De betekenis van de AVG voor wetenschappelijk onderzoek
Het verwerken van persoonsgegevens van patiënten wordt primair beheerst door de Wet Geneeskundige Behandelovereenkomst (WGBO) en nu nog door de Wet bescherming persoonsgegevens (Wbp). Dit gaat binnenkort veranderen. De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2016 in werking getreden. Per 25 mei 2018 vervangt deze verordening de Europese richtlijn bescherming persoonsgegevens (de richtlijn), die momenteel geïmplementeerd is in de Wbp. Vanaf dat moment moet de AVG worden toegepast, ook bij de verwerking van patiëntgegevens.
De WGBO stelt voorwaarden aan het gebruik van patiëntgegevens voor wetenschappelijk onderzoek. Ingevolge artikel 7:458 BW mag de hulpverlener op verzoek van een derde zonder toestemming van de patiënt gegevens over de patiënt – zoals opgenomen in het patiëntendossier – aan deze derde verstrekken voor statistisch of ander wetenschappelijk onderzoek op het gebied van de volksgezondheid. Patiëntgegevens mogen slechts zonder toestemming van de patiënt worden verstrekt aan een derde indien aan de vijf voorwaarden uit artikel 7:458 BW is voldaan. Naast de bepalingen uit de WGBO zijn vanaf 25 mei 2018 ook de bepalingen uit de AVG van toepassing op het verwerken van patiëntgegevens. De bepalingen uit de WGBO en de AVG vullen elkaar wederzijds aan.
In de AVG is een uitzondering geformuleerd op het verbod om bijzondere persoonsgegevens te verwerken indien verwerking noodzakelijk is met het oog op wetenschappelijk onderzoek. In de (Nederlandse) uitvoeringswet worden nadere voorwaarden gesteld. Artikel 89 AVG bevat daarnaast een specifieke regeling betreffende de verwerking van persoonsgegevens voor wetenschappelijk onderzoek.
Indien aan al deze voorwaarden is voldaan mogen de patiëntgegevens ten behoeve van wetenschappelijk onderzoek worden verwerkt. Deze voorwaarden zijn vergelijkbaar met de voorwaarden onder de richtlijn. Dit is in feite niet anders dan onder de huidige wet- en regelgeving.
Nieuw in de AVG ten opzichte van de richtlijn is dat genetische gegevens (zoals DNA-materiaal) en biometrische gegevens (zoals gezichtsafbeeldingen of vingerafdrukgegevens) expliciet zijn aangemerkt als bijzondere persoonsgegevens. Onder de Wbp werden genetische gegevens impliciet aangemerkt als bijzondere gegevens over gezondheid. Voor de verwerking van genetische en biometrische gegevens gelden afzonderlijke bepalingen met specifieke voorwaarden.
Het rechtmatig gebruik van persoonsgegevens voor onderzoeksdoeleinden wordt in de praktijk regelmatig mogelijk gemaakt door gegevens te anonimiseren. Dit is aantrekkelijk omdat het wettelijke regime van gegevensbescherming uitsluitend van toepassing is op de verwerking van persoonsgegevens. Anonieme patiëntengegevens zijn geen persoonsgegevens. Anonimisering wordt bewerkstelligd door persoonsgegevens zodanig te verwerken dat er geen enkele mogelijkheid is tot identificatie van de betrokkenen. Het gebruik van anonimiseringstechnieken is vaak echter een onvoldoende betrouwbare strategie om de belangen en rechten van betrokkenen te beschermen, omdat de gegevens in veel gevallen nog steeds niet echt anoniem zijn. Denk bijvoorbeeld aan de vier cijfers van de postcode, een zeldzame ziekte, het geslacht en de leeftijdsklasse. Zo zouden deze 'anonieme gegevens' met elkaar of met andere gegevens gecombineerd kunnen worden, waardoor het alsnog mogelijk is om iemands identiteit te achterhalen. Dit soort gegevens worden indirect identificerende gegevens genoemd. Het is lastig voor te stellen hoe iemand aan de hand van deze gegevens een bepaald persoon kan identificeren. Dit is echter wel het uitgangpunt van de uitleg die de Europese wetgever aan dit begrip geeft. Ook na anonimisering van (bijzondere) persoonsgegevens kun je dus nog steeds onder de reikwijdte van de wet vallen.
In de AVG wordt benadrukt dat pseudonimisering weliswaar een middel is om risico’s te verminderen, maar het is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. Pseudonimisering houdt geen anonimisering in, maar is slechts een veiligheidsmethode om privacy risico's te verkleinen. Bij pseudonimisering worden de gegevens versleuteld, maar de gegevens zijn nog steeds te herleiden tot de oorspronkelijke identiteit van de patiënt. Voor de verwerking van pseudonieme gegevens is een wettelijke grondslag nodig op basis van de AVG.
Het risico van identificatie kan na verloop van zekere tijd toenemen en hangt ook af van de ontwikkeling van technologie. Degene die verantwoordelijke is voor de verwerking van de persoonsgegevens dient rekening te houden met de technologische ontwikkelingen. Niet alle risico's kunnen worden weggenomen, maar goed juridisch advies inwinnen is nodig om niet de fout in te gaan.