Een opinieblog over de balans tussen privacy en het belang van gegevensdeling voor wetenschap
Hoewel de media-aandacht voor medische gegevens en wetenschappelijk onderzoek wat is gaan liggen, betekent dat niet dat de kwesties over dit onderwerp zijn opgelost. Vanuit het veld krijgen we nog regelmatig vragen over hoe we nu om moeten gaan met gevoelige gegevens en onderzoek. Die vragen snijden een lastig stukje privacywet aan. Privacywetgeving is niet alleen de AVG, maar ook de UAVG en soms de Wgbo. In deze blog leg ik uit hoe de UAVG het delen van gezondheidsgegevens voor wetenschappelijk onderzoek lastig maakt, en waarom ik vind dat we de wet niet al te strikt moeten interpreteren.
Hoe het medisch beroepsgeheim de UAVG koloniseerde
De AVG kent een voorganger op het gebied van gegevensbescherming: de Wet bescherming persoonsgegevens (uit 2001). En dáárvoor gold de Wet persoonsregistraties. In de Wet Persoonsregistraties (uit 1988!) werd al geregeld dat persoonsgegevens aan derden verstrekt konden worden voor wetenschappelijk onderzoek. De voorwaarde daarvoor was dat de persoonlijke levenssfeer van de betrokkene daardoor niet onevenredig wordt geschaad. Dat was het. Dat was de enige voorwaarde.
Let op: die regel gold specifiek voor het verstrekken van gegevens aan derden. Wat eigen onderzoeken betrof: als dat verenigbaar was met het doel waarvoor je gegevens verzamelde en als de gegevens noodzakelijk waren voor het onderzoek, gaven de Wet persoonsregistraties en het Besluit Gevoelige Gegevens uit 1993 daar alle ruimte voor.
Hoewel de regel achteraf een beetje simpel en vaag verwoord was, vind ik dat het een hartstikke redelijk uitgangspunt gaf. En ik vind dat het ook nu nog een mooi uitgangspunt is. Al decennia zoeken wetgevers de balans tussen het beschermen van de persoonlijke levenssfeer, zonder wetenschappelijke vooruitgang onnodig te belemmeren. Gegevens beschikbaar maken voor wetenschap zolang het persoonlijk leven van betrokkenen daardoor niet onevenredig wordt geschaad levert volgens mij een mooie balans op.
In de vroege jaren ’90 werkte de wetgever ook aan de Wet op de geneeskundige behandelingsovereenkomst (Wgbo, thans artikel 7:446 e.v. Burgerlijk Wetboek). Bij het ontwerpen van die wet werd opgemerkt dat de regel over verstrekken van gegevens voor wetenschap uit patiëntendossiers wel te simpel was. In de context van geneeskundige behandelingen waren extra voorwaarden nodig, omdat hulpverleners natuurlijk te maken hebben met het medisch beroepsgeheim. Dat is een zwaarwegend deel van hun eed; zij moeten heel zorgvuldig omgaan met wat patiënten ze toevertrouwen.
De Wgbo geeft daarom extra voorwaarden voor het verstrekken van gegevens aan anderen voor wetenschappelijk onderzoek. Het uitgangspunt is dat je daar uitdrukkelijke toestemming voor nodig hebt van de patiënt. Als dat niet lukt, moet je aantonen dat het onmogelijk is om toestemming te krijgen of dat het in redelijkheid niet kan worden verlangd, moet het onderzoek een algemeen belang dienen, moet het onderzoek zonder de gegevens niet mogelijk zijn én moet de patiënt niet op voorhand bezwaar hebben gemaakt tegen het verstrekken van zulke gegevens. Al met al zijn dat veel zwaardere voorwaarden, maar ze zijn wel begrijpelijk tegen de achtergrond van het medisch beroepsgeheim.
Toen de wetgever eind jaren ’90 aan de slag ging met het ontwerp van de Wet bescherming persoonsgegevens, vonden de voorwaarden voor de Wgbo hun weg naar algemene toepassing op alle bijzondere persoonsgegevens. Niet alleen medisch hulpverleners, maar iedereen die bijzondere persoonsgegevens wilde verstrekken voor wetenschappelijk onderzoek waren vanaf 2001 gebonden aan het vragen van toestemming, of de vereisten dat het wetenschappelijk onderzoek een algemeen belang moest dienen en dat toestemming vragen daarvoor (nagenoeg) onmogelijk was. Zo kreeg de specifieke uitwerking voor het medisch beroepsgeheim plots een algemene werking. Niet alleen dat: ook als je gegevens die je zelf hebt verzameld zelf wilde verwerken voor wetenschappelijke doeleinden, had je nu te maken met de vereisten die zijn bedacht voor het verstrekken van patiëntgegevens aan anderen. Waarom dit gebeurde, heb ik niet kunnen terugvinden in de parlementaire stukken. Mogelijk vond de wetgever het nodig om een strenger regime te creëren voor wetenschap op bijzondere persoonsgegevens, en gaf de bestaande Wgbo aanknopingspunten. Wel gaf de wetgever destijds zelf ook aan dat het om vergelijkbare voorwaarden ging, niet om gelijke voorwaarden. Met de Wbp moest men het wel wat minder nauw nemen dan met de Wgbo. Maar een zinnetje in parlementaire geschiedenis helpt natuurlijk niet om ongeveer dezelfde wet op twee manieren toe te passen.
De komst van de UAVG bood een mooie kans: de AVG houdt specifiek rekening met het verwerken van bijzondere persoonsgegevens (waaronder gegevens over de gezondheid) voor wetenschappelijk onderzoek (art. 9.2.j AVG), en geeft ook aan waar een nationale wetgever ongeveer aan moet denken qua voorwaarden. Zo moet de verwerking zijn geregeld door een nationale (of Europese) wet, moeten de gegevens zoveel mogelijk gespeudonimiseerd zijn en moet het verder de ‘wezenlijke inhoud’ van het recht op gegevensbescherming eerbiedigen. Toegegeven: het gaat niet vanzelf. Maar deze voorwaarden zijn haalbaar en ook heel begrijpelijk. Belangrijker nog: in de AVG staan uitdrukkelijke toestemming (9.2.a) en deze optie naast elkaar. Beide opties zijn prima.
De Nederlandse wetgever besloot echter (met goede bedoelingen) om de UAVG ‘beleidsneutraal’ te implementeren. Oftewel: zoveel mogelijk uit de Wbp letterlijk overnemen. Maar daarmee kwam ook dat reliek dat in de Wgbo begon mee. En dus gaat de UAVG nu veel verder dan de AVG. Toestemming is nu het uitgangspunt, en alleen als dat aantoonbaar niet lukt kun je op de uitzondering terugvallen. We zijn niet meer bezig met de balans tussen wetenschap en de impact ervan op betrokkenen, maar met het handhaven van de juridische status quo.
Hoe nu verder?
Op dit moment worden de AVG en UAVG in Nederland geëvalueerd. Het zou ideaal zijn als we niet alleen de werking van de UAVG zouden evalueren, maar ook de ontwikkelende publieke mening op de rol van wetenschap, data drivenscience, pseudonimiseren, en de impact die dat alles mag hebben op betrokkenen. Vanuit die evaluatie zouden we waarschijnlijk vasthouden aan een streng regime voor het medisch beroepsgeheim en teruggaan naar wat meer beweegruimte voor de rest. Dat zou mij in ieder geval redelijk lijken.
Het lijkt er alleen niet op dat dat in deze evaluatie gaat gebeuren. In november gaf de Minister voor Rechtsbescherming aan dat hij op de langere termijn zal nadenken over de verhouding tussen de UAVG en wetenschappelijk onderzoek op grote datasets. In de toelichting daarop gaat hij in op het toestemmingsvereiste in de context van medisch-wetenschappelijk onderzoek. Daar noemt hij de voorwaarden van artikel 24 ‘niet meer dan redelijk’. Maar dat is nu net het punt: artikel 24 UAVG is breder dan medisch-wetenschappelijk onderzoek en grote datasets, en voor veel van de andere situaties zijn die voorwaarden wat mij betreft een stuk minder redelijk.
Dus zitten we, in ieder geval voorlopig, met een medisch beroepsgeheim-regime voor wetenschappelijk onderzoek op bijzondere gegevens. Ook als het gaat om andere gegevens dan gezondheidsgegevens. En als het gaat om gezondheidsgegevens die niet in het kader van een geneeskundige behandeling zijn verzameld. En ook nog eens ongeacht of het gaat om het verstrekken van gegevens aan wetenschappelijke onderzoeksgroepen of om eigen onderzoek.
We kunnen niet om de wet heen; artikel 24 UAVG geldt en daar moeten we het mee doen. Maar ik vind dat we het wel zo werkbaar mogelijk moeten houden. Als de voorwaarden strikt zijn geformuleerd, moeten we ze misschien niet al te strikt interpreteren. Ik ben het eens met het vereiste dat wetenschappelijk onderzoek op bijzondere gegevens zonder toestemming een algemeen belang moet dienen. Maar dat algemene belang hoeft wat mij betreft niet altijd alle burgers van Nederland aan te gaan. Daarnaast hoeft een commercieel belang het algemene belang niet uit te sluiten. Er zijn zat organisaties die toegepast onderzoek doen en daarmee een belangrijke bijdrage aan de maatschappelijke vooruitgang leveren en er ook hun brood mee winnen.
Ook de vraag of toestemming een onevenredige inspanning vergt moet wat mij betreft niet te nauw worden genomen. Nu datasets digitaal zijn kan het best makkelijk zijn om iedereen aan te schrijven, maar met grote datasets kan het wel moeilijk zijn om te achterhalen in hoeverre die nog actueel is. Daarnaast zorgen veel organisaties – juist met het oog op de AVG – voor pseudonieme datasets. Het is niet onmogelijk om de pseudonomisering om te draaien en toestemming te vragen, maar dat doet het hele idee van pseudonimisering weer teniet (zie in dat licht ook artikel 11 AVG die organisaties aanmoedigt om de personalia weg te gooien).
Wat mij betreft is de belangrijkste voorwaarde die waar het allemaal mee begon: zorg ervoor dat je met het verwerken van gegevens voor wetenschappelijk onderzoek geen onevenredige inbreuk maakt op de persoonlijke levenssfeer van de betrokkenen. Laten we ons daar weer op richten, en vooral bij die voorwaarde streng zijn voor onszelf. Werk met zo min mogelijk gegevens, zoveel mogelijk gepseudonimiseerd, en zorg voor een DPIA als bijzondere gegevens tussen partijen worden uitgewisseld of als het onderzoek directe gevolgen kan hebben voor de betrokkenen. En trek aan de bel bij de minister als je merkt dat de UAVG een waardevol onderzoek in de weg staat.
Heeft u vragen of wilt u meer weten over dit onderwerp? Neem dan contact op met Jan Bosma.
