Het belang van een goede DPIA
In korte tijd zijn er twee uitspraken gedaan waarin het belang van een goede DPIA (Data Protection Impact Assessment) centraal staat.
De eerste uitspraak van 12 augustus 2019 betreft het invoeren van vingerscanners door Manfield voor kassamedewerkers (zie de blog van Lora Mourcous). De rechtbank oordeelde dat Manfield onvoldoende had onderzocht of minder ingrijpende alternatieven mogelijk waren. Indien Manfield een deugdelijke DPIA had uitgevoerd, was het oordeel wellicht anders uitgevallen of had zij zelf kunnen constateren dat het invoeren van een vingerscanner niet proportioneel was.
De tweede uitspraak is van 23 juli 2019 (gepubliceerd op 23 augustus 2019) waarin wel een deugdelijke DPIA is uitgevoerd. Het betreft nog een uitspraak onder de Wet bescherming persoonsgegevens (Wbp), maar onder de AVG zou de uitkomst waarschijnlijk hetzelfde zijn geweest.
Het gaat om een slepende procedure over de verstrekking van medische gegevens uit een database, beheerd door de Nederlandse Zorgautoriteit (NZa). De NZa verkrijgt deze medische gegevens van zorgaanbieders en mag deze op haar beurt verstrekken aan instanties die de gegevens nodig hebben voor het uitvoeren van hun wettelijke taken.
Op 3 mei 2015(!) wordt bij de Autoriteit Persoonsgegevens (AP), althans de voorloper daarvan, een handhavingsverzoek ingediend. De indiener van het handhavingsverzoek stelt dat de NZa niet zorgvuldig omgaat met de verstrekking van gegevens en dat er als het ware sprake is van een ‘blanco cheque’ om aan wie daar dan ook maar om vraagt medische gegevens te verstrekken. De AP stelt een onderzoek in.
De AP stelt in de eerste plaats vast dat met louter anonieme gegevens niet kan worden volstaan. Er moet een koppeling blijven bestaat tussen de individuele persoon wiens medische gegevens in de databank staan en de verleende medische zorg. Dit zodat een compleet behandeltraject in beeld kan worden gebracht. Opmerkelijk detail is dat er kennelijk tot 2014 werd aangenomen dat de gegevens in de databank anoniem waren. Pas toen bleek dat de toegepaste versleuteling ongedaan kon worden gemaakt, werd duidelijk dat de gegevens niet anoniem maar pseudoniem waren. Daarmee vielen ze onder het toepassingsbereik van de Wbp.
Daarna constateert de AP dat de NZa sinds begin 2016 per taak beoordeelt of voor een bepaald doel noodzakelijk is dat er medische persoonsgegevens uit de database worden verstrekt. Deze beoordeling vindt plaats aan de hand van een Privacy Impact Assessment (tegenwoordig DPIA genoemd), die, voorzien van een nota van toelichting, wordt voorgelegd aan de functionaris gegevensbescherming (fg) van de NZa. De AP vindt dat zij op basis van deze processen tot de conclusie mag komen dat de verstrekking door de NZa geoorloofd is.
Rechtbank gaat hier in mee en oordeelt, onder meer, dat de AP zich op basis van de bij iedere verstrekking te verrichten PIA-beoordeling, op het standpunt mag stellen dat NZa waarborgt dat er geen overmatig en onbeperkt gebruik gemaakt kan worden van de medische persoonsgegevens. De NZa beoordeelt per verwerking of die verwerking noodzakelijk is en daarbij vindt keer op keer een concrete belangenafweging plaats. Van de NZa mag alleen een belangenafweging verlangd worden aan de hand van beschikbare gegevens. Dit is belangrijk om de Wbp (en nu dus de AVG) praktisch hanteerbaar te houden. De rechtbank vindt dat de NZa het proces zo heeft ingekleed dat per gegevensverstrekking relevante gegevens worden ingewonnen op basis waarvan de NZa een zorgvuldige afweging kan maken of de gegevens noodzakelijk zijn.
Uit het bovenstaande blijkt allereerst dat een DPIA niet alle risico’s hoeft af te dekken. Er moeten relevante gegevens worden gebruikt en op basis daarvan moet een concrete belangenafweging worden gemaakt. Als dat is gebeurd, handelt de partij die de DPIA uitvoert in overeenstemming met de AVG.
Auteur: Thomas van Essen