Post on 29-Jan-2018
BIG DATA FOR
PERSONAL HEALTH
12 April 2016, Zorg2025Sofie van der Meulenwww.axonlawyers.com
#Zorg2025
“I was Patient Zero,” said Lewinsky, now 41, to an auditorium full of 1,000-
plus high-achieving millennials at Forbes’ inaugural 30 Under 30 summit in
Philadelphia. “The first person to have their reputation completely
destroyed worldwide via the Internet.”
https://www.ted.com/talks/monica_lewinsky_the_price_of_shame?languag
e=en
‘(…)…Don't matter if I step on the scene
Or sneak away to the Philippines
They still gon' put pictures of my derriere in the magazine
You want a piece of me?
You want a piece of me’
(Britney Spears – Lyrics ‘Piece of me’)
Vraag het Monica Lewinsky…
Vraag het Britney Spears…
Vraag het Jennifer Lawrence…
Wat is privacy?• Lichamelijke privacy
Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.
• Relationele privacy
Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim.
• Ruimtelijke privacy
Artikel 12 Grondwet: het binnentreden van een woning.
• Informationele privacy
Artikel 8 Handvest van de Grondrechten van de Europese Unie:
‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde
doeleinden en met toestemming van de betrokkene of op basis van een
andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft
recht van inzage in de over hem verzamelde gegevens en op rectificatie
daarvan.’ 6
Artikel 10 Grondwet
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
7
Privacy
• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
In Nederland geïmplementeerd in:
• De Wet bescherming persoonsgegevens (WBP)
De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld.
• Op Europees niveau wordt nu gewerkt aan een Privacyverordening (GDPR).
9
You want a piece of me?
• Privacy policy
Vertel mensen WAAROM (doel) je persoonsgegevens wil verwerken, leg
uit HOE je met de gegevens omgaat en WAT je ermee gaat doen.
• Privacy by design
Maak privacy en beveiliging van persoonsgegevens onderdeel van de
ontwikkeling van de dienst of product.
Wet bescherming persoonsgegevensCentrale begrippen
11
Persoonsgegeven:‘Elk gegeven betreffende een geïdentificeerde of identificeerbarenatuurlijke persoon’ (artikel 1, sub a Wbp)
1. Hoe worden gegevens gebruikt?2. Aard gegevens (kenmerkend?) en mogelijkheden tot
identificatie? Pseudonimiseren? Anonimiseren?
Verwerking van persoonsgegevens:‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)
Big Data & Data Protection - issues
Niet meer data verzamelen dan nodig vs. zoveel verzamelen als mogelijk
• Datasets combineren en op zoek gaan naar patronen en correlaties/
Anonimiseren?
• Volledig anonimiseren is waarschijnlijk onmogelijk-> focus op verkleining risico identificatie Pseudonimiseren = beveiligingsmaatregel. Onder GDPR: persoonsgegevens
Wet bescherming persoonsgegevensCentrale begrippen
13
Verantwoordelijke:‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevensvaststelt’ (artikel 1, sub d Wbp)
Bewerker:‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp)
Betrokkene:‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)
Rechten van de betrokkene
• Recht op inzage (artikel 35 Wbp en WGBO)
• Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp).
• Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.
14
Wet bescherming persoonsgegevensCentrale begrippen
Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’
1. In vrijheid verstrekt?2. Betrekking op specifieke gegevensverwerking
(bepaalbaarheidsvereiste)?3. Beschikt betrokkene over noodzakelijke informatie om tot
oordeel te komen?
Ondubbelzinnige toestemming (artikel 8, sub a Wbp)Bewijslast voor verantwoordelijke:1. Bewijzen dat toestemming is verleend;2. Waarvoor toestemming is verleend.! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!
15
Big Data & Data Protection - issues
Informed consent (toestemming) vs. doelbinding
• Consent: “…any freely given specific and informedindication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed”. Special data? Explicit consent (see article 29 WP Opinion 15/2011).
Is het nieuwe doel verenigbaar met originele doel(en)? Nee? -> aanvullende toestemming vereist, tenzij andere grondslag (behandeling).
Persoonsgegevens betreffende iemands gezondheidPersoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens.
Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp.
Het verbod is niet van toepassing als de verwerking geschiedt door:
• Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en
• de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG)
• Ondubbelzinnige toestemming is gegeven door de betrokkene. 17
Reikwijdte ‘gezondheidsgegevens’?European Court of Justice in Case C-101/01 (Lindqvist):
‘In the light of the purpose of the directive, the expression “data
concerning health” used in Article 8(1) thereof must be given a wide
interpretation so as to include information concerning all aspects,
both physical and mental, of the health of an individual.’
Brief WP29 van 5 februari 2015 data verzameld door mHealth apps: ‘Health data includes:
• Medical data: ‘data about the physical or mental health status of a data subject (…) generated in a professional, medical context
• Health related data used in an administrative context (information to public entities)
• Data about the purchase of medical products and services provided that the health status can be determined’
Persoonsgegevens delen met derden• Buiten EU: passend beschermingsniveau vereist (artikel 76
Wbp)• Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige
toestemming en via een vergunning van de minister van justitie)
Safe Harbor- Zelfcertificering door bedrijven.- Heeft alleen betrekking op de overdracht van de EU naar een
andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker.
- Sinds oktober 2015 ongeldig verklaard! -> Privacy ShieldMeer lezen:
https://www.medzineapp.com/nl/artikel/blogbijdrage-privacyschild-nieuwe-basis-
gegevensoverdracht-eu-vs-door-sofie
https://www.medzineapp.com/nl/artikel/privacy-shield-een-varken-met-lippenstift
19
Smart apps • Opinie van de Groep Gegevensbescherming artikel 29 – WP 202• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing
(artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat)
Gegevensverwerking door apps• Ondubbelzinnige toestemming voor verwerking ontbreekt vaak• Gebrek aan transparantie over de verwerking van
persoonsgegevens• Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde
verwerking)• Maximale gegevensverzameling• Fragmentatie verantwoordelijkheden door groot aantal spelers:
App-ontwikkelaars – privacy by designApp-eigenaarsApp-winkelsFabrikanten van besturingssystemenDerden die betrokken zijn bij verzameling gegevens 21
Smart apps
Welke persoonsgegevens?• Locatie• Contacten• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)• Identiteit betrokkene• Naam telefoon ‘iPhone van Sofie van der Meulen’• Creditcard- en betalingsgegevens• Registeren van gesprekken, sms-berichten of instant messaging• Browsergeschiedenis• E-mail• Inloggegevens voor diensten op internet• Foto’s en video’s• Biometrische informatie (bijv. gezichtsherkenning,
vingerafdrukken)
22
Smart apps – compliance in de praktijk• Toestemming voorafgaand aan installatie en verwerking.
Vrije wilsuiting
Knoppen ‘accepteren’ en ‘weigeren’
NIET: ‘ik ga akkoord’
Specifiek
Mogelijkheid om apart akkoord te gaan met specifieke verwerking per
functie van de app.
NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te
gaan met lange lijst voorwaarden
Geïnformeerd
Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke
rechten voor betrokkene
Doelbinding
Geen tussentijdse wijziging van verwerkingsdoelen zonder
ondubbelzinnige toestemming
23
Rapporten CBP (nu AP)
‘Beveiliging persoonsgegevens onvoldoende’
1. Rapport Okki-app in september 2014 2. Rapport beveiliging netwerk Groene Hart Ziekenhuis3. Rapport Nike+ Running app
www.autoriteitpersoonsgegevens.nl
Privacyverordening (GDPR): striktere regels met een groteimpact op onderzoek!!
Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeulen@axonadvocaten.nl