Privacy: een maatschappelijk belang dat individuele betrokkenheid overstijgt

Patiënten krijgen meer zeggenschap over hun eigen gegevens. Zo wil de minister van VWS dat alle patiënten vanaf juni 2020 informatie over hun gezondheid via een portaal kunnen verkrijgen. Door deze gegevens te koppelen aan voedings- en fitheidsgegevens ontstaan heel interessante mogelijkheden voor onderzoek. Dit gebeurt bijvoorbeeld al in het geval van mensen met bepaalde vormen van diabetes. Door koppeling van gegevens over hun fitheid aan algemene gezondheidsgegevens ontstaat inzicht in hoe gerichte leefstijlinterventies bijdragen aan verbetering van hun gezondheid.

Het is duidelijk dat dit raakt aan de privacy. Het gaat om gezondheidsgegevens, en dit zijn gevoelige gegevens. Volgens de Algemene Verordening Gegevensbescherming mogen die niet verwerkt worden, tenzij er een uitzonderingsgrond is. Een mogelijke uitzonderingsgrond is de toestemming van de patiënt. Als de patiënt goed geïnformeerd is, en de toestemming geheel vrij kan geven, is dit een toegestane grond. Maar hier zit een probleem. De Europese privacytoezichthouders hebben begin dit jaar aangegeven dat toestemming juist niet zonder meer als grondslag bij klinisch en medisch-wetenschappelijk onderzoek gebruikt moet worden. De groep betwijfelt of toestemming wel vrijelijk gegeven kan worden. Mensen hebben immers een belang bij de verwerking. Met andere woorden: ze moeten wel. Wel zijn andere grondslagen mogelijk, zoals het publiek belang dat met het onderzoek wordt nagestreefd.

Is dat slecht nieuws voor de privacy van mensen? Integendeel. Ik wil betogen dat er minstens drie gronden zijn om deze benadering te omarmen.

Privacy blijft gegarandeerd

Ten eerste, het feit dat een andere grondslag dan toestemming nodig is, wil niet zeggen dat daarmee de privacy niet meer gegarandeerd is. Iedere betrokkene kan nog steeds alle rechten uit de AVG en andere van toepassing zijnde wetten (WGBO, WMO) laten gelden. Bedenk daarbij ook dat er een groot verschil bestaat tussen de toestemming die een patiënt geeft aan een zorgverlener om behandeld te worden en de toestemming die een betrokkene geeft voor de verwerking van zijn of haar gegevens.

Het genetisch profiel van mijn vader vertelt veel over mij; als zijn genetische gegevens bekend zijn, zijn mijn gegevens dat ook.

Jouw gegevens hebben niet alleen betrekking op jezelf

Ten tweede, en hiermee samenhangend, de privacy van een individu is niet alleen een kwestie van de betrokkene zelf, maar ook van anderen die dichtbij de betrokkene staan. Het genetisch profiel van mijn vader vertelt veel over mij; als zijn genetische gegevens bekend zijn, zijn mijn gegevens dat ook. Een ander voorbeeld dat de relationele kant van privacy duidelijk maakt, zijn de patiënten die zich groeperen rond een ziektebeeld. Het bekendste voorbeeld is “Patients like me” , uit de VS.  Patiënten met een zelfde ziektebeeld (aanvankelijk beperkt tot ALS, later verbreed) hebben zich daar verenigd en hebben gezamenlijk afspraken gemaakt op welke wijze hun gezondheidsgegevens door derden benut kunnen worden. Daarmee is ook hun privacy een gemeenschappelijk belang geworden, dat de individueel te geven toestemming overstijgt.

Ondersteuning door goed georganiseerde samenleving

Ten derde, de ‘traditionele’ benadering van privacy is gericht op de autonomie van het individu. Dat is op zich een goede zaak, laat dat duidelijk zijn. Tegelijkertijd zijn veel maatschappelijke praktijken veel te ingewikkeld om door een willekeurig individu volledig doorgrond te worden. Een goed voorbeeld is de voedselindustrie. Ik vertrouw in de regel op controles en keurmerken rond de veiligheid van voedsel. Iets soortgelijks geldt voor de verwerking van gegevens. Ik kan alleen autonoom handelen als ik ondersteund word door een goed georganiseerde samenleving. De AVG geeft daar een goede aanzet toe. Waar verder aan gewerkt moet worden, is een  doordacht systeem van beveiliging, toegangsbeheer, transparantie én controle, met een goede achterliggende risicoanalyse – ook op ethische vraagstukken.

De betrokkenheid van individuen, en de medezeggenschap over wat wel en wat niet gepast is in die verwerking, is van belang om tot een goed werkend systeem van gegevensverwerking te komen.

Samenvattend: het is goed dat we de discussie over de bescherming van individuen met betrekking tot de verwerking van hun gegevens breder trekken dan de veronderstelling dat toestemming van de betrokkene in alle gevallen noodzakelijk is om gegevens te kunnen verwerken. Dat wil niet zeggen dat die betrokkene geen rol meer zou moeten spelen. Integendeel. We staan immers nog ver af van een goede organisatorische en institutionele inbedding van een verantwoorde omgang met persoonsgegevens. Daarnaast is de betrokkenheid van individuen, en de medezeggenschap over wat wel en wat niet gepast is in die verwerking, van belang om tot een goed werkend systeem van gegevensverwerking te komen. Dat geldt zeker voor de gezondheidszorg. Manieren om deze zaken te verenigen in benaderingen die de privacy en de gezondheidszorg ten goede komen, zijn in ontwikkeling. Daar werkt ook TNO aan. Maar daar is nog wel een lange weg te gaan.



Marc van Lieshout is Managing Director bij iHub op de Radboud Universiteit en senior onderzoeker bij TNO. Hij staat op 8 oktober op het podium van NRC Live Toekomst van de Zorfprofessional.