GDPR zekere en mogelijke consequenties MedLawconsult
Seminar GDPR maart 2013
vooraf
Dank aan FEDERA en COREON
NIVEL
Hebben (haast) alle tijd mogelijk gemaakt Remco Coppen Borrel
Vele buitenlandse contacten
Seminar GDPR maart 2013
Wat is er aan hand……
Thans onze privacywetgeving gebaseerd op een Europese Richtlijn (95/46/EC) De EC heeft een General Data Protection Regulation voorgesteld
Algemene Verordening Bescherming Persoonsgegevens In tegenstelling tot een Richtlijn werkt een Verordening rechtstreeks, geen of nauwelijks omzetting in recht lid-staten
Zal direct bepalend zijn hoe welke gegevens voor wetenschappelijk onderzoek mogen worden verwerkt , ook bij WGBO
Seminar GDPR maart 2013
Speelt her en der, met name commercieel….
Seminar GDPR maart 2013
Seminar GDPR maart 2013
Seminar GDPR maart 2013
Programma
3-4.30 bespreking zekere en mogelijke consequenties
Blokjes, aan de hand van de GDPR Maar eerst, context • Meer Regulations • Europese wetgevingsprocedure
4.30-5 bespreking afwenden mogelijke, ongewenste consequenties
Lobby ???
5-6
borrel, aangeboden door het NIVEL
Seminar GDPR maart 2013
Institutionele context -1 EU kan uitsluitend opereren binnen toegekende bevoegdheden Voornamelijk TFEU Direct werkende bepalingen
Procedurele bepalingen
Vrije verkeer Grondslagen Omtrent ‘harmonisatie’ wetgeving (114) Wetgevende procedure
Specifieke beleidsgebieden
Publieke gezondheid (168)
Seminar GDPR maart 2013
IC-2
Verdrag EU (Lissabon)
Subsidiariteit • Protocollen • Speelt geen/nauwelijks rol meer bij de GDPR
EU Charter- Handvest Grondrechten
Art. 8 gegevensbescherming • Oa. DPA • In onderdeel over vrijheden
Art. 35 gezondheidszorg • In onderdeel over solidariteit
Seminar GDPR maart 2013
Context 3
Trend voor Richtlijn naar Verordening Clinical trials 17.02.2012
Deze evenwichtiger dan Richtlijn 2001/20/EC • Commissie erkent dat deze tot ‘AE’ heeft geleid • Nederland werkt aan input voor de Raad (hierna)
In samenhang met pharma regelgeving • Pharmacovigilance Verordening 1235/2010
Medische hulpmiddelen
PMS bepalingen
Pharmovigilance en PMS, binnen privacywetgeving
Seminar GDPR maart 2013
IC-slot- het ‘gewone’ wetgevende proces
Drie spelers:
EC doet voorstel Gaat naar EP en Raad
De EC Het EP De Raad (van ministers)
Eerste lezing
EP amendeert
Zie bijvoorbeeld LIBE, voorstel Op dit moment ong. 2600 amendementen !!!!
Seminar GDPR maart 2013
Vervolg wetg. proces
Tegelijk beraadslaagt Raad
Dan voorzitter, nu Ierland Veel minder transparant EC en Raad communiceren, met EP niet formeel
EP komt tot een nieuwe tekst Raad komt samen met de EC een voorstel voor de 2e draft, voor de 2e lezing in het EP EP komt met nieuw voorstel Raad aanvaardt of ‘verzoeningsprocedure’
EC feitelijk leiding, stemprocedures
Seminar GDPR maart 2013
Inhoud
Recitals Algemene bepalingen
Definities
Beginselen Rechten betrokkene Verantwoordelijke en bewerker
Privacy by desing PIA DPO (FG) Gedragscodes
Seminar GDPR maart 2013
Inhoud -2
Gegevens naar derde landen DPA’s Europees afstemmingsmechanisme
Aansprakelijkheid etc. Speciale situaties
EDPB
Gezondheidszorg art. 81 Uitzondering voor wetenschappelijk onderzoek art. 83
Delegated en implementing acts
Seminar GDPR maart 2013
Def. persoonsgegeven “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.
Gepseudonimiseerde gegevens ?
Reding
Ja Anders minder rechten dan nu
Seminar GDPR maart 2013
Gepseudonimiseerd
Verschillende definities….
LIBE ‘singling out’
ISO 25237 echter >anonieme gegevens ‘onze definitie’
Keten Van 1 naar 2; NAW >P Onderzoeksgegevens onder P Onder omstandigheden anoniem
Seminar GDPR maart 2013
Genetische en gezondheid gegevens
Heel breed Geërfde of aangeboren karakteristieken
Ontbreekt door gevonden door –omic test
Maakt geen onderdeel van gegevens over gezondheid
Seminar GDPR maart 2013
Toestemming
Uitdrukkelijke toestemming > informed consent
elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt
LIBE nog specifieker
Seminar GDPR maart 2013
Toestemming - 2
Voor ‘welbepaalde doeleinden’
exit broad consent ?
Seminar GDPR maart 2013
Beginselen
Verandert niet zo veel
Rechtmatig, de 6 voorwaarden uit 8 Wbp
Wel minimal data use etc… Mag langer bewaren voor onderzoek, mits periodiek review dat daarvoor nog nodig is Restbepaling, rechtmatige belangen verantwoordelijke, mits …
Uitvoerige bepalingen betreffende kinderen (18 jr.) Beperking bijzondere persoonsgegevens
Uitz. voor 81 en 83
Seminar GDPR maart 2013
Tussenartikel 10 Wanneer de door de voor de verwerking verantwoordelijke verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon te identificeren, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene.
Def. is knullig maar hoogst belangrijke bepaling. Lost paradox op dat je wel gegevens hebt die als persoonsgegevens moeten worden aangemerkt maar je die niet mag en zeker niet wilt herleiden tot betrokkene en terwijl die betrokkene wel alle rechten toekomen en daarvoor zou moeten herleiden.
Seminar GDPR maart 2013
Rechten
Transparantie Info vooraf welke gegevens worden verwerkt en hoe, hoelang, naar wie (categorie) etc. Als data van een derde komen, welke derde
Beperking indien onmogelijk of disproportioneel
Recht op toegang, rectificatie
Recht op vergeten te worden en vernietiging
Beperking voor oa. 81 en 83 Maar niet bij wel consent maar toch noodzakelijk voor onderzoek
Seminar GDPR maart 2013
Verantwoordelijke etc.
Bijhouden documentatie dat persoonsgegevens rechtmatig worden verwerkt Data protection by default and design PIA onder voorwaarden noodzakelijk
Wij vallen in het algemeen daaronder Risico’s en hoe die risico’s worden gemitigeerd • Lijkt niet zozeer bredere NOPROS (zie Big Data rapport)
Opinies betrokkenen moeten in beginsel worden gehoord
Komen ook specifieke regels auditing
Seminar GDPR maart 2013
Voorafgaande consultatie DPA
Verplicht
PIA toont sterke, specifieke risico’s Voor gegevensverwerking waarvan DPA dat heeft bepaald
DPA kan PIA ook opvragen
Toestemming soms bij naar derde land (hierna)
Seminar GDPR maart 2013
Data veiligheid
Passende veiligheidsmaatregelen Risico evaluatie
Verplichting tot melden inbreuk (data breach)
Erg ongeclausuleerd, elke….
Seminar GDPR maart 2013
DPO –FG
Moet
Kwalificaties
Bestuursorgaan Meer dan 250 mensen (omstreden) Bij systematisch monitoren betrokkenen Expert knowlegde etc.
Kan gezamenlijk 1 of worden ingehuurd Toezichthoudende taken Liaison met betrokkenen en DPA
Seminar GDPR maart 2013
Gedragscodes en veiligheidszegels
Voorwaarden Of DPA of EC
Certificatiemechanismes
Veiligheidszegel Ook bedoeld voor betrokkene
Seminar GDPR maart 2013
Derde landen
Verandert de facto niet zo veel Mag niet, tenzij
Commissie > land erkend als adequaat Nieuw kan ook voor sector Standaard overeenkomst volgens commissie Erkende BCR Door DPA vastgestelde clausules Zelf overeengekomen naar toestemming DPA
Maar ook tenzij
Bijvoorbeeld toestemming na op risico’s te zijn gewezen
Seminar GDPR maart 2013
DPA en EDPB
Dpa onafhankelijk etc.
Moeten erkende privacy kennis hebben Verder bij wet lid-staat regelen Kunnen adm. sancties opleggen Niets over governance, consultatie
Uitvoerige bepalingen overleg DPA’s
Wederzijdse bijstand Afstemming Conformiteitsprocedure (consistency mechanism) • EC en EDPB
Seminar GDPR maart 2013
EDPB
Opvolger art. 29 Werkgroep Taak : consistentie toepassing Verordening
Niets over governance
EC veel implementerende en gedelegeerde bevoegdheden
Daarop veel kritiek
In plaats van EC naar EDPB ??
Bepaald geen goed idee
Seminar GDPR maart 2013
Handhaving….
Strafrechtelijke penalties lid staten Administratieve
Klein, niet commercieel waarschuwing Tot 250000 E. of 0,5 % omzet onderneming bij geen mechanisme info Tot 500000 of 1 % omzet bij schending bepaalde rechten en adm. voorschriften Tot 1 milj. E. 2 % omzet bij de rest
Seminar GDPR maart 2013
En dan nu
Uitzonderingen op informed consent Vrijheid van meningsuiting
artistiek, literair, journalistiek
Gezondheidszorg 81 Wetenschappelijk onderzoek 83
Seminar GDPR maart 2013
Artikel 81
Gegevens over gezondheid (en niet genetische ??) binnen grenzen nationaal recht en voorzien van passende waarborgen voor: Zorg en management zorg, mits beroepsgeheim of equivalent Publieke gezondheid maar ook veiligheid en kwaliteit Voor zorgsysteem, zorgverzekeraars etc.
Seminar GDPR maart 2013
Art. 83
Voor historisch, statistisch en wetenschappelijk onderzoek, mits
Kan niet met data die niet (langer) identificatie toestaan; Voorzover mogelijk info die identificatie toelaat gescheiden van de andere data
“gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie”
Seminar GDPR maart 2013
En nu….. Lobby ??? http://news.lobbynomics.com/post/45104445132 /data-protection-week-10-2013 Wat en bij wie Geheel, niet uitsluitend 83 Naast EP, ook EC en Raad
Redden beperkte def. gepseudonimiseerd Broad consent • Ook opt-out mits
Seminar GDPR maart 2013
Aanrader :
Seminar GDPR maart 2013