet wie het is…..

Kan worden geïdentificeerd: aan de hand van kenmerkend identificatiemiddel 

waarvan redelijkerwijs te verwachten is dat verantwoordelijke of ieder ander….kan ‘identificeren’ ….technologische ontwikkeling…


Nieuw EP: gepseudonimiseerde persoonsgegevens  

 



Overigens ook Redding; altijd Persoonsgegevens die niet aan bepaalde persoon kunnen worden gekoppeld zonder aanvullende info, mits die apart wordt bewaard en op voorwaarde technische en organisatorische maatregelen om koppeling te voorkomen….. Zijn dus 1e plaats al persoonsgegevens …. ? Koppeling is bedoeld…. Van die aanvullende info ten behoeve van identificatie van die persoon…… ? Vraag of deze het haalt……


Waar staan we nu…..  

Reikwijdte persoonsgegevens uitgebreid… Los van de definities … 



Door technologische ontwikkelingen is herleiding steeds meer mogelijk…. (zie de middag) Immers niet uitsluitend wat verantwoordelijke kan en redelijkerwijs zal, maar ‘een ieder’.


2 Uitbreiding door de definities ???



Opinie 7/2011 WP • Daar ook tweeweg gepseudonimiseerd onder omstandigheden anoniem • NU; indien weg terug, ook al is die voor verantwoordelijke afgesneden, dan persoonsgegevens



EP claimt nauwelijks 

Singling out, beperkt opgevat, je kunt NN bereiken • Niet onbegrijpelijk



Gepseudonimiseerd in het algemeen altijd persoonsgegeven ??? • In beperkte lezing niet…. • Juridisch soms wat je (niet) wilt


Gepseudonimiseerd ….. 

Ja maar je kunt koppelen en daardoor toch herleidbaar …. • Het ge ‘ja maar’……..



Klopt dat koppelen en verrijken alsnog tot persoonsgegevens kan leiden 





Noemden we al in Gedragscode Gezondheidsonderzoek 2004 Betekent niet dat afzonderlijke datasets persoonsgegevens zijn Dus houd vast aan huidige opvatting 1 weg gepseudonimiseerd • Verder vanmiddag


Beginselen, grotendeels al geldend recht 

Rechtmatige grondslag • Eerlijk en transparant

    

Doelbinding Minimale gegevensverwerking Juist, anders wissen of rectificeren Niet langer bewaren dan nodig Zodanig verwerkt dat betrokkene diens rechten kan uitoefenen • Spanning met PET later….

 

Integriteit Verantwoordingsplicht


Relevant anders 



Thans 9.3 Wbp: verder verwerken voor wetenschappelijk onderzoek niet onverenigbaar Ook in EC ontwerp, met name overweging 40 

EP schrapt die….



Verder bewaren mag.. mits in overeenstemming met bepalingen over wetenschappelijk onderzoek, niet de uitzondering …..



Voor verder verwerken dus eerst naar die artikelen….


Toestemming 

Voornaamste ingangspunt voor rechtmatigheid, al blijven andere genoemd 



Uitvoering overeenkomst, wettelijke verplichting, vitaal belang,….., gerechtvaardigd belang verantwoordelijke mits…

Toestemming voor een of meer specifieke doeleinden  

welbepaalde doeleinden Moeten daadwerkelijk worden goedgekeurd • Specifiek voor andere • Zoals gebruik inhoud berichten voor ads.



Moet zeer specifieke info aan ten grondslag liggen • EP heeft zich uitgeleefd in symbolen • Overigens uitzondering indien voor wetenschappelijk onderzoek mits


Broad consent voor wetenschappelijk onderzoek exit ?? 

Is inmiddels de standaard  



Onduidelijk….. 





METC’s keuren deze (in het algemeen) goed VS: IRB’s van specifiek naar broad Zweedse DPA indertijd : doeleinden onvoldoende bepaald, dus consent is niet specifiek… Ik: doeleinden wel bepaald, namelijk onderzoek naar oorzaken ziekten en gezondheid met behulp van…..

EP: in 81 ter (gegevens over gezondheid): toestemming voor een of meer vergelijkbare onderzoeken 

Voldoet dit aan vergelijkbaarheidsvoorwaarde


Conclusies voor toestemming 

Moet hoe dan ook worden gelezen in samenhang met  Informatie en overige beginselen  Kritiek uit deel wetenschap: Moereel, oratie 2- 2014  Oa. verwijzend naar hoe consumenten keuzes maken  Fair verwerken belangrijker  Maar thans: de uitzondering bepaalt de regel



Transparantie hoe dan ook belangrijker

 Ik: brengplicht verantwoordelijke maar ook haalplicht betrokkene  Gelaagd systeem  Niet geldend recht: governance  Nog steeds broad consent, mits vergelijkbaar….  Maar meer langs DPA’s > niet zeker…..’strikt noodzakelijk’ Seminar 24 juni 2014, GDPR hoofdlijnen

Recht om “vergeten” te worden…. 

Staat er niet: recht op wissen of wissen koppelingen  





Geclausuleerd Gaat verder dan thans: namelijk ook wanneer bezwaar bij vitaal belang, alg. belang of gerechtvaardigd belang verantwoordelijke tenzij…. Niet indien bewaren ten behoeve van historische, statistische of wetenschappelijke doeleinden CF. art. 83…. • Zou zelfs gelden indien toestemming wordt ingetrokken

Nu al… Google uitspraak Hof  Had niet betrekking op onderliggende krantenartikel….  Nu al vernietiging dossier op grond van WGBO


Gegevens over gezondheid 





persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon Aparte definitie genetische gegevens  Species van gegevens over gezondheid  Genetic exceptionalism ? • Ja, maar toch hetzelfde behandeld Net als thans, is verboden tenzij:  ……


Gegevens over gezondheid 

  

Uitdrukkelijke toestemming voor een of meer welbepaalde doelstellingen Vitaal belang etc. Gezondheidszorg, art. 81 Wetenschappelijk onderzoek , art. 83 

EP, archieven, art. 83 bis


Gezondheidszorg 

Deels als huidig art. 21 Wbp 



Toevoeging: 





Met toevoeging van veel meer ‘mits strikt’, etc. Openbaar belang volksgezondheid, infectieziekten maar ook garanderen hoge kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen en medische hulpmiddelen, Mits vertrouwelijkheid in acht moet worden genomen

daar kunnen we wat mee


Wetenschappelijk onderzoek 83 EP: In

overeenstemming met rest, dus o.a. toestemming, mag t uitsluitend indien:  Niet kan met anonieme gegevens • Hoe kom je aan die anonieme gegevens indien je die niet eerst tot zodanig verwerkt/omwerkt….  Scheiding tussen communicatie gegevens en onderzoeksgegevens volgens de allerhoogste technische standaarden en alle noodzakelijke maatregelen worden getroffen dat betrokkene alsnog oneigenlijk wordt geïdentificeerd • Al zeer veel PET en veiligheid in AVG, nog meer ??? Seminar 24 juni 2014, GDPR hoofdlijnen

Wetenschappelijk onderzoek, zonder toestemming EP bij gegevens omtrent gezondheid, uitsluitend indien: Voorzien in wetgeving lid-staten; Gewichtig algemeen belang Niet anders mogelijk Anoniem gemaakt (EB: maar dan vallen ze er toch niet meer onder), gepseudonimiseerd volgens de allerhoogste technische standaarden Geen bezwaar volgens art. 19 

‘Gewichtig algemeen belang’ mits…..


Tot slot Waar staan we nu? Deel is duidelijk Deel is onduidelijk  Maar verwacht strikte interpretatie Deel is duidelijk en verklaarbaar  PET en veiligheid Deel is bedoeld voor online wereld Klein deel is winst  Veiligheid …… Wetenschappelijk onderzoek is bedreigend 

Zie vanmiddag


De AVG, belangrijkste begippen

Recommend Documents