Data lake, data leek of datalek?

GENERAL DATA PROTECTION REGULATION, DE WETGEVER KIJKT MEE

Internationale organisaties spreken vaak over de GDPR maar in de Nederlandse wetgeving wordt gesproken over de AVG: de Algemene Verordening Gegevensbescherming. Hoewel we ons steeds bewuster worden van de kansen van het combineren van data -denk bijvoorbeeld aan onderzoeken of aan hergebruik van data uit het EPD voor de optimalisatie en voor het verbeteren van de kwaliteit van de zorg- gaan we door de wetgeving juist voorzichtiger om met data. Gegevens delen lijkt een taboe te worden. Wat is er zo lastig aan privacywetgeving?

Ten eerste gelden in de zorg meerdere wetten. Deze stapeling maakt het soms lastig om te bepalen wat er wel of niet mag. Het uitgangspunt is dat de strengste bepaling geldig is, maar je moet dus wel weten welke wetten van toepassing zijn op een bepaalde gegevensset of voor een bepaald domein. Daarnaast is er met de AVG wel wat veranderd. Zo is er een duidelijk onderscheid ontstaan tussen de ‘verantwoordelijke’ en de ‘verwerker’. De verantwoordelijke moet toetsen of (her) gebruik van persoonsgegevens in lijn is met de initiële grondslagen voor het gebruik. Ook moet hij, wanneer een verwerker met de gegevens aan de slag gaat, regie houden. Met name in complexe innovatieve technische verwerkingen is het maar de vraag of een verwerker dan niet toch aan te merken valt als verantwoordelijke.

 

Per situatie moet dus goed ingeschat worden wie de regie heeft en waar de verantwoordelijkheden voor de verwerking van die data thuis horen. Hoewel de AVG verder bouwt op bestaande wetgeving, en dus grotendeels bestaande regelgeving is, heeft de invoering van de AVG voor veel aandacht gezorgd. Niet alleen de wetgever maar ook medewerker en patiënt zijn zich er meer van bewust dat er spelregels zijn. Deze laatste twee weten vaak niet van de hoed en de rand, wat juist leidt tot meer vragen en wantrouwen. Daarom zal er binnen organisaties meer aandacht moeten worden besteed aan bijvoorbeeld de grondslagen voor verwerking, de manier van pseudonimiseren of bijvoorbeeld voor het proces rond datalekken. Wanneer ben je bijvoorbeeld verplicht om de persoon van wie de gegevens zijn ook in te lichten bij een datalek?

Het is belangrijk om te begrijpen hoe persoonsgegevens beschermd moeten worden, maar moeten we er niet voor waken dat de AVG innovatie remt? De wereld van app’s en Big Data is soms een opportunistische omgeving waarin het belang van de persoon achter de persoonsgegevens het weleens aflegt. Ook op het terrein van onderzoek wringt het soms. Waar de onderzoeker vooral last lijkt te hebben van de AVG, zorgt het voor een meer gelijk speelveld voor onderzoeker en onderzochte. Met de AVG hebben veel organisaties het huiswerk om nog eens kritisch te kijken naar hun data-vraagstukken.
Dit leidt tot een beter onderling begrip tussen alle betrokkenen in de keten, tot betere gegevensbescherming en tot zo min mogelijk remming op innovatie.