GDPR zekere en mogelijke consequenties

GDPR zekere en mogelijke consequenties MedLawconsult

Seminar GDPR maart 2013

vooraf

Dank aan FEDERA en COREON

NIVEL

Hebben (haast) alle tijd mogelijk gemaakt Remco Coppen Borrel

Vele buitenlandse contacten


Wat is er aan hand……

Thans onze privacywetgeving gebaseerd op een Europese Richtlijn (95/46/EC) De EC heeft een General Data Protection Regulation voorgesteld

Algemene Verordening Bescherming Persoonsgegevens In tegenstelling tot een Richtlijn werkt een Verordening rechtstreeks, geen of nauwelijks omzetting in recht lid-staten

Zal direct bepalend zijn hoe welke gegevens voor wetenschappelijk onderzoek mogen worden verwerkt , ook bij WGBO


Speelt her en der, met name commercieel….




Programma

3-4.30 bespreking zekere en mogelijke consequenties

Blokjes, aan de hand van de GDPR Maar eerst, context • Meer Regulations • Europese wetgevingsprocedure

4.30-5 bespreking afwenden mogelijke, ongewenste consequenties

Lobby ???

5-6

borrel, aangeboden door het NIVEL


Institutionele context -1 EU kan uitsluitend opereren binnen toegekende bevoegdheden Voornamelijk TFEU Direct werkende bepalingen

Procedurele bepalingen

Vrije verkeer Grondslagen Omtrent ‘harmonisatie’ wetgeving (114) Wetgevende procedure

Specifieke beleidsgebieden

Publieke gezondheid (168)


IC-2

Verdrag EU (Lissabon)

Subsidiariteit • Protocollen • Speelt geen/nauwelijks rol meer bij de GDPR

EU Charter- Handvest Grondrechten

Art. 8 gegevensbescherming • Oa. DPA • In onderdeel over vrijheden

Art. 35 gezondheidszorg • In onderdeel over solidariteit


Context 3

Trend voor Richtlijn naar Verordening Clinical trials 17.02.2012

Deze evenwichtiger dan Richtlijn 2001/20/EC • Commissie erkent dat deze tot ‘AE’ heeft geleid • Nederland werkt aan input voor de Raad (hierna)

In samenhang met pharma regelgeving • Pharmacovigilance Verordening 1235/2010

Medische hulpmiddelen

PMS bepalingen

Pharmovigilance en PMS, binnen privacywetgeving


IC-slot- het ‘gewone’ wetgevende proces

Drie spelers:

EC doet voorstel Gaat naar EP en Raad

De EC Het EP De Raad (van ministers)

Eerste lezing

EP amendeert

Zie bijvoorbeeld LIBE, voorstel Op dit moment ong. 2600 amendementen !!!!


Vervolg wetg. proces

Tegelijk beraadslaagt Raad

Dan voorzitter, nu Ierland Veel minder transparant EC en Raad communiceren, met EP niet formeel

EP komt tot een nieuwe tekst Raad komt samen met de EC een voorstel voor de 2e draft, voor de 2e lezing in het EP EP komt met nieuw voorstel Raad aanvaardt of ‘verzoeningsprocedure’

EC feitelijk leiding, stemprocedures


Inhoud

Recitals Algemene bepalingen

Definities

Beginselen Rechten betrokkene Verantwoordelijke en bewerker

Privacy by desing PIA DPO (FG) Gedragscodes


Inhoud -2

Gegevens naar derde landen DPA’s Europees afstemmingsmechanisme

Aansprakelijkheid etc. Speciale situaties

EDPB

Gezondheidszorg art. 81 Uitzondering voor wetenschappelijk onderzoek art. 83

Delegated en implementing acts


Def. persoonsgegeven “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.

Gepseudonimiseerde gegevens ?

Reding

Ja Anders minder rechten dan nu


Gepseudonimiseerd

Verschillende definities….

LIBE ‘singling out’

ISO 25237 echter >anonieme gegevens ‘onze definitie’

Keten Van 1 naar 2; NAW >P Onderzoeksgegevens onder P Onder omstandigheden anoniem


Genetische en gezondheid gegevens

Heel breed Geërfde of aangeboren karakteristieken

Ontbreekt door gevonden door –omic test

Maakt geen onderdeel van gegevens over gezondheid


Toestemming

Uitdrukkelijke toestemming > informed consent

elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

LIBE nog specifieker


Toestemming - 2

Voor ‘welbepaalde doeleinden’

exit broad consent ?


Beginselen

Verandert niet zo veel

Rechtmatig, de 6 voorwaarden uit 8 Wbp

Wel minimal data use etc… Mag langer bewaren voor onderzoek, mits periodiek review dat daarvoor nog nodig is Restbepaling, rechtmatige belangen verantwoordelijke, mits …

Uitvoerige bepalingen betreffende kinderen (18 jr.) Beperking bijzondere persoonsgegevens

Uitz. voor 81 en 83


Tussenartikel 10 Wanneer de door de voor de verwerking verantwoordelijke verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon te identificeren, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene.

Def. is knullig maar hoogst belangrijke bepaling. Lost paradox op dat je wel gegevens hebt die als persoonsgegevens moeten worden aangemerkt maar je die niet mag en zeker niet wilt herleiden tot betrokkene en terwijl die betrokkene wel alle rechten toekomen en daarvoor zou moeten herleiden.


Rechten

Transparantie Info vooraf welke gegevens worden verwerkt en hoe, hoelang, naar wie (categorie) etc. Als data van een derde komen, welke derde

Beperking indien onmogelijk of disproportioneel

Recht op toegang, rectificatie

Recht op vergeten te worden en vernietiging

Beperking voor oa. 81 en 83 Maar niet bij wel consent maar toch noodzakelijk voor onderzoek


Verantwoordelijke etc.

Bijhouden documentatie dat persoonsgegevens rechtmatig worden verwerkt Data protection by default and design PIA onder voorwaarden noodzakelijk

Wij vallen in het algemeen daaronder Risico’s en hoe die risico’s worden gemitigeerd • Lijkt niet zozeer bredere NOPROS (zie Big Data rapport)

Opinies betrokkenen moeten in beginsel worden gehoord

Komen ook specifieke regels auditing


Voorafgaande consultatie DPA

Verplicht

PIA toont sterke, specifieke risico’s Voor gegevensverwerking waarvan DPA dat heeft bepaald

DPA kan PIA ook opvragen

Toestemming soms bij naar derde land (hierna)


Data veiligheid

Passende veiligheidsmaatregelen Risico evaluatie

Verplichting tot melden inbreuk (data breach)

Erg ongeclausuleerd, elke….


DPO –FG

Moet

Kwalificaties

Bestuursorgaan Meer dan 250 mensen (omstreden) Bij systematisch monitoren betrokkenen Expert knowlegde etc.

Kan gezamenlijk 1 of worden ingehuurd Toezichthoudende taken Liaison met betrokkenen en DPA


Gedragscodes en veiligheidszegels

Voorwaarden Of DPA of EC

Certificatiemechanismes

Veiligheidszegel Ook bedoeld voor betrokkene


Derde landen

Verandert de facto niet zo veel Mag niet, tenzij

Commissie > land erkend als adequaat Nieuw kan ook voor sector Standaard overeenkomst volgens commissie Erkende BCR Door DPA vastgestelde clausules Zelf overeengekomen naar toestemming DPA

Maar ook tenzij

Bijvoorbeeld toestemming na op risico’s te zijn gewezen


DPA en EDPB

Dpa onafhankelijk etc.

Moeten erkende privacy kennis hebben Verder bij wet lid-staat regelen Kunnen adm. sancties opleggen Niets over governance, consultatie

Uitvoerige bepalingen overleg DPA’s

Wederzijdse bijstand Afstemming Conformiteitsprocedure (consistency mechanism) • EC en EDPB


EDPB

Opvolger art. 29 Werkgroep Taak : consistentie toepassing Verordening

Niets over governance

EC veel implementerende en gedelegeerde bevoegdheden

Daarop veel kritiek

In plaats van EC naar EDPB ??

Bepaald geen goed idee


Handhaving….

Strafrechtelijke penalties lid staten Administratieve

Klein, niet commercieel waarschuwing Tot 250000 E. of 0,5 % omzet onderneming bij geen mechanisme info Tot 500000 of 1 % omzet bij schending bepaalde rechten en adm. voorschriften Tot 1 milj. E. 2 % omzet bij de rest


En dan nu

Uitzonderingen op informed consent Vrijheid van meningsuiting

artistiek, literair, journalistiek

Gezondheidszorg 81 Wetenschappelijk onderzoek 83


Artikel 81

Gegevens over gezondheid (en niet genetische ??) binnen grenzen nationaal recht en voorzien van passende waarborgen voor: Zorg en management zorg, mits beroepsgeheim of equivalent Publieke gezondheid maar ook veiligheid en kwaliteit Voor zorgsysteem, zorgverzekeraars etc.


Art. 83

Voor historisch, statistisch en wetenschappelijk onderzoek, mits

Kan niet met data die niet (langer) identificatie toestaan; Voorzover mogelijk info die identificatie toelaat gescheiden van de andere data

“gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie”


En nu….. Lobby ??? http://news.lobbynomics.com/post/45104445132 /data-protection-week-10-2013 Wat en bij wie Geheel, niet uitsluitend 83 Naast EP, ook EC en Raad

Redden beperkte def. gepseudonimiseerd Broad consent • Ook opt-out mits


Aanrader :


GDPR zekere en mogelijke consequenties

Recommend Documents