Terug

De AVG en wearables - Over verwerkersovereenkomsten en dataverwerking
Nicky de Jonge

04 maart 2020

(Laatst aangepast: 08-03-2020)

De AVG en wearables - Over verwerkersovereenkomsten en dataverwerking

Publicaties

Vanuit mijn opleiding tot Klinisch Informaticus heb ik voor mijn eindproject in een ziekenhuis een dashboard ontwikkeld, dat o.a. data gebruikt van wearables. Er is aan de ontwikkeling van het dashboard en vooral aan de aanschaf van de wearables veel onderzoek voorafgegaan. Zoiets als dit was nog niet eerder gedaan in het ziekenhuis, en kaders voor het gebruik van wearables in de zorg ontbraken daarom. Mijn zoektocht leidde me naar de wereld van verwerkers, verwerkingsverantwoordelijken, dataverwerking en de Algemene Verordening Gegevensbescherming (AVG). Ik wil jullie graag meenemen in deze zoektocht naar verwerkersovereenkomsten en de locatie van dataverwerking.

Verwerkersovereenkomsten

Bij de aanschaf van trackers, en andere producten, krijg je tegenwoordig te maken met dataverwerking, waarbij de data persoonsgegevens bevat. De verwerker is de partij die de dataverwerking doet. De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Om afspraken te maken over wie waarvoor verantwoordelijk is, dient volgens de AVG een verwerkersovereenkomst gesloten te worden tussen de verwerker en de verwerkingsverantwoordelijke. 

 

Wanneer een product data via de cloud verzendt, komt deze data vaak eerst op een server terecht van een leverancier. In het geval van trackers gaat dit om persoonsgegevens. De leverancier is in zo’n geval een verwerker. Het ziekenhuis is dan de verwerkingsverantwoordelijke, omdat die het doel en de middelen van de gegevensverwerking bepaalt. Er moet dus een verwerkersovereenkomst afgesloten worden tussen het ziekenhuis en de leverancier. Een verwerkersovereenkomst afsluiten leek mij niet zo ingewikkeld. De praktijk laat helaas zien dat verschillende leveranciers anders over de invulling hiervan denken.

 

Er zijn leveranciers die vinden dat als ze de data anonimiseren op hun eigen servers (is dat überhaupt mogelijk?), ze geen persoonsgegevens verwerken. Echter, de algemeen heersende opinie is dat het vastleggen van twee identificatoren (hier ten minste e-mailadres en geboortedatum) voldoende is om iemand te kunnen identificeren, en dit gebeurt nogal snel met dit soort producten. Voor onze toepassing zou data ook onbruikbaar worden als het anonieme data is. Anoniem kan in dit geval dus niet. Er zijn ook partijen die nog niet nagedacht lijken te hebben over verwerkersovereenkomsten en het bestaan ervan. Zo was er een leverancier die door mijn vragen in rep en roer was, en toen pas een verwerkersovereenkomst op ging stellen. Ik had toch gedacht dat leveranciers van deze regels op de hoogte waren. 

 

Mijn conclusie is dat leveranciers van wearables nog niet altijd op het niveau zijn van wat regelgeving vereist. Mijn tip: ben alert! Als je vanuit je instelling dit soort producten met dataverwerking gaat gebruiken, ben je als instelling verantwoordelijk voor de bescherming van de data, en dus ook voor de juiste contracten. 

Locatie van dataverwerking

Daarnaast is het een vraagstuk in welk land servers van een leverancier staan (ongeacht waar het hoofdkwartier staat, het gaat om de locatie van de servers), en waar je data dus naartoe gaat. De Nederlandse overheid geeft aan dat je als organisatie alleen persoonsgegevens mag doorgeven naar landen met een passend beschermingsniveau. De landen die behoren tot de Europese Economische Ruimte (EER) moeten voldoen aan de AVG, en dat is een passend beschermingsniveau. Er is een lijst met landen die ook een passend beschermingsniveau bieden – en o.a. de Verenigde Staten (VS) staat op de lijst – maar dan moet er voldaan worden aan extra zaken. Voor de VS moet er bijvoorbeeld sprake zijn van een EU-VS privacy shield. Het EU-VS privacy shield is een regeling voor doorgifte van persoonsgegevens vanuit de EU naar de VS. Organisaties in de VS kunnen zich certificeren voor een privacy shield. Ze geven daarmee aan te voldoen aan een passend beschermingsniveau. 

 

Toch is er onduidelijkheid over deze lijst. De zwakke plek bij de EU-VS privacy shield is dat het een zelfcertificeringssysteem is, zonder toezicht door een onafhankelijk orgaan. Daarnaast kan in Nederland de overheid zich alleen toegang tot data verschaffen bij een redelijk vermoeden van schuld, en nadat het door een rechter getoetst is. Dit hoeft in de VS niet. Een ander verschil is dat de VS data onversleuteld op kan vragen, wat zou betekenen dat bedrijven altijd de sleutel tot de onversleutelde data moeten hebben. Dit gaat om de key disclosure law. Elk land heeft hier zijn eigen regels voor. De key disclosure law wordt niet volledig ondervangen door de AVG. Frankrijk is bijvoorbeeld ook een land waar de overheid data ontsleuteld op kan vragen. 

 

Duidelijke regelgeving waarom je data niet in de VS of bij een Amerikaans bedrijf zou mogen plaatsen, is er niet. Als je aan alle bovenstaande regels voldoet, zou het juist wel mogen. Er kwam een medische datamanagement-organisatie in het nieuws, nadat ze patiëntdata bij Google hadden geplaatst. Data bij Google plaatsen zou in lijn kunnen zijn met alle wetgeving, als er o.a. aan extra clausules is voldaan. Ondanks al deze regels is er een hoop sentiment over dataverwerking in de VS, en voelt het voor mensen, waaronder beleidsmakers, gewoon niet oké. Terwijl er ook gaten in de regelgeving zitten bij een land als Frankrijk, waar niemand zich druk om maakt. 

 

Zeker, er zijn genoeg redenen te bedenken waarom data plaatsen in de VS geen goed idee is. Naast eerdergenoemde redenen, worden er bijvoorbeeld in de VS kopieën gemaakt van data van reizigers, maar wordt dit niet altijd verwijderd zoals het hoort. Dit soort zaken maken het vertrouwen richting de VS niet beter. Zelfs als alles volgens de regels gaat, en er vindt alsnog een lek plaats in de VS, zal de perceptie voor deze keuze bij het publiek en de media negatief zijn, omdat het om de VS gaat.

Mijn conclusie is dat de interpretatie van de regels verschillen. En er geen eenduidige regelgeving of beleid is. Ik denk dat hier via landelijke organen duidelijkheid over moet komen, zodat niet iedereen het wiel opnieuw hoeft uit te vinden. Tot die tijd denk ik dat het belangrijk is dat een ziekenhuis of instelling zelf kaders moet stellen en hier een weloverwogen standpunt over in moet nemen. Nieuwe initiatieven in instellingen kunnen dan voldoen aan deze kaders, zonder telkens in de onduidelijke regelgeving verstrikt te hoeven raken.

Toon alle referenties

Auteur