Over de AVG in de zorg
Theo Hooghiemstra, principal consult bij adviesbureau PBLQ en nauw betrokken bij de totstandkoming van de Algemene Verordening Gegevensbescherming (AVG), schetst dat de ‘oude’ Wet Bescherming Persoonsgegevens’ (WbP) nog niet eens zo heel oud is. ‘Deze dateert uit 1995. Deze wet hield al wel rekening met internet, heel vooruitstrevend, maar nog niet met sociale media als Facebook en ook niet met Google.
‘Bij onomkeerbaar anonimiseren val je niet onder de nieuwe AVG’
Achtergrond AVG
Theo is ook auteur van het gezaghebbende Handboek over de Wet bescherming persoonsgegevens (Wbp), dat één dezer dagen wordt vervangen door het Handboek over de AVG. Hij geeft aan dat als je met een juridische en ethische blik naar praktijkontwikkelingen in relatie tot de huidige wetten kijkt, opvalt dat er steeds meer gezondheidsgegevens buiten de relatie tussen behandelaar en patiënt terecht komen, zoals bij persoonlijke gezondheidsomgevingen (apps en websites). Terwijl de huidige wetten vrijwel allemaal slechts gaan over de behandelrelatie of, zoals de AVG, slechts heel algemeen bescherming bieden, maar bijvoorbeeld geen specifieke bescherming bieden zoals het medisch beroepsgeheim in de zorg ‘Gelet op deze ontwikkelingen zie je dat de wet- en regelgeving aangepast moeten worden’, aldus Theo.
Ontwikkelingen rond ICT en onderscheid privacy & gegevensbescherming
Als voorbeeld illustreert Theo dat in 2006 alle personen door Time Magazine zijn uitgeroepen tot “persoon van het jaar”. ‘Wij werden allemaal door Time Magazine bedankt en geëerd voor de naïeve gedachte dat wij belangeloos onze kennis en gegevens beschikbaar stelden aan de informatiesamenleving en daarmee in staat waren de informatiesamenleving te controleren. Nu, 12 jaar later, kun je je afvragen of wij nu zelf niet meer gecontroleerd worden door social media, zoals bijvoorbeeld Facebook.’
Theo vervolgt dat het bij privacy gaat om het recht op privéleven (woning, correspondentie etc.), terwijl het bij gegevensbescherming gaat om een concept dat rekening houdt met de opkomst van de informatiesamenleving. ’Het gaat bij gegevensbescherming om een structurele bescherming van de informatiesamenleving.’ Hij benadrukt dat het bij ‘het recht op privéleven’ het alleen gaat om de rol van de overheid, terwijl het bij gegevensbescherming daarnaast ook gaat om de rol van bedrijven. ‘Publiek en privaat moeten persoonsgegevens beschermd worden.’
Persoonsgegevens en de verwerking daarvan
Als je in je auto stapt of je loopt door de winkelstraat, overal worden, vaak ongemerkt, persoonsgegevens verwerkt. Theo noemt twee begrippen, namelijk verwerkingsverantwoordelijke en verwerker. ‘Als verwerkingsverantwoordelijke heb je de macht en bepaal je wat er met je gegevens gebeurd. De verwerker voert slechts opdrachten uit voor de verwerkingsverantwoordelijke. Zodra je als verwerker meer wilt of doet dan alleen ‘helpen’ ‘kom je in een ander landschap terecht’, stelt Theo.
Voor de toekomst
Theo doet nog een handreiking naar de aanwezigen door te stellen dat hij wil meegeven als iemand die vaak aan de kant staat van degene die de wet moet interpreteren, bijvoorbeeld rechters, de nuance die gemaakt wordt. ‘Ik wil meegeven dat er een verschil is tussen pseudonimiseren en onomkeerbaar anonimiseren. Bij dat laatste is de AVG niet van toepassing.’
Concreet blijft dan de vraag ‘Wat betekent dit?’ over. Theo concludeert dat je bij onomkeerbaar anonimiseren ‘niet meer terug kan. Dit houdt in dat je dit moet bewijzen door een audit te doorstaan. Je moet laten zien dat je niet meer bij Jantje, Pietje of Klaasje terugkomt. Hierbij gaat het wel on onomkeerbaar anonimiseren. Dit moet je doen als je niet onder de nieuwe AVG wil vallen.’