Wat is een gegevensbeschermingseffectbeoordeling (GEB)?

Een gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vóór de verwerking van persoonsgegevens de privacyrisico’s in kaart te brengen. Naar aanleiding van deze GEB kunnen dan (additionele) maatregelen worden genomen om de privacyrisico’s te verkleinen. In het Engels wordt een GEB een ‘data protection impact assessment’ (DPIA) genoemd.

Wanneer moet ik een DPIA  uitvoeren voor mijn wetenschappelijk onderzoek?

Een DPIA moet uitgevoerd worden als uw gegevensverwerking waarschijnlijk een hoog privacyrisico geeft. Dit kan bepaald worden aan de hand van een lijst van situaties opgesteld door de Autoriteit Persoonsgegevens (1). Als één van de situaties van de lijst van toepassing is zal een DPIA uitgevoerd moeten worden. Op de lijst staan onder meer: verwerking van genetische persoonsgegevens (grootschalige en/of systematische verwerkingen van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, bio-databanken) en verwerking van gezondheidsgegevens (grootschalige verwerkingen van gegevens over gezondheid) (1). Bovenstaande lijst met situaties is niet uitputtend. Mocht uw verwerking niet op de lijst staan dan kunt u gebruik maken van criteria van de Europese privacy toezichthouders. U moet controleren  of de verwerking aan 2 of meer van de 9 criteria voldoet (2). Zo ja, dan zal u een DPIA moeten uitvoeren. Enkele belangrijke criteria relevant voor wetenschappelijk onderzoek zijn onder andere (2):

  • Worden er op grote schaal bijzondere persoonsgegevens verwerkt?
  • Worden er databases gekoppeld?
  • Wordt er gebruik gemaakt van nieuwe technologieën?

De AVG geeft geen definitie van ‘grootschalig’, maar er zijn wel criteria voor de bepaling van grootschalige gegevensverwerking, beschreven door de Autoriteit Persoonsgegevens (3):

  • Het aantal betrokkenen;
  • De hoeveelheid gegevens die u verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

De AVG eist niet dat iedere verwerking of iedere database aan een DPIA wordt onderworpen. De AVG maakt het expliciet mogelijk om één DPIA te doen die een reeks vergelijkbare verwerkingen bestrijkt die vergelijkbare hoge risico's inhouden. Eén DPIA per cohort of wellicht zelfs per instituut kan dus volstaan. Een nieuwe DPIA moet wel weer uitgevoerd worden als de situatie verandert (o.a. verwerking, privacy risico of omgeving). 

Uit bovenstaande tekst blijkt al dat de grenzen wanneer een onderzoeker wel of geen DPIA uit moet voeren niet scherp afgebakend zijn. Bij twijfel is het advies daarom om contact op te nemen met een jurist of functionaris gegevensbescherming van uw instelling. Bovendien zal de Autoriteit Persoonsgegevens periodiek bekijken of de lijst moet worden aangepast.

Hoe voer ik een DPIA uit?

Een voorbeeld van een instrument waarmee een DPIA kan worden uitgevoerd is te raadplegen via de website van BBMRI-NL (4): de GDPR tool voor populatie cohorten, biobanken en registers. Deze DPIA is bedoeld voor wetenschappelijk (gezondheids)onderzoek. De makers raden aan dat de onderzoeker en instellingsjurist de DPIA samen doorlopen. Een uitnodiging voor registratie voor de applicatie kan worden verkregen door een mail te sturen naar info@dataprotectioncompliancetool.com.

Het Amsterdam UMC heeft een ingevulde DPIA als voorbeeld beschikbaar gesteld. Deze vindt u hier (5).

Zodra er nog meer voorbeelden van GEBs/DPIAs voor wetenschappelijk onderzoek beschikbaar zijn worden deze hier toegevoegd.

 

Bronnen

  1. Website Autoriteit Persoonsgegevens, Wat zijn de criteria van de AP voor een verplichte DPIA? (laatst geraadpleegd op 04-03-2019)
  2. Website Autoriteit Persoonsgegevens, Wat zijn de criteria van de Europese privacytoezichthouders? (laatst geraadpleegd op 04-03-2019)
  3. Website Autoriteit Persoonsgegevens, Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens? (laatst geraadpleegd op 04-03-2019)
  4. GDPR tool (laatst geraadpleegd op 04-03-2019)
  5. Amsterdam UMC - Korte Data Privacy Impact Analyse - ingevuld voor het ABCD onderzoek

Voor het laatst gewijzigd op 11-04-2019

 

Staat uw vraag er niet bij, neem dan contact met ons op.

 

Contact

Heeft u nog geen ELSI-Servicedesk TOPdesk account?
Vraag deze dan aan door een mail te sturen naar elsiservicedesk@health-ri.nl.

 

Wij gebruiken Topdesk, inclusief subonderdelen zoals Worcade, als onze service management software. Door het stellen van een vraag via de telefoon of e-mail, dan wel door het indienen van het vragenformulier, gaat u ermee akkoord dat de door u verstrekte gegevens worden opgeslagen in Topdesk. Deze verwerking van uw gegevens gebeurt in overeenstemming met het Privacybeleid en de Voorwaarden van Topdesk.


De informatie op deze website is met de grootst mogelijke zorg en aandacht samengesteld door experts uit verschillende disciplines. Bij het samenstellen van de informatie is gebruik gemaakt van verschillende bronnen. Er is rekening gehouden met de op het moment van plaatsen geldende wet- en regelgeving en ethische kaders, en de interpretatie daarvan door de personen en/of organisaties die bijdragen aan de ELSI Servicedesk. Ondanks deze zorg en aandacht voor de verstrekte informatie kan deze onvolledig of niet geheel juist zijn. Voorts is het antwoord generiek en is meestal een vertaling nodig naar de specifieke situatie van een bepaald onderzoek. Het ELSI kernteam en de organisaties die bijdragen aan de ELSI Servicedesk kunnen geen aansprakelijkheid aanvaarden voor de op deze site geboden informatie en het gebruik daarvan.

Meer Gegevensbescherming

Wat is de bewaar- en opslagtermijn van gegevens en lichaamsmateriaal in het kader van wetenschappelijk onderzoek?

De bewaar- en opslagtermijn van gegevens en lichaamsmateriaal in het kader van wetenschappelijk onderzoek is niet eenduidig vastgelegd in wet- en regelgeving.

Klik hier voor het volledige antwoord

Wat is de rol van een Trusted Third Party (TTP) binnen gezondheidsonderzoek?

Een Trusted Third Party (TTP) is een zogenoemde “vertrouwde derde partij”. Het is een onafhankelijke partij die verantwoordelijk is voor de uitwisseling van data tussen twee of meerdere verschillende partijen. Het gaat hierbij om de pseudonimisatie, versleuteling en ontsluiting van databestanden met privacygevoelige informatie. De TTP is in die hoedanigheid verantwoordelijk voor de privacybescherming door naleving van de wet- en regelgeving rond gegevensbescherming.

Klik hier voor het volledige antwoord

Waar moet ik op letten bij het koppelen van gegevensbestanden afkomstig uit verschillende organisaties?

Voor het beantwoorden van een wetenschappelijke onderzoeksvraag kan het nodig zijn gegevensbestanden van verschillende organisaties aan elkaar te koppelen. Verschillende Nederlandse organisaties die met zulke gegevensbestanden werken, zoals ziekenhuizen of biobanken, hebben gezamenlijk een ‘ Koppelcode’ getekend.

Klik hier voor het volledige antwoord

Waar vind ik een voorbeeld van een Material Transfer Agreement en een Data Transfer Agreement?

Bij het uitgeven van lichaamsmaterialen aan een derde partij is het gebruikelijk een Material Transfer Agreement (MTA) op te stellen. Hierin leggen de verzender en ontvanger van het materiaal afspraken over het gebruik van de materialen vast.

Klik hier voor het volledige antwoord

Waar vind ik meer informatie over welk niveau van (patiënt)authenticatie nodig is voor mijn digitale dienst?

De werkgroep patiëntauthenticatie van het overlegplatform Patiënt en eHealth heeft een handreiking geschreven waarmee zorgaanbieders de meest geschikte methode van patiëntauthenticatie kunnen bepalen.

Klik hier voor het volledige antwoord

Mogen (bijzondere categorieën van) persoonsgegevens van patiënten online opgeslagen worden in de ‘cloud’?

De AVG is van toepassing op de opslag van persoonsgegevens in een cloud (dit is een externe server), omdat opslaan een vorm van verwerken is. Regels voor verwerking van persoonsgegevens binnen wetenschappelijk onderzoek zijn van overeenkomstige toepassing. Verwerking van bijzondere categorieën van persoonsgegevens is verboden behalve als aan één van de gronden wordt voldaan uit artikel 9, lid 2 van de AVG, bijvoorbeeld in het geval dat de betrokkene uitdrukkelijk toestemming heeft gegeven. In de AVG zijn geen specifieke bepalingen opgenomen voor de opslag van persoonsgegevens in een cloud.

Klik hier voor het volledige antwoord