Handreiking privacybescherming epidemiologie
advertisement
VERENIGING VOOR GGD'EN V Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacygevoelige gegevens door de GGD Beter voorkomen Kwaliteitsprogramma preventie Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacygevoelige gegevens door de GGD September 2007 Het landelijke kwaliteitsprogramma Beter voorkomen wordt uitgevoerd door GGD Nederland, de VNG en ActiZ, organisatie van zorgondernemers, in opdracht van het ministerie van VWS en onder regie van ZonMw. Colofon © GGD Nederland, september 2007 Handreiking privacybescherming epidemiologie De implicaties van de wet- en regelgeving bij epidemiologisch onderzoek met privacy gevoelige gegevens door de GGD. Auteur: Mw. mr. L.F. Markenstein, KNMG, uitgevoerd in opdracht van GGD Nederland Eindredactie: Communicatie GGD Nederland Inhoudsopgave 1. 2. Inleiding 2 1.1. Achtergrond en vraagstelling 2 1.2. Opzet 3 1.3. Verantwoording werkwijze 3 Overzicht in een notendop 4 2.1. Eerste oriëntatie op het wettelijk kader 4 2.2. Vuistregels voor de praktijk 5 2.3. Belangrijkste vraagpunten op een rij 6 2.4. Relevante knelpunten en discussiepunten op een rij 11 3. Stroomschema met toelichting 14 4. Specifieke aandachtspunten bij diverse vormen van onderzoek met gezondheidsgegevens 18 4.1. Vragenlijstonderzoek 4.2. Verzameling van extra gegevens voor onderzoeksdoeleinden tijdens hulpverleningscontacten van de GGD 4.3. 4.5. 4.6. Gegevensverzameling voor effectmeting en/of kwaliteitverbetering van 24 Gegevensverzameling in longitudinaal onderzoek 24 Hergebruik van een combinatie van persoonsgegevens en lichaamsmateriaal voor 25 Presentatie en toelichting regels voor privacybescherming bij onderzoek met gezondheidsgegevens 6. 23 (GVO)-interventies onderzoeksdoeleinden 5. 21 Gebruik voor onderzoeksdoeleinden van gegevens die voor andere (behandelings)doeleinden zijn vastgelegd 4.4. 18 26 5.1. Onderzoek met anonieme gegevens 26 5.2. Onderzoek met persoonsgegevens 28 Overige aspecten 40 6.1. Overige rechten van betrokkene 40 6.2. Bewaring van persoonsgegevens gebruikt in het onderzoek 40 Handreiking privacybescherming epidemiologie, september 2007 1 1. Inleiding 1.1. Achtergrond en vraagstelling Het verwerven van, op epidemiologische analyse gebaseerd, inzicht in de gezondheidssituatie van de bevolking is één van de gemeentelijke taken die in de Wet collectieve preventie volksgezondheid (Wcpv) worden benoemd. Artikel 2, lid 2 onder a Wcpv geeft aan dat dit betekent dat in ieder geval eenmaal per vier jaar op ‘landelijk gelijkvormige wijze’ gegevens worden verzameld en geanalyseerd voor het opstellen van een nota gemeentelijk gezondheidsbeleid door de gemeente. Ook bij de specifieke in de Wcpv benoemde taken heeft het verzamelen en analyseren van gegevens over de gezondheidssituatie van (groepen in) de bevolking een belangrijke functie. De uitvoering van dergelijke taken berust veelal bij de GGD’en. De gegevensverzameling en –analyse moet vanzelfsprekend aan bepaalde methodologische vereisten voldoen. Ook moet bij het verzamelen, gebruiken en bewaren van persoonsgegevens rekening worden gehouden met eisen voor de bescherming van de persoonlijke levenssfeer van betrokkenen. Het niveau van de eisen voor privacybescherming neemt toe als het gaat om bijzondere, gevoelige persoonsgegevens, bijvoorbeeld ‘persoonsgegevens betreffende iemands gezondheid’. Bij het uitvoeren van de Wcpv-taken door GGD’en is vaak sprake van verzameling en gebruik van zulke privacygevoelige gezondheidsgegevens. Soms is ook sprake van de verzameling van andersoortige bijzondere persoonsgegevens, bijvoorbeeld gegevens omtrent iemands godsdienst, levensovertuiging, ras of seksuele leven. Ook daarbij is bijzondere zorgvuldigheid vereist. In de praktijk kunnen diverse vragen en knelpunten rijzen bij de toepassing van privacywetgeving en gedragscodes op door GGD’en uitgevoerd onderzoek met gezondheidsgegevens. GGD Nederland heeft het beleidsbureau van de KNMG opdracht verleend om te verhelderen welke vereisten in welke situaties gelden. Doel hiervan is dat GGD’en zoveel mogelijk op eenduidige en adequate wijze met het vraagstuk van privacybescherming omgaan. Doel van deze handreiking is: - Een voor de praktijk handzame presentatie en toelichting geven van de vereisten ter bescherming van de persoonlijke levenssfeer die van toepassing zijn op het door GGD’en verzamelen, gebruiken en bewaren van gezondheidsgegevens voor onderzoeksdoeleinden. - Handvatten bieden voor het omgaan met mogelijke interpretatievragen en/of tips geven voor het vermijden van dergelijke dilemma’s. Er is altijd in bepaalde mate sprake van een spanningsveld bij het verrichten van onderzoek met gezondheidsgegevens met de noodzakelijke bescherming van de persoonlijke levenssfeer van betrokkenen. Onderzoek met persoonsgegevens zoals uitgevoerd door GGD’en hoeft echter niet op onoverkomelijke juridische barrières te stuiten. De wetgever biedt in principe voldoende ruimte voor zinvol onderzoek met gebruik van persoonsgegevens. Handreiking privacybescherming epidemiologie, september 2007 2 1.2. Opzet In de praktijk van de GGD komen diverse vormen van onderzoek met gezondheidsgegevens voor. Bij het gebruik van gezondheidsgegevens voor onderzoeksdoeleinden is het van belang om onderscheid te maken in: • Gaat het om verzameling van nieuwe gegevens (primair gebruik) of om onderzoek met bestaande gegevens (secundair gebruik)? • Gaat het om onderzoek met anonieme gegevens of met persoonsgegevens? • Als het gaat om onderzoek met persoonsgegevens: betreft het persoonsgegevens waarop wel of geen beroepsgeheim rust? Deze verschillen hebben consequenties voor de op het onderzoek toepasselijke bepalingen en voor de aard en omvang van de bij het onderzoek in acht te nemen privacyvereisten. Deze handreiking is opgebouwd in drie lagen. Allereerst (hoofdstuk 2) wordt een overzicht ‘in een notendop’ aangereikt met vuistregels voor privacybescherming in de praktijk, een eerste oriëntatie op het wettelijk kader, antwoorden op de meest gestelde vragen en een identificatie van mogelijke knelpunten. In het tweede deel (hoofdstuk 3 en 4) wordt aan de hand van een stroomschema met toelichting dieper ingegaan op de (wettelijke) vereisten en worden de verschillende vormen van onderzoek zoals die door GGD’en worden uitgevoerd en daarbij spelende specifieke aandachtspunten besproken. Tot slot (hoofdstuk 5 en 6) wordt – ter verdieping van kennis over inhoud en samenhang van wetgeving en gedragscodes – een geclusterde presentatie van en toelichting op de (wettelijke) regelingen gegeven. 1.3. Verantwoording werkwijze Voor het opstellen van deze handreiking is de relevante wetgeving en zelfregulering (gedragscodes) bestudeerd en geanalyseerd. Daarnaast is – recente – Nederlandse literatuur over gezondheidsonderzoek met persoonsgegevens onderzocht op knelpunten bij de interpretatie en toepassing van die regelingen en op mogelijke oplossingen. Voor zover er verschil van interpretatie over bepaalde punten mogelijk is, is aansluiting gezocht bij de meeste gezaghebbende opvattingen. In deze handreiking wordt geen nieuwe interpretatie van en/of uitwerking aan de bestaande vereisten gegeven. Discussies over eventuele aanpassing van wetgeving zijn buiten beschouwing gelaten. De themamiddag privacy in 2005 en de discussiebijeenkomsten bij alle regionale platforms epidemiologie in de zomer van 2007 zijn gebruikt als indicatie voor de aard en omvang van de vragen en knelpunten die in de praktijk rijzen bij de opzet en uitvoering van GGD-onderzoek. Die vragen zijn zoveel mogelijk gestructureerd (welke vragen rijzen bij en/of zijn relevant bij welk type onderzoek?) en van een zo specifiek mogelijk antwoord voorzien. Bij het opstellen van de handreiking is – dankbaar – gebruik gemaakt van de ervaring en inzichten van de leden van de klankbordgroep Epidemiologie van GGD Nederland op het gebied van uitvoering van onderzoek met persoonsgegevens. De verantwoordelijkheid voor de juridische analyses berust uitsluitend bij de opsteller van deze handreiking, mr. L.F. Markenstein, adviseur Gezondheidsrecht bij de KNMG. Handreiking privacybescherming epidemiologie, september 2007 3 2. Overzicht in een notendop In dit deel van de handreiking wordt een overzicht ‘in een notendop’ aangereikt in de vorm van een eerste oriëntatie op het wettelijk kader, vuistregels voor privacybescherming in de praktijk, antwoorden op de meest gestelde vragen en een identificatie van mogelijke knelpunten en oplossingsrichtingen. In de volgende delen van de handreiking wordt een en ander verder uitgediept. 2.1. Eerste oriëntatie op het wettelijk kader I. De Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) zijn alleen van toepassing als het gaat om gebruik van persoonsgegevens. Als het gaat om gebruik van anonieme gegevens zijn deze wetten niet van toepassing. Aan het gebruik van anonieme gegevens zijn geen (wettelijke) voorwaarden verbonden. II. De Wbp geeft regels voor alle vormen van verwerking van persoonsgegevens. Verzameling en gebruik van persoonsgegevens voor onderzoeksdoeleinden is een van de mogelijke gebruiksdoelen van de Wbp. De algemene bepalingen van de Wbp zijn van toepassing op gebruik van persoonsgegevens voor onderzoek. Voor het verwerken van ‘bijzondere gegevens’ (waaronder gegevens over iemands gezondheid) geldt in de Wpb een ‘neen, tenzij’-regeling. Als van dergelijke gegevens gebruik wordt gemaakt, dan moeten bijzondere bepalingen worden nageleefd (artikel 16-23 Wbp). In de Wbp is het belang van gebruik van persoonsgegevens voor wetenschappelijk onderzoek en statistiek onderkend. In bepaalde omstandigheden mag dit zonder toestemming van betrokkenen, mits aan een aantal voorwaarden wordt voldaan. Daarnaast kent de Wbp mogelijkheden voor (her)-gebruik van gegevens die voor andere doeleinden zijn verzameld dan voor wetenschappelijk onderzoek. Persoonsgegevens mogen langer worden bewaard voor wetenschappelijk onderzoek dan voor andere gebruiksdoelen. III. Het vertrekpunt van de Wgbo is niet de verwerking van gegevens, maar het beroepsgeheim van de hulpverlener. Dat beroepsgeheim rust op alle gegevens die door de hulpverlener in het kader van de behandelrelatie worden verzameld en vastgelegd. Voor verwerking van die gegevens door anderen dan de hulpverlener bijvoorbeeld voor onderzoeksdoeleinden is toestemming van de patiënt vereist (artikel 457 Wgbo). Ook de Wgbo kent de mogelijkheid om in bepaalde situaties op dit toestemmingsvereiste een uitzondering te maken voor het gebruik van persoonsgegevens voor wetenschappelijk onderzoek en statistiek (artikel 458). IV. Er is dus geen sprake van een aparte wettelijke regeling die specifiek toegesneden is op het gebruik van persoonsgegevens voor onderzoeksdoeleinden. Wel zijn er door representatieve organisaties specifieke gedragscodes tot stand gebracht over gebruik van persoonsgegevens voor onderzoeksdoeleinden. In die gedragscodes wordt een nadere uitwerking gegeven aan de in wetgeving neergelegde zorgvuldigheidsvereisten. Handreiking privacybescherming epidemiologie, september 2007 4 Van belang zijn met name de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek en de Gedragscode Gezondheidsonderzoek (van toepassing bij gebruik van gegevens waarop een beroepsgeheim rust). Beide zijn door het College Bescherming Persoonsgegevens als een goede uitwerking van de vereisten van de Wbp aangemerkt. 2.2. Vuistregels voor de praktijk I. Overweeg de mogelijkheden om het onderzoek met anonieme gegevens te verrichten; dit houdt in dat bij het verkrijgen van gegevens al wordt afgezien van het verzamelen van gegevens waarmee (directe of indirecte) herleiding tot de individuele persoon mogelijk is. Ga uit van een realistisch beeld van de mogelijkheden en onmogelijkheden om in de praktijk van GGD-onderzoek met niet herleidbare gegevens te werken. Als redelijkerwijs twijfel kan bestaan over het niet herleidbare karakter van gegevens, neem dan de regels die gelden voor verwerking van persoonsgegevens als uitgangspunt. II. Als bij onderzoek gebruik wordt gemaakt van persoonsgegevens, omdat niet kan worden volstaan met gebruik van anonieme gegevens, moet op ‘behoorlijke’ wijze vorm worden gegeven aan het verkrijgen van toestemming van betrokkenen voor het gebruik van hun gegevens. III. Als om onderzoekstechnische of praktische redenen geen toestemming kan worden verworven van betrokkenen voor het gebruik van hun persoonsgegevens, dan dienen de wettelijke kaders voor het zonder toestemming mogen gebruiken van gegevens te worden gerespecteerd. IV. Omdat het in het verloop van I t/m III gaat om steeds verdergaande inbreuken op de privacyrechten van betrokkenen, moet er steeds een deugdelijke onderbouwing van de noodzaak aanwezig zijn. V. Betracht zorgvuldigheid bij het verzamelen, bewaren en gebruiken van gegevens. Verzamel niet meer persoonsgegevens dan strikt noodzakelijk is voor het onderzoek. Gebruik voor onderzoek verkregen persoonsgegevens uitsluitend voor onderzoek. Bij langere bewaring van persoonsgegevens dan voor het onderzoek noodzakelijk is, moeten de wettelijke vereisten in acht worden genomen. VI. Neem alle maatregelen die nodig zijn om de gegevens afdoende te beveiligen tegen verlies, aantasting, onbevoegde kennisneming, wijziging, herleiding of verstrekking. Zie ook toe op strikte naleving van de vereisten door al degenen die aan het onderzoek meewerken. VII. Stel voor elk onderzoek een onderzoeksprotocol op. Daarin is in ieder geval opgenomen: de naam of namen van de verantwoordelijke onderzoeker(-s); de doelstelling, vraagstelling, methoden en tijdsduur van het onderzoek; de categorie personen over wie gegevens voor het onderzoek worden gebruikt; de eventuele reden waarom geen anonieme gegevens worden gebruikt; een beschrijving van de voorzieningen ter beveiliging van de gegevens; de wijze waarop de resultaten van het onderzoek worden gepubliceerd. VIII. Houdt rekening met de meldingsplicht voor gegevensverwerking zoals neergelegd in artikel 27 Wbp. Handreiking privacybescherming epidemiologie, september 2007 5 2.3. Belangrijkste vraagpunten op een rij • Wanneer kan gesproken worden van anonieme gegevens? • Hoe moet vorm worden gegeven aan het toestemmingsvereiste, in het bijzonder bij minderjarige en wilsonbekwame deelnemers aan het onderzoek? • Wat zijn mogelijkheden om bij GGD-onderzoek zonder toestemming persoonsgegevens voor onderzoek te gebruiken? • Wanneer moet bij vragenlijstonderzoek rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen Wmom)? • Hoe zit het met de meldingsplicht bij gegevensverwerking voor onderzoeksdoeleinden? • Hoe verhouden de verantwoordelijkheden van de GGD als organisatie zich tot de verantwoordelijkheden van de (individuele) onderzoeker? Wanneer kan gesproken worden van anonieme gegevens? Van anonieme gegevens is sprake als ‘herleiding tot de individuele persoon niet of slechts met onevenredige tijd of inspanning mogelijk is’. Dit criterium is aan de Wbp te ontlenen. Of aan dit criterium wordt voldaan hangt in belangrijke mate ook af van de omstandigheden in de concrete praktijksituatie. Terughoudendheid is geboden in die zin dat niet te snel geconcludeerd mag worden dat er sprake is van anonieme gegevens. Ook zonder NAW-gegevens kan er sprake zijn van – directe of indirecte – herleidbaarheid van gegevens. Bijvoorbeeld doordat een combinatie van de wel verzamelde gegevens tot specifieke personen te herleiden is en/of doordat koppeling of vergelijking met andere beschikbare gegevens mogelijk is. Uitgangspunten • In termen van de Wbp moet bij alle stappen in de verwerking van gegevens, dus reeds bij de verzameling, sprake zijn van niet-herleidbaarheid. • Het anonimiseren van gegevens vraagt meer dan het weglaten en/of verwijderen van NAWgegevens. • In algemene zin moet er rekening mee worden gehouden dat het risico van indirect herleidbaarheid toeneemt naarmate de onderzoekspopulatie kleiner is en eenvoudig te lokaliseren (klas, wijk, postcodegebied) terwijl het aantal verzamelde kenmerken van de deelnemers groter of in combinatie met elkaar specifieker is (geslacht, leeftijd, aandoening). • Er is uitsluitend sprake van verwerking (verzameling en gebruik) van anonieme gegevens voor onderzoek als de onderzoeker en/of diens medewerkers op geen enkel moment beschikt hebben over de mogelijkheid om de gegevens tot de persoon te herleiden. Ook als bijvoorbeeld na de initiële gegevensverzameling de gegevens worden ontdaan van alle identificerende kenmerken, dan kan niet gesproken worden van anonieme gegevensverwerking. • Er is ook geen sprake van gebruik van anonieme gegevens als er een bestand met onderzoeksgegevens en een apart bestand met communicatiegegevens is, maar de verbinding tussen die twee bestanden door de onderzoeker gelegd kan worden. Handreiking privacybescherming epidemiologie, september 2007 6 • Gecodeerde gegevens blijven in principe via de sleutel van de code herleidbaar tot de individuele persoon. Pas als er sluitende afspraken zijn gemaakt waardoor gegarandeerd wordt dat de onderzoeker niet over de sleutel kan beschikken, dan mogen gecodeerde gegevens ingedeeld worden in de categorie anonieme gegevens. • Bij uitbesteding van de gegevensverzameling aan externe bureaus is geen sprake van ‘nietherleidbaarheid’ als het bureau zowel de onderzoeksgegevens als de communicatiegegevens ontvangt. Om van niet-herleidbare verwerking te kunnen spreken moet worden voorzien in een strikte scheiding tussen degene die over de onderzoeksgegevens kan beschikken en degene die over de identificerende gegevens (en de sleutel tot de codering) kan beschikken. Een verdeling over verschillende afdelingen, bijvoorbeeld binnen de GGD, komt niet tegemoet aan het vereiste beschermingsniveau. Hoe moet vorm worden gegeven aan het toestemmingsvereiste, in het bijzonder bij minderjarige en wilsonbekwame deelnemers aan het onderzoek? Op grond van de Wbp moet de toestemming voor verwerking van bijzondere persoonsgegevens ondubbelzinnig zijn. Schriftelijke toestemming is niet vereist. De Wbp kent voor minderjarigen tot 16 jaar een regeling voor vertegenwoordiging door de ouders. Die moeten ondubbelzinnig toestemming geven voor gegevensverwerking. Bij meerderjarige wilsonbekwamen die onder curatele of mentorschap staan moet de ondubbelzinnige toestemming voor gegevensverwerking worden verkregen van die vertegenwoordigers. De kring van meerderjarige wilsonbekwamen is in de Wgbo ruimer omschreven (degene die niet in staat is tot een redelijke waardering van zijn belangen ter zake) dan in de Wbp (degene die onder mentorschap of curatele staat). Tegelijkertijd voorziet de Wgbo ook in een ruimere kring van vertegenwoordigers (partners en overige familie) bij wie in voorkomende gevallen toestemming voor gegevensverwerking verkregen kan worden. Uitgangspunten • Toestemming is ondubbelzinnig als dat expliciet gevraagd en gegeven wordt. Toestemming mag ook worden afgeleid uit gedrag als dat gedrag maar voor één uitleg vatbaar is. Het door deelnemers nalaten van bepaald gedrag (bijvoorbeeld het niet maken van bezwaar) kan niet als ondubbelzinnige toestemming worden aangemerkt, omdat daarbij al snel sprake is van mogelijke dubbelzinnigheden. Snapten deelnemers wel dat van hen een bepaalde actie werd verlangd? Heeft de relevante informatie hen wel bereikt? Konden zij wel overzien wat de consequenties van het nalaten van die actie zijn? • Voorafgaand aan het verkrijgen van toestemming moeten de deelnemers zo volledig mogelijk worden geïnformeerd over het voorgenomen gebruik van hun persoonsgegevens. De informatie moet afgestemd zijn op de betrokkene en alle aspecten betreffen die betrokkene redelijkerwijs nodig heeft voor de oordeelsvorming. Tenminste moet worden aangeven waarom voor het onderzoek persoonsgegevens van betrokkene noodzakelijk zijn, het doel van het onderzoek, het belang ervan en de eventuele gevolgen voor betrokkene. • Een eenmaal gegeven toestemming kan altijd worden ingetrokken. Voor zover mogelijk worden dan de gegevens van betrokkene uit het onderzoeksbestand verwijderd. Indien dat niet mogelijk is, dan worden zij tenminste volledig geanonimiseerd. Handreiking privacybescherming epidemiologie, september 2007 7 • Het verkrijgen van de vereiste toestemming van vertegenwoordigers (van minderjarigen en/of meerderjarige wilsonbekwamen) kan in de praktijk soms moeilijk zijn. In bijzondere omstandigheden kan zonder toestemming van de wettelijk vertegenwoordiger voor onderzoek gebruik worden gemaakt van gegevens met een beroep op artikel 23 lid 2 Wbp of artikel 458 Wgbo (als het gaat om gegevens waarop een beroepsgeheim rust). Een en ander vereist een goede onderbouwing (zie volgende vraag). Wat zijn de mogelijkheden om bij GGD-onderzoek zonder toestemming persoonsgegevens voor onderzoek te gebruiken? De Wbp biedt in artikel 23 lid 2 ruimte om bijzondere persoonsgegevens zonder toestemming te gebruiken voor onderzoek dat een algemeen belang dient. En de Wgbo biedt in artikel 458 ruimte om gegevens waarop een beroepsgeheim rust zonder toestemming te gebruiken voor wetenschappelijk onderzoek op het gebied van de volksgezondheid. Daarnaast biedt artikel 457 Wgbo de hulpverlener ruimte voor onderzoek met ‘eigen’ patiëntgegevens die in het kader van de behandelrelatie zijn verzameld. Uitgangspunten • De kwalificatie dat de hulpverlener ‘eigen onderzoek met eigen gegevens’ doet is maar op een beperkt aantal situaties van toepassing. Binnen een organisatie of afdeling gaat het dan uitsluitend om die hulpverleners die behandelcontacten met de cliënt hebben gehad en gegevens hebben vastgelegd. Collega’s binnen of buiten de afdeling die dat contact niet hebben gehad moeten worden beschouwd als ‘derden’ die niet onder deze uitzondering vallen. • De uitzonderingsbepaling in de Wbp en in de Wgbo zien op situaties waarin het vragen van toestemming om onderzoekstechnische of praktische redenen niet mogelijk is, terwijl het onderzoek een algemeen belang dient. Het is van belang dat de redenen waarom geen toestemming kan worden gevraagd in het onderzoeksprotocol gespecificeerd en onderbouwd worden. Voor de dimensie van het algemeen belang kan worden verwezen naar de Wcpv-taak van de GGD. • Beide bepalingen spreken van ‘wetenschappelijk onderzoek’. Bij onderzoek door GGD’en is niet altijd sprake van wetenschappelijk onderzoek in de strikte zin van het verwerven van nieuwe wetenschappelijke kennis of inzichten. Soms is meer sprake van een ‘beleidsondersteunende’ doelstelling bij het onderzoek. Maar vrijwel altijd zal worden voldaan aan het criterium dat het doel van het onderzoek is gelegen in de sfeer van bevordering of bescherming van de volksgezondheid en dat er een redelijke mate van waarschijnlijkheid is dat een groep van enige omvang daarbij een aanzienlijk voordeel kan hebben. Van belang daarbij is dat uit het onderzoeksprotocol blijkt dat het onderzoek naar wetenschappelijke maatstaven zinvol en deugdelijk is. Handreiking privacybescherming epidemiologie, september 2007 8 • Beide bepalingen vragen om voorzieningen om te waarborgen dat de persoonlijke levenssfeer van betrokkene niet onevenredig wordt geschaad. En in artikel 457 lid 1 onder b wordt verlangd dat gezorgd wordt dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen. Bij dit laatste wordt gedacht aan codering van gegevens waarbij de sleutel tot herleiding van de gecodeerde gegevens niet bij de onderzoeker komt te rusten. • Artikel 458 Wgbo stelt ook als voorwaarde dat de patiënt geen bezwaar heeft gemaakt tegen gebruik zonder toestemming van gegevens voor wetenschappelijk onderzoek. Het is de verantwoordelijkheid van de hulpverlener om aan die bezwaarmogelijkheid en de daarvoor noodzakelijke informatie aan patiënten vorm te geven. • Als het gaat om (her)-gebruik van gegevens waarop een beroepsgeheim rust wordt in de Gedragscode Gezondheidsonderzoek toetsing door een METC aanbevolen. • Het opstellen van een gedragscode waarin de redenen om af te zien van het vragen van expliciete toestemming bij bepaalde typen onderzoek (bijvoorbeeld van wettelijk vertegenwoordigers voor e-movo) worden gespecificeerd is aan te bevelen. Zo’n gedragscode kan ter advisering en/of toetsing aan het CBP worden voorgelegd. Wanneer moet bij vragenlijstonderzoek rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen? De Wet medisch-wetenschappelijk onderzoek met mensen (Wmom) biedt bescherming tegen onverantwoorde risico’s voor deelnemers aan medisch-wetenschappelijk onderzoek. Vragenlijstonderzoek (verzamelen van gegevens via vragenlijst, enquête of interview) valt alleen onder de reikwijdte van de Wmom als er een wetenschappelijke doelstelling is en sprake is van het in een zodanige frequentie afnemen van vragenlijsten dat daardoor sprake is van het opleggen van een gedragswijze aan betrokkenen. Bij vragenlijstonderzoek door GGD’en is dit meestal niet aan de orde. Ook bij eenmalig vragenlijstonderzoek kunnen er risico’s voor de deelnemers aan beantwoording vastzitten. Met name als het gaat om psychisch belastende vragen. Dan is extra zorgvuldigheid gepast, met name ook bij minderjarigen. Op epidemiologen rust een eigen verantwoordelijkheid om een bewuste afweging te maken of het wel aanvaardbaar is om bepaalde vragen op te nemen in vragenlijstonderzoek. Uiteenlopende maatregelen zijn mogelijk om extra zorgvuldigheid te betrachten. Het kan met zich meebrengen dat de vragenlijst wordt aangepast en/of dat deelnemers nadrukkelijk op het mogelijkerwijs psychisch belastende karakter van de vragenlijst worden gewezen en/of dat er in adequate signalering van en doorverwijzing bij eventuele problemen is voorzien. Handreiking privacybescherming epidemiologie, september 2007 9 Hoe zit het met de meldingsplicht bij gegevensverwerking voor onderzoeksdoeleinden? Het door de GGD verwerken van persoonsgegevens voor onderzoeksdoeleinden is niet vrijgesteld van de meldingsplicht op grond van artikel 27 Wbp. Gegevensverwerking door de GGD voor behandelingsdoeleinden valt wel onder het Vrijstellingsbesluit. Dat geldt echter niet voor het door de GGD verwerken van gegevens voor onderzoeksdoeleinden. Verder kan de GGD niet worden aangemerkt als organisatie voor wetenschappelijk onderzoek in de zin van het Vrijstellingsbesluit. Uitgangspunten • Het niet van toepassing zijn van het Vrijstellingsbesluit op gegevensverwerking voor onderzoeksdoeleinden door de GGD heeft weinig praktische gevolgen. De administratieve verplichtingen horend bij de meldingsplicht kunnen via een eenmalige melding door de GGD vorm worden gegeven. De verantwoordelijkheid hiervoor berust bij de organisatie. Voor de toepasselijkheid van de overige Wbp-bepalingen heeft een en ander geen gevolgen. Hoe verhouden de verantwoordelijkheden van de GGD als organisatie zich tot de verantwoordelijkheden van de (individuele) onderzoeker? De in de Wbp neergelegde plichten en verantwoordelijkheden moeten worden nagekomen door de ‘verantwoordelijke’. Dat is ‘degene die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt’. De Wbp gaat er vanuit dat bij de directie van de GGD de formeeljuridische zeggenschap over de gegevensverstrekking berust. De Gedragscode Gezondheidsonderzoek legt plichten en verantwoordelijkheden op aan individuele onderzoekers (voor zover aangesloten bij beroepsverenigingen die onder de Federatie van Medisch Wetenschappelijke Verenigingen (FMWV) vallen en voor zover het gaat om gebruik van gegevens waarop een beroepsgeheim rust). De onderzoeker is de feitelijke (eind-) verantwoordelijke voor het opstellen van het onderzoeksprotocol en de uitvoering van het onderzoek. De Gedragscode Gezondheidsonderzoek gaat er vanuit dat de verantwoordelijke (in de zin van de Wbp) de onderzoeker in de gelegenheid stelt om de wettelijke bepalingen en de uitwerking daarvan in de gedragscode na te leven. Daarnaast moet de verantwoordelijke passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Uitgangspunten • Het CBP heeft van de Gedragscode Gezondheidsonderzoek en de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek aangegeven dat daarin een goede uitwerking aan de vereisten in de Wbp wordt gegeven. Aangezien de GGD als ‘verantwoordelijke’ gebonden is aan de naleving van de Wbp, zijn die gedragscodes daarmee ook voor de GGD als organisatie richtinggevend voor de manier waarop met de verwerking van persoonsgegevens bij onderzoek moet worden omgegaan. Handreiking privacybescherming epidemiologie, september 2007 10 2.4. Relevante knelpunten en discussiepunten op een rij (Te) Hoge drempel voordat gesproken kan worden van ‘anonimisering’? Bij onderzoek door de GGD zal om praktische of onderzoekstechnische redenen niet (snel) aan het vereiste van anonieme gegevensverzameling worden voldaan. Met name omdat daarvoor nodig is dat vanaf het begin de onderzoeker en/of diens medewerkers niet over identificerende gegevens van de deelnemers beschikken. Vaak zal in eerste instantie behoefte zijn aan een herinnering ter verhoging van de respons en/of analyse van de non-respons en zal pas in een latere fase de (afdoende) ontkoppeling van identificerende en onderzoeksgegevens worden gerealiseerd. Complicatie is ook dat het ontkoppelen van communicatiegegevens soms niet voldoende is om herleidbaarheid van de gegevens uit te sluiten. Een combinatie van gegevens kan toch herleiding tot het individu mogelijk maken en/of er is slechts sprake van codering met behoud van de sleutel door de onderzoeker. De drempels voor het realiseren van gegevens in niet herleidbare vorm zijn tamelijk hoog en het is de vraag of het lonend is om daar sterk op in te zetten. Een en ander heeft wel consequenties voor de oriëntatie op toepasselijke wetgeving bij het onderzoek van de GGD. Rekening moet worden gehouden met Wbp en Wgbo en in principe moet toestemming voor de gegevensverwerking worden verkregen. Een beroep op de uitzonderingsbepalingen om zonder toestemming te mogen werken, vergt extra inspanningen. Dit staat in schril contrast met de onbeperkte mogelijkheden tot gebruik van anonieme gegevens. Dit is een reëel knelpunt, dat binnen de huidige wetgeving niet bevredigend is op te lossen. Momenteel staat de introductie van een lichter wettelijk regime voor gecodeerde gegevens ter discussie. Dit zal tot op zekere hoogte aan de bezwaren tegemoet komen, als binnen GGD’en goed vorm kan worden gegeven aan de bij codering in acht te nemen vereisten. (Te) Beperkte mogelijkheden om zonder toestemming (van wettelijk vertegenwoordigers bij minderjarigen of meerderjarige wilsonbekwamen) gegevens te verzamelen voor onderzoeksdoeleinden? Het verwerven van toestemming voor gegevensverzameling vergt soms aanzienlijke inspanningen en is soms weinig succesvol. De situatie kan ontstaan dat onderzoek van groot belang is om de gezondheidssituatie van bepaalde groepen te verbeteren, maar dat door het toestemmingsvereiste een groot risico op non-respons met name in de belangrijkste doelgroepen ontstaat. (Her)-gebruik van gegevens zonder toestemming en/of gegevensverzameling onder minderjarigen of meerderjarige wilsonbekwamen zonder toestemming van hun wettelijk vertegenwoordiger is dan een te overwegen optie. In principe bieden de Wbp en Wgbo daarvoor ruimte. Onderzoekers ervaren aanzienlijke drempels in het gebruik maken van die ruimte. Een taxatie is nodig of het onderzoek aan de wettelijke vereisten voldoet en dat kan de nodige (rechts-)onzekerheid opleveren. Een mogelijkheid is om bij die taxatie de hulp van een METC in te roepen of om een gedragscode voor GGD-onderzoek te ontwikkelen. Handreiking privacybescherming epidemiologie, september 2007 11 (Te) weinig erkenning in wetgeving van het specifieke belang van GGD-onderzoek – dat vaker beleidsondersteunend dan wetenschappelijk is – en daarmee samenhangende tekortkomingen in het benodigde instrumentarium voor dit type onderzoek? De Wbp heeft onmiskenbaar een zeer algemeen karakter. De Wgbo neemt behandelingsrelaties als uitgangspunten en niet onderzoeksrelaties. De tot nu toe tot stand gebrachte gedragscodes voorzien ook niet specifiek in oplossingen voor problemen waarop GGD-onderzoek stuit. Ontwikkeling van eigen gedragscodes voor GGD-onderzoek kan een mogelijkheid bieden om te voorzien in meer specifiek op GGD-onderzoek toegespitste uitwerkingen van de wettelijke vereisten van Wbp en Wgbo. Een eventuele gedragscode kan dan aan het CBP worden voorgelegd om te toetsen of de uitwerkingen binnen de wettelijke grenzen zijn gebleven. Een en ander kan bijvoorbeeld een steun in de rug zijn voor onderzoekers die overwegen om een beroep te doen op de uitzonderingsbepalingen in Wbp en Wgbo. (Te) weinig gebruik van mogelijkheden om onderzoeksprotocollen ter toetsing aan een METC voor te leggen? Het veld van METC’s in Nederland is divers. Niet alle METC’s die een erkenning hebben voor toetsing van medisch-wetenschappelijk onderzoek met mensen zijn bereid tot toetsing van andersoortig onderzoek, bijvoorbeeld onderzoek met gezondheidsgegevens. Bij de niet-erkende METC’s zijn de kwalificaties van de leden niet altijd gegarandeerd. Ook is het de vraag of bij de METC’s wel voldoende specifieke kennis en ervaring met GGD-onderzoek aanwezig is. Daarvoor zou de samenstelling van de METC bijvoorbeeld met een epidemioloog moeten worden uitgebreid. Aan de andere kant kan externe toetsing van onderzoeksprotocollen er aan bijdragen dat voor onderzoekers de wettelijke criteria worden verhelderd en dat meer rechtszekerheid ontstaat. De bestaande mogelijkheden zijn dus weliswaar niet optimaal, maar kunnen zeker beter benut worden. Handreiking privacybescherming epidemiologie, september 2007 12 Handreiking privacybescherming epidemiologie, september 2007 13 3. Stroomschema met toelichting (stroomschema zie achterin dit document) 1. Bepaling van de onderzoeksopzet De doel-/vraagstelling van het onderzoek is leidend bij de bepaling van de aard en omvang van de gegevensverzameling. Elk onderzoek moet zo worden opgezet dat de persoonlijke levenssfeer van betrokkene zoveel mogelijk wordt beschermd. Dat betekent ten eerste dat er niet meer gegevens worden verzameld dan voor het onderzoek noodzakelijk zijn. En het betekent ook dat bij onderzoek – voor zover mogelijk – gebruik worden gemaakt van anonieme gegevens. Persoonsgegevens worden uitsluitend gebruikt voor zover het onderzoek redelijkerwijs niet zonder deze gegevens kan worden verricht. 2. Anonieme gegevensverwerking De bepaling of er – gelet op de onderzoeksvraag – anonieme gegevens of persoonsgegevens worden verzameld, is van belang voor de al dan niet toepasselijkheid van de Wbp, Wgbo en gedragscodes. Die gelden alleen bij gebruik van persoonsgegevens en niet bij gebruik van anonieme gegevens. Er is uitsluitend sprake van verwerking (verzameling en gebruik) van anonieme gegevens voor onderzoek als de onderzoeker en/of diens medewerkers op geen enkel moment beschikken over de mogelijkheid om de gegevens tot de persoon te herleiden. Om van niet herleidbare verwerking te kunnen spreken moeten ofwel geen – direct of indirect – identificerende gegevens worden verzameld ofwel moet worden voorzien in een strikte scheiding tussen degene die over de onderzoeksgegevens kan beschikken en degene die over de identificerende gegevens en de sleutel tot de code kan beschikken. Er is bijvoorbeeld geen sprake van anonieme gegevensverzameling als pas na de initiële fase de gegevens worden ontdaan van identificerende kenmerken en/of als verzamelde gegevens gescheiden worden in een bestand met zogenaamde communicatiegegevens en een bestand met onderzoeksgegevens. Een verdeling van bestanden en/of sleutels over verschillende afdelingen binnen de GGD komt niet voldoende tegemoet aan het vereiste beschermingsniveau om van anonieme gegevensverwerking te mogen spreken. Bij uitbesteding van de gegevensverzameling aan externe bureaus is ook geen sprake van waarborgen van niet herleidbaarheid als zo’n bureau zowel de onderzoeksgegevens als de communicatiegegevens ontvangt. Anonimisering vergt ook meer dan het alleen weglaten van direct identificerende kenmerken (zoals NAW-gegevens). Aandacht moet worden besteed aan de vraag of een combinatie van de wel verzamelde gegevens (bijvoorbeeld leeftijd, geslacht, volledige postcode) in de specifieke situatie niet leidt tot het kunnen vaststellen van de identiteit van betrokkenen zonder dat dit onevenredige inspanning kost. In algemene zin kan aangegeven worden dat het risico van indirecte herleidbaarheid van gegevens toeneemt naarmate de onderzoekspopulatie kleiner is en/of eenvoudig te lokaliseren (klas, wijk, postcodegebied) terwijl het aantal verzamelde kenmerken van die populatie groter en/of – eventueel in combinatie - specifieker is (geslacht, leeftijd, lengte, aandoeningen). In de Wbp fungeert het criterium ‘al dan niet met onevenredige inspanning tot de persoon herleidbaar’ als scharnierpunt. De onderzoeker moet in de concrete situatie die taxatie Handreiking privacybescherming epidemiologie, september 2007 14 maken. Daarbij is terughoudendheid gepast in die zin dat niet te snel geconcludeerd mag worden dat er sprake is van anonieme gegevens. Als het risico van indirecte herleiding reëel aanwezig is, dan is het verstandig om maatregelen te treffen om die indirecte herleiding te kunnen voorkomen, bijvoorbeeld door bepaalde gegevens niet te verzamelen. Als aanvullende maatregelen niet mogelijk zijn, dan moet naar de deelnemers duidelijk worden gemaakt dat er geen sprake is van anonieme gegevensverzameling en moeten de Wbp-vereisten worden nagekomen. Als het gaat om de verwerking van anonieme gegevens dan zijn er geen restricties aan het gebruik en gelden er geen bijzondere voorwaarden voor het beheer van de gegevens. Wel moet worden gegarandeerd dat koppeling met andere bestanden waardoor herleidbaarheid kan ontstaan niet plaatsvindt. 3. Toestemmingsvereiste voor verwerking persoonsgegevens De Wbp verlangt voor de verwerking van persoonsgegevens voor onderzoeksdoeleinden ondubbelzinnige toestemming van betrokkene. Dit kan bijvoorbeeld worden vormgegeven in een door betrokkene te ondertekenen toestemmingsverklaring. Maar expliciete mondelinge toestemming is ook toereikend, omdat strikt genomen de Wbp geen schriftelijke toestemming vergt. Toestemming mag ook worden afgeleid uit gedrag van de deelnemer, bijvoorbeeld het beantwoorden van vragen, retourneren van vragenlijsten etc. Als – extra – waarborg kan het verstandig zijn om deelnemers er op te attenderen dat bepaald gedrag als toestemming zal worden geïnterpreteerd. Het door deelnemers nalaten van bepaald gedrag (bijvoorbeeld het achterwege laten van bezwaar) interpreteren als toestemming stuit op bezwaren. Zo is bij sommige groepen al bij voorbaat duidelijk dat de drempel voor het kunnen maken van bezwaar onevenredig hoog is (moeite om informatie te begrijpen, moeilijke procedure, taalproblemen), waardoor uit het achterwege blijven van bezwaar niets mag worden afgeleid. Van belang is dat het aan de deelnemers verstrekte informatiemateriaal een juiste weergave vormt van de onderzoeksopzet (vraagstelling, relevantie van het onderzoek) en de manier waarop de gegevens worden verwerkt en – bij verzameling van persoonsgegevens – de manier waarop daarmee na het onderzoek wordt omgegaan (inclusief eventuele bewaring en/of hergebruik). Het in het informatiemateriaal geschetste beeld moet de feitelijk gang van zaken dekken, anders is de op basis daarvan verkregen toestemming niet rechtsgeldig en de daarop gebaseerde gegevensverwerking niet rechtmatig. 4. Wettelijke vertegenwoordiging minderjarigen en (andere) wilsonbekwamen Als sprake is van verzameling van persoonsgegevens van minderjarigen (tot 16 jaar), dan moet van de ouders de expliciete toestemming voor deelname aan het onderzoek en het verwerken van de gegevens worden verkregen. De Wbp verlangt bij meerderjarige wilsonbekwamen die onder curatele of mentorschap zijn geplaatst, dat voor de verwerking van hun persoonsgegevens de toestemming van de curator of mentor wordt verkregen. De Wgbo, die van toepassing is op de verwerking van persoonsgegevens waarop een beroepsgeheim rust, is strikter door in alle gevallen van feitelijke wilsonbekwaamheid van betrokkene (dus niet alleen als er sprake is van een mentorschap of curatele) te verlangen dat er toestemming van een vertegenwoordiger wordt verkregen. Handreiking privacybescherming epidemiologie, september 2007 15 Als het gaat om de verzameling van anonieme gegevens bij minderjarigen en meerderjarige wilsonbekwamen moeten inspanningen worden gedaan om de ouders respectievelijk de wettelijk vertegenwoordiger in ieder geval op de hoogte te stellen en hen een mogelijkheid tot het maken van bezwaar tegen deelname te bieden. Als sprake is van mogelijkerwijs psychisch belastende vragen in het onderzoek verdient het aanbeveling die inspanningen te intensiveren. Gegevens waarop wel/niet beroepsgeheim rust Op gegevens die in een (Wgbo-)hulpverleningsrelaties worden verzameld rust een (medisch) beroepsgeheim. De Wgbo beperkt de mogelijkheden tot gebruik van deze gegevens en verbindt daaraan nadere voorwaarden. Als dergelijke gegevens – met inachtneming van de vereisten – voor onderzoek ter beschikking worden gesteld, blijft het beroepsgeheim op die gegevens rusten. Dit beperkt de mogelijkheden voor hergebruik van die gegevens. Door hulpverlenende afdelingen van de GGD (JGZ, Infectieziekten, OGGZ) kan gebruik gemaakt worden van behandelcontacten om van cliënten bij voorbaat toestemming te vragen voor gebruik van hun ‘behandelgegevens’ voor epidemiologisch onderzoek. Op gegevens die in het kader van onderzoek rechtstreeks bij betrokkenen worden verzameld rust geen (medisch) beroepsgeheim. Wel heeft de onderzoeker de plicht om te zorgen dat alleen degenen die over de gegevens mogen beschikken – afgemeten aan de doelstelling waarmee de gegevens zijn verzameld – ook over die gegevens kunnen beschikken. De mogelijkheden tot gebruik van deze gegevens worden bepaald door de Wbp. 5. Uitzondering op toestemmingsvereiste in artikel 23 lid 2 Wbp Artikel 23 lid 2 Wbp maakt het mogelijk om bij wijze van uitzondering, zonder toestemming van betrokkene, bijzondere persoonsgegevens voor onderzoeksdoeleinden te verwerken. Om een beroep op dit artikel te kunnen doen, moet worden onderbouwd waarom in het specifieke onderzoek het vragen van uitdrukkelijke toestemming onmogelijk is of onevenredige inspanning kost. Daarnaast moet worden aangetoond dat het onderzoek een algemeen belang dient en moeten waarborgen worden geboden dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad. Bij dat laatste valt te denken aan maatregelen als: het zoveel mogelijk onderscheid maken tussen een communicatiebestand met direct identificerende gegevens en het onderzoeksbestand en het zo snel mogelijk teniet doen van koppelingsmogelijkheden daartussen en/of vernietigen van de communicatiegegevens. Strikt genomen vergt de Wbp niet dat het onderzoeksprotocol in een dergelijke situatie wordt getoetst door een METC. Maar het kan toch aanbeveling verdienen om een onafhankelijk oordeel te zoeken over de vraag of in de specifieke situatie inderdaad sprake is van onmogelijkheid of onevenredigheid van de inspanning om toestemming te vragen. Een gedragscode kan in dergelijke afwegingen meer houvast bieden. 6. Uitzondering op toestemmingsvereiste in artikel 458 Wgbo Artikel 458 Wgbo maakt het mogelijk om bij wijze van uitzondering, zonder toestemming van betrokkene, persoonsgegevens waarop een beroepsgeheim rust voor onderzoeksdoeleinden te verwerken. Om een beroep op dit artikel te kunnen doen moet worden onderbouwd waarom in het specifieke onderzoek het vragen van toestemming in redelijkheid niet mogelijk is of – vanwege Handreiking privacybescherming epidemiologie, september 2007 16 onderzoekstechnische redenen – niet kan worden verlangd. Daarnaast moet worden aangetoond dat het onderzoek een algemeen belang dient, dat het onderzoek niet zonder de gegevens kan worden uitgevoerd en dat de patiënt geen uitdrukkelijk bezwaar heeft gemaakt. Vereist is ook dat wordt voorzien in waarborgen om de persoonlijke levenssfeer van de patiënt niet onevenredig te schaden (zie boven). In geval van onderzoekstechnische redenen om geen toestemming te vragen is sprake van een iets strengere eis, namelijk dat moet worden voorzien in verstrekking van de gegevens in zodanige vorm dat herleiding tot de individuele patiënt redelijkerwijs wordt voorkomen. Codering is daarvoor de aangewezen vorm. De hulpverlener draagt zorg voor het ontdoen van de gegevens van identificerende kenmerken en voorziet ze van een code. De onderzoeker krijgt slechts de gecodeerde gegevens. Gedurende het onderzoek kan de onderzoeker dan nog aanvullende gegevens krijgen door tussenkomst van de hulpverlener die de code beheert. De Gedragscode Gezondheidsonderzoek stelt dat het onderzoeksprotocol ter toetsing moet worden voorgelegd aan een METC om een onafhankelijk oordeel te verkrijgen of aan de vereisten van artikel 458 Wgbo is voldaan. Een dergelijk oordeel kan een belangrijk middel zijn om hulpverleners die aarzelen of gegevensverstrekking zonder toestemming verantwoord is, over de streep te trekken. 7. Meldingsplicht verwerking persoonsgegevens Melding van een (nieuwe) verwerking van persoonsgegevens bij het CBP is noodzakelijk. Veelal zal de GGD al hebben voorzien in melding bij het CBP dat sprake is van verwerkingen van gegevens voor onderzoeksdoeleinden, waarbij is aangegeven welke specifieke gegevens rond welke doelgroepen voor gespecificeerde onderzoeksdoeleinden worden verwerkt. Als het onderzoek en de gegevensverwerking onder één van de reeds gemelde categorieën valt, dan hoeft geen aparte melding (meer) plaats te vinden. Handreiking privacybescherming epidemiologie, september 2007 17 4. Specifieke aandachtspunten bij diverse vormen van onderzoek met gezondheidsgegevens 4.1. Vragenlijstonderzoek Algemeen Soms moet bij studies waar – via vragenlijsten, enquêtes of interviews – gegevens bij betrokken proefpersonen zelf worden verzameld, rekening worden gehouden met de Wet medischwetenschappelijk onderzoek met mensen (Wmom). Dit is aan de orde als er sprake is van een wetenschappelijke doelstelling en vragenlijsten in een zodanige frequentie worden afgenomen dat daardoor sprake is van het opleggen van een gedragswijze aan betrokkenen. Bijvoorbeeld het gedurende een bepaalde periode dagelijks moeten bijhouden van een dagboekje met uitgebreide vragen, het regelmatig invullen van vragenlijsten ed. Dergelijk onderzoek moet ter toetsing aan een METC voorgelegd worden. Eenmalig vragenlijstonderzoek valt niet onder de Wmom. Toetsing van eenmalig vragenlijstonderzoek kan desondanks wenselijk zijn als er sprake is van psychisch belastende vragen. Verplicht is dat echter niet. Extra zorgvuldigheid is nodig. Zo is in ieder geval van belang om de deelnemers, in de informatieverstrekking voor het verkrijgen van toestemming, expliciet te wijzen op eventuele risico’s in de sfeer van psychische belasting. Een en ander neemt echter de – eigen – verantwoordelijkheid van de onderzoeker niet weg. Die moet een inschatting maken van de aanvaardbaarheid van de risico’s en maatregelen treffen om risico’s zoveel mogelijk te voorkomen en/of de schade zoveel mogelijk te beperken (bijvoorbeeld door te wijzen op mogelijkheden voor ondersteuning of hulpverlening bij schade). De onderzoeker moet afwegen of het belang van het onderzoek groot genoeg is om dergelijke risico’s te kunnen rechtvaardigen. Benadering en informeren van algemene bevolking Als wordt gekozen voor het ‘at random’ aanschrijven van de bevolking (in een bepaalde wijk/gemeente) dan kunnen daarvoor NAW-gegevens van het GBA gebruikt worden (bij aanschrijving op naam) of kan worden gekozen voor het aanschrijven op ‘bewoner van dit pand’. Ook als wordt gekozen voor ‘aanschrijving op naam’ van de beoogde deelnemers, dan nog kan de gegevensverzameling anoniem zijn. Anonieme gegevensverzameling impliceert dat in de respons in ieder geval NAW-gegevens of woonadres niet zijn opgenomen, daarnaast moet geen koppeling van de respons aan het ‘bronbestand’ mogelijk zijn en moet gewaakt wordt voor het verzamelen van combinaties van gegevens die (indirecte) herleiding mogelijk maken. Als opname van identificerende gegevens – om onderzoekstechnische reden, bijvoorbeeld analyse van de non-respons – toch nodig is, dan kan niet meer gesproken worden van anonieme gegevensverwerking en dienen de uit de Wbp voortvloeiende vereisten rond verwerking van persoonsgegevens in acht te worden genomen. Als wordt gekozen voor het aanschrijven van een gestratificeerde steekproef van de bevolking, dan zal ten behoeve van de selectie een bestand aanwezig moeten zijn c.q. worden verkregen met Handreiking privacybescherming epidemiologie, september 2007 18 gegevens ten behoeve van die selectie (NAW in combinatie met bijvoorbeeld leeftijd, geslacht, etniciteit, gezondheidsgegevens). Het is van belang dat dit bestand rechtmatig is verkregen en dat daarvan voor het onderzoek rechtmatig gebruik kan worden gemaakt. Scenario’s voor het rechtmatig verkrijgen en gebruiken van een dergelijk (selectie) bestand zijn: - toestemming verkrijgen van betrokkenen voor het opnemen van hun gegevens in een dergelijk bestand, bijvoorbeeld bij contacten in het kader van hulpverlening (door GGD zelf of door andere hulpverleners). - gebruik maken van een rechtmatig door anderen aangelegd bestand (bijvoorbeeld het GBA) waarin voorzien is in het ter beschikking (mogen) stellen van dergelijke gegevens voor onderzoeksdoeleinden (c.q. het benaderen van mensen voor onderzoeksdoeleinden). Daar waar het gaat om toezending van vragenlijsten (per post, per e-mail) kan uit de beantwoording en retournering van de ingevulde vragenlijsten de toestemming van de deelnemers voor de verwerking c.q. het gebruik van de door hen verstrekte gegevens worden afgeleid. Van belang is dan wel dat het meegezonden informatiemateriaal een juiste weergave vormt van de onderzoeksopzet (vraagstelling, relevantie van het onderzoek) en de manier waarop de gegevens worden verwerkt. Het in het informatiemateriaal geschetste beeld moet de feitelijke gang van zaken dekken, anders is de op basis daarvan verkregen toestemming van de deelnemer niet rechtsgeldig en de daarop gebaseerde gegevensverwerking niet rechtmatig. Problemen in deze sfeer kunnen bijvoorbeeld ontstaan als in het informatiemateriaal wordt aangegeven ‘uw gegevens worden anoniem verwerkt’, terwijl dat feitelijk niet het geval is. Bijvoorbeeld omdat door de combinatie van verzamelde gegevens (indirecte) herleiding niet is uitgesloten of omdat de onderzoeksopzet voorziet in koppeling (bijvoorbeeld via een code) tussen bestanden waardoor herleiding (op enig moment) plaatsvindt (bijvoorbeeld tussen bronbestand en onderzoeksbestand om de non-respons te analyseren). In zo’n geval is geen sprake van anonieme gegevensverzameling, ook al wordt bijvoorbeeld na de analyse van de non-respons de code vernietigd. Op zich vormt zo’n handelwijze wel een belangrijke - extra – waarborg voor de privacy van de deelnemer en kan het als zodanig in het informatiemateriaal worden benoemd. Benadering ouders bij klassikaal vragenlijstonderzoek jeugdigen Bij klassikaal vragenlijstonderzoek bij minderjarigen is een goede vormgeving aan de toestemmingsprocedure van belang voor de school (verantwoordelijkheid jegens de ouders) en voor de onderzoeker (rechtmatigheid van het gebruik van de verzamelde gegevens). Van het aanbieden van vragenlijsten aan leerlingen dienen de ouders op de hoogte te (kunnen) zijn, ook als er sprake is van verzameling van anonieme gegevens. De verspreiding van het informatiemateriaal aan de ouders dient zodanig te zijn dat er een goede kans is dat zij die ook daadwerkelijk onder ogen krijgen. Als er sprake is van verzameling van herleidbare gegevens dient de toestemming van de ouders voor deelname aan het onderzoek en het verwerken van de gegevens expliciet te worden gegeven. Uit het achterwege blijven van een reactie van de ouders mag niet hun toestemming voor de verwerking van persoonsgegevens over hun kinderen worden afgeleid. Handreiking privacybescherming epidemiologie, september 2007 19 Als er sprake is van een vragenlijstonderzoek bij minderjarigen met een mogelijk psychisch belastend karakter is in ieder geval van belang om in de informatieverstrekking aan de ouders te wijzen op eventuele risico’s in de sfeer van psychische belasting. Een en ander neemt echter de – eigen – verantwoordelijkheid van de onderzoeker niet weg om een inschatting te maken van de risico’s, maatregelen te treffen om ze zoveel mogelijk te voorkomen en/of de schade zoveel mogelijk te beperken (bijvoorbeeld door jeugdigen en ouders de weg naar hulpverlening te wijzen indien het risico zich voordoet). Als er sprake is van verzameling van anonieme gegevens kan volstaan worden met een brief aan de ouders waarin aangegeven staat dat het onderzoek zal plaatsvinden en dat hun kinderen daaraan geacht worden deel te nemen tenzij zij daartegen bezwaar maken. Er dient te worden voorzien in een adequate afhandeling van dergelijke bezwaren. Als sprake is van mogelijkerwijs psychisch belastende vragen in onderzoek verdient het aanbeveling om de inspanningen om ouders te informeren te intensiveren. Bij klassikaal verzamelen en verwerken van de gegevens doemt de indirecte herleidbaarheid van gegevens al snel op. Bijvoorbeeld als de verzamelde gegevens een verwijzing naar de school, de klas of de wijk bevatten en/of een combinatie van gegevens wordt gevraagd (leeftijd, geslacht, lengte) die herleiding eenvoudig maakt. Niet altijd zal het – om onderzoekstechnische redenen – mogelijk zijn om dergelijke codes en/of combinatie van gegevens achterwege te laten. Dan dient echter naar de ouders duidelijk te worden gemaakt dat er geen sprake is van anonieme gegevensverwerking en dienen de vereisten van de Wbp in acht te worden genomen. Dat betekent dat ofwel expliciete toestemming van de ouders wordt gezocht of expliciet en onderbouwd een beroep wordt gedaan op de uitzonderingsgrond van artikel 23 lid 2 Wbp (op grond waarvan gegevensverwerking voor onderzoek zonder toestemming mogelijk is). Vragenlijstonderzoek bij jeugdigen per post Als minderjarigen per post of e-mail worden benaderd voor vragenlijstonderzoek, dan moet worden voorzien in een adequate procedure voor het verwerven van toestemming van de ouders (bijvoorbeeld terugzending van een toestemmingsverklaring, inlogcodes uitsluitend aan ouders verstrekken etc.). Bij oudere minderjarigen, die in redelijke mate de reikwijdte van hun handelen kunnen overzien, kan dit ander liggen (bijvoorbeeld bij deelname aan e-movo). Met name als de vragen niet psychisch belastend en/of extra privacygevoelig zijn, kan het voldoende zijn om van de minderjarige zelf toestemming te verkrijgen en met een beroep op artikel 23 lid 2 Wbp af te zien van het verwerven van toestemming van de ouders. Extra zorgvuldigheid in de sfeer van de waarborgen tegen onevenredige schade van de persoonlijke levenssfeer van de minderjarigen en/of de groepsprivacy is dan geboden. Een en ander dient in een protocol te worden vastgelegd. Een gedragscode kan hierbij meer houvast bieden. Handreiking privacybescherming epidemiologie, september 2007 20 Benadering kwetsbare groepen (ouderen, cliënten OGGZ) Bij de benadering van bepaalde groepen zoals ouderen of cliënten van de OGGZ moet bij het verwerven van toestemming rekening worden gehouden met de (mogelijke) wilsonbekwaamheid van deelnemers. De Wbp verplicht maar in een beperkt aantal gevallen (als betrokkene onder curatele of mentorschap staat) dat contact wordt opgenomen met de wettelijk vertegenwoordiger om toestemming voor gegevensverwerking te verkrijgen. Bij toezending van vragenlijsten aan volwassenen mag als vuistregel worden genomen dat als betrokkene in staat is geweest de vragen te beantwoorden, er waarschijnlijk ook sprake is van – voldoende – wilsbekwaamheid om toestemming voor de gegevensverwerking te kunnen verlenen. Het leveren van verdere inspanningen om zekerheid over de wilsbekwaamheid te verkrijgen is dan niet aan de orde. Bij het afnemen van interviews, waarbij direct contact is met de deelnemer, zal soms wel meer aandacht nodig zijn voor het vraagstuk van de wilsbekwaamheid. Dit geldt met name als hulpverleningscontacten worden gebruikt om bij betrokkene extra gegevens te verzamelen voor onderzoeksdoeleinden. De Wgbo geeft aan dat in alle gevallen van feitelijke wilsonbekwaamheid, er contact met een vertegenwoordiger nodig is. Die moet in ieder geval op de hoogte worden gesteld van het voorgenomen onderzoek en als er persoonsgegevens worden verzameld daarvoor toestemming moeten geven. 4.2. Verzameling van extra gegevens voor onderzoeksdoeleinden tijdens hulpverleningscontacten van de GGD Benadering van cliënten De GGD heeft met diverse groepen cliënten hulpverleningscontacten. In die hulpverleningsrelatie worden gegevens verzameld en vastgelegd. Daarnaast kan het interessant zijn om van die cliënten extra gegevens te verzamelen voor onderzoeksdoeleinden. Soms worden uitsluitend die extra gegevens gebruikt in onderzoek, soms gaat het om gebruik van een combinatie van de ‘hulpverleningsgegevens’ en die extra onderzoeksgegevens. Als bij cliënten meer gegevens worden verzameld dan voor de directe hulpverlening nodig is, om die gegevens te gebruiken in onderzoek, moet dit voor de cliënten duidelijk zijn en moet daarvoor toestemming worden gevraagd. De kwaliteit van de informatieverstrekking en de toestemmingsprocedure moet op de specifieke situatie toegesneden worden. Een aandachtspunt vormt de mogelijke afhankelijkheid van de deelnemers van hun hulpverlener. Cliënten moeten er ten minste op worden gewezen dat zij de verzameling van extra gegevens voor onderzoeksdoeleinden mogen weigeren zonder dat dit negatieve consequenties voor de hulpverleningsrelatie heeft. Ook moeten cliënten er op worden gewezen dat zij op een later tijdstip terug kunnen komen op een verleende toestemming voor gebruik van hun gegevens. Als dat gebeurt dan moeten hun gegevens uit het onderzoeksbestand worden verwijderd of tenminste anoniem worden gemaakt. Als het gaat om minderjarige cliënten moet voor de verzameling van extra gegevens toestemming worden verkregen van de ouders. Dit vereiste van toestemming van de wettelijk vertegenwoordiger geldt op grond van de Wgbo ook voor de verzameling van extra gegevens bij Handreiking privacybescherming epidemiologie, september 2007 21 wilsonbekwamen. Rekening houden met de noodzaak om toestemming van een vertegenwoordiger te verkrijgen in geval van wilsonbekwaamheid kan onder omstandigheden betekenen dat die schriftelijk (bij voorkeur: vooraf; maar bij wijze van uitzondering ook wel achteraf) informatie ontvangt over het feit dat die extra informatieverzameling zal plaatsvinden. Als de onderzoeksopzet voorziet in het gebruik van een combinatie van de voor onderzoek verkregen gegevens en ‘hulpverleningsgegevens’, dan moet voor het gebruik van die hulpverleningsgegevens voor onderzoeksdoeleinden ook toestemming van de cliënt worden verkregen. De Wgbo voorziet weliswaar in een mogelijkheid voor de hulpverlener om eigen ‘behandelgegevens’ van patiënten te gebuiken voor eigen onderzoek, maar dit reikt niet zover dat gegevens van de ene GGD-afdeling door een andere afdeling voor onderzoek mogen worden gebruikt (zie verder paragraaf 4.3). In deze situaties is slechts sprake van gebruik van anonieme gegevens voor het onderzoek, als de hulpverlener die gegevens verzameld bij de cliënten, die gegevens in anonieme vorm verstrekt aan de onderzoeker en er voor de onderzoeker geen mogelijkheden bestaan tot herleiding van de gegevens. Dat betekent binnen de GGD bijvoorbeeld dat de toegang tot hulpverleningsdossiers zodanig beveiligd moet zijn dat de onderzoeker daar feitelijk ook geen toegang toe kan krijgen. In alle andere situaties – bijvoorbeeld de onderzoeker bekijkt de hulpverleningsdossiers en selecteert cliënten waarbij extra gegevens worden verzameld – is geen sprake van gebruik van anonieme gegevens. Verantwoordelijkheden rond gegevensverwerking De verwerking van ‘onderzoeksgegevens’ dient gescheiden plaats te vinden van de verwerking van de ‘hulpverlenings’ gegevens. Zo wordt voorkomen dat in het hulpverleningsdossier teveel gegevens worden opgenomen die voor hulpverleningsdoeleinden niet relevant zijn. En blijft duidelijk met welk doel bepaalde gegevens zijn verzameld en voor welk doel ze eventueel verder mogen worden gebruikt. Als koppeling van onderzoeksgegevens met behandelgegevens gedurende het onderzoek nodig blijft, dan dient de koppeling van de bestanden bij voorkeur via codering te verlopen. Die koppeling moet ongedaan worden gemaakt zodra die voor het onderzoek niet meer nodig is. Zolang die koppelingsmogelijkheid bestaat, is er geen sprake van anonieme onderzoeksgegevens. Handreiking privacybescherming epidemiologie, september 2007 22 4.3. Gebruik voor onderzoeksdoeleinden van gegevens die voor andere (behandelings)doeleinden zijn vastgelegd Benadering van deelnemers Oorspronkelijk voor hulpverleningsdoeleinden verkregen gegevens kunnen interessant zijn voor onderzoeksdoeleinden. Op dergelijke gegevens rust een beroepsgeheim. De Wgbo laat hulpverleners ruimte om hun patiëntgegevens te (her-)gebruiken voor onderzoeksdoeleinden, tenzij de patiënt daar bezwaar tegen heeft maakt. Deze mogelijkheid in de Wgbo reikt echter niet zo ver dat gegevens verzameld door de ene afdeling van de GGD op die titel gebruikt mogen worden voor onderzoek door een andere afdeling van de GGD. GGD-afdelingen moeten onderling worden beschouwd als ‘derden’ en voor de verstrekking van ‘patiënt/behandelgegevens’ aan derden dient in principe toestemming te worden verkregen van de patiënt. Dat is niet anders dan de situatie waarin de GGD andere hulpverleners (bijvoorbeeld hulpverleners in de OGGZ) benadert om hun patiëntgegevens ter beschikking te stellen voor onderzoek. De verantwoordelijkheid voor het krijgen van toestemming voor hergebruik van gegevens rust op de hulpverlener die de patiëntgegevens oorspronkelijk heeft verzameld (bijvoorbeeld de afdeling JGZ, OGGZ, Infectieziekten). Op de onderzoeker rust de plicht om zich er van te vergewissen dat de hulpverlener zijn verplichtingen op behoorlijke wijze is nagekomen, omdat anders de gegevens niet rechtmatig worden verkregen. Van belang is dat bij het vragen van toestemming informatie wordt gegeven die een juiste weergave vormt van de onderzoeksopzet (vraagstelling, relevantie van het onderzoek) en de manier waarop de gegevens worden verwerkt (inclusief eventuele bewaring en/of hergebruik). Het vereiste van toestemming geldt niet als het gaat om verstrekking van anonieme patiëntgegevens. Daarvan is slechts sprake als de hulpverlener de patiëntgegevens ontdoet van alle – direct en indirect - identificerende kenmerken. De Wgbo kent in artikel 458 ook een mogelijkheid om zonder toestemming van de patiënt diens persoonsgegevens aan derden te verstrekken voor onderzoeksdoeleinden. Als de gegevensverstrekking door de behandelaar aan de onderzoeker gebaseerd wordt op artikel 458 Wgbo, dan dient de behandelaar in ieder geval in algemene zin de patiënten te hebben gewezen op de mogelijkheid dat gegevens voor onderzoeksdoeleinden ter beschikking kunnen worden gesteld en hen in de gelegenheid hebben gesteld om daartegen bezwaar te maken. Als zo’n bezwaar afwezig is, is de gegevensverstrekking toegestaan als aan de overige voorwaarden van artikel 458 is voldaan. De Code Gezondheidsonderzoek vindt in dergelijke situaties toetsing van het onderzoeksprotocol door een toetsingscommissie noodzakelijk. Als spiegelbeeld van de verantwoordelijkheden van de gegevensverstrekkende behandelaar bepaalt de Code Gezondheidsonderzoek ook dat de onderzoeker zich er van dient te vergewissen dat de gegevensverstrekker de vereisten is nagekomen. Handreiking privacybescherming epidemiologie, september 2007 23 4.4. Gegevensverzameling voor effectmeting en/of kwaliteitverbetering van (GVO)-interventies Bepaling van de opzet Bij bepaalde gezondheidsbevorderende interventies of acties van de GGD kan gegevensverzameling bij wijze van nameting wenselijk zijn. Zo kan een oordeel worden gevormd over de effectiviteit van de interventie en over eventuele benodigde kwaliteitsverbetering. Deze – beperkte – doelstelling van de gegevensverzameling moet leidend zijn voor de bepaling van de aard en omvang van de noodzakelijke gegevensverzameling en de gegevensanalyse (welke gegevens worden met elkaar gecombineerd geanalyseerd?). Bij gegevensverzameling voor kwaliteitsdoeleinden kan in principe worden volstaan met anonieme gegevensverzameling. De eventuele noodzaak van verzameling van persoonsgegevens verdient extra goede onderbouwing. Benadering en informeren deelnemers Indien het gaat om een buurtgerichte interventie of actie kan voor de benadering van de bevolking worden gekozen voor het aanschrijven op NAW-gegevens, maar wellicht ook gekozen worden voor het aanschrijven op ‘bewoner van dit pand’. Anonieme gegevensverwerking impliceert dat bij de respons dergelijke kenmerken niet worden opgenomen en dat ook gewaakt wordt tegen het verzamelen van combinaties van gegevens waardoor herleiding mogelijk is. Als het gaat om een klassikale of schoolgerichte interventie of actie dienen de ouders vooraf op de hoogte te worden gesteld van de gegevensverzameling bij hun kinderen en dienen daartegen bezwaar te kunnen maken. Bij oudere minderjarigen die in staat zijn de reikwijdte van hun handelen te overzien zal dit niet altijd noodzakelijk zijn met name als er geen sprake is van mogelijke psychisch belastende vragen en/of gegevens waarbij de groepsprivacy in het geding is. 4.5. Gegevensverzameling in longitudinaal onderzoek Relatie met de deelnemers Voor het periodiek bij deelnemers verwerken van persoonsgegevens in het kader van longitudinaal onderzoek, is de voortdurende toestemming van de deelnemers vereist. Bij voorkeur wordt bij elke nieuwe gegevensverzameling (die gekoppeld wordt aan de reeds verzamelde en bewaarde gegevens) betrokkene er minimaal op gewezen dat van koppeling sprake zal zijn, waardoor betrokkene een nieuwe afweging kan maken over voortzetting van de deelname aan het onderzoek. Een dergelijke reminder verstevigt de juridische basis voor de gegevensverwerking. Als het bij longitudinaal onderzoek ook gaat om een van deelnemers verkregen toestemming voor het periodiek (ook) door hulpverleners verstrekken van gegevens over hun gezondheidstoestand, dan hoeft voor elke aparte gegevensverstrekking niet steeds opnieuw expliciete toestemming van betrokkenen te worden gevraagd. Van belang is wel dat de patiënt zich bewust is en blijft van de aard, omvang en continuïteit van die gegevensverstrekking. Handreiking privacybescherming epidemiologie, september 2007 24 Een eenmaal gegeven toestemming voor deelname aan dergelijk longitudinaal onderzoek kan door de deelnemers steeds worden herroepen. Van belang is om vooraf duidelijkheid te bieden aan de deelnemers wat er in geval van herroepen van de toestemming gebeurt met de reeds over hen verzamelde persoonsgegevens. Soms is het om onderzoekstechnische redenen niet mogelijk of wenselijk om reeds verzamelde gegevens uit het onderzoeksbestand te verwijderen. Als dit vooraf duidelijk is gemaakt aan de deelnemers, dan hoeven dergelijke gegevens niet uit het onderzoeksbestand te worden verwijderd. Als dit vooraf niet duidelijk is gemaakt, dan moet in overleg met de deelnemer afgesproken worden wat er (nog) met de reeds verzamelde gegevens mag worden gedaan. Anonimisering van de gegevens kan dan een oplossing zijn. 4.6. Hergebruik van een combinatie van persoonsgegevens en lichaamsmateriaal voor onderzoeksdoeleinden Het voert te ver om in dit kader uitgebreid in te gaan op de regeling van gebruik van lichaamsmateriaal voor onderzoeksdoeleinden. Wel is een enkele opmerking van belang over het (her)-gebruik van lichaamsmateriaal dat voor behandelingsdoeleinden is afgenomen. Dat is aan striktere regels onderworpen dan hergebruik van gegevens die voor behandelingsdoeleinden zijn afgenomen. Met name de mogelijkheden om zonder toestemming van betrokkene diens lichaamsmateriaal te hergebruiken voor onderzoeksdoeleinden zijn beperkter. Op grond van artikel 467 Wgbo mag zonder toestemming uitsluitend anoniem lichaamsmateriaal voor onderzoeksdoeleinden worden gebruikt. Dit werkt ook door in de mogelijkheden voor hergebruik van een combinatie van persoonsgegevens en lichaamsmateriaal voor onderzoek. Een verbinding tussen materiaal en gegevens kan dan blijven bestaan, bijvoorbeeld via een code. Maar zonder toestemming van de betrokken persoon mag de (directe of indirecte) herleidbaarheid tot de persoon niet behouden blijven. Handreiking privacybescherming epidemiologie, september 2007 25 5. Presentatie en toelichting regels voor privacybescherming bij onderzoek met gezondheidsgegevens 5.1. Onderzoek met anonieme gegevens Van anonieme gegevens is sprake als bij gegevens ‘de herleiding tot de individuele persoon niet of slechts met onevenredige tijd of inspanning mogelijk is’. Of aan dit Wbp-criterium wordt voldaan hangt in belangrijke mate af van de omstandigheden in de concrete praktijksituatie. Ook zonder NAW-gegevens kan er sprake zijn van – directe of indirecte – herleidbaarheid van gegevens. Bijvoorbeeld doordat een combinatie van de wel verzamelde gegevens tot specifieke personen te herleiden is en/of doordat koppeling of vergelijking met andere beschikbare gegevens mogelijk is. Gecodeerde gegevens blijven in principe via de sleutel van de code herleidbaar tot de individuele persoon. Toepasselijk kader Anonieme gegevens mogen zonder restricties en/of bijkomende voorwaarden worden gebruikt voor gezondheidsonderzoek. De bepalingen in de Wbp en Wgbo gelden namelijk uitsluitend voor persoonsgegevens en niet voor anonieme gegevens. De Gedragscode Gezondheidsonderzoek bevat wel enkele bepalingen die zien op gebruik van anonieme gegevens voor onderzoek. Algemene vereisten (A) - De onderzoeker verricht geen handelingen met bestanden van anonieme gegevens (koppelingen, vergelijkingen, bewerkingen) waarmee de onderzoeker de identiteit van de betrokkene kan herleiden. - Anonieme gegevens mogen worden bewaard voor zover redelijkerwijs voorzienbaar is dat zij voor gezondheidsonderzoek kunnen worden (her)-gebruikt. Optioneel vereiste (B) - De onderzoeker is gehouden een voorgenomen onderzoek met anonieme gegevens, waarvan hij weet of vermoedt dat dit uit oogpunt van privacy vragen kan oproepen, vooraf ter toetsing voor te leggen aan een medisch-ethische toetsingscommissie. In dat geval mag het onderzoek niet worden aangevangen dan nadat deze commissie een positief oordeel heeft gegeven. (Gedragscode Gezondheidsonderzoek, artikel 2.12) Handreiking privacybescherming epidemiologie, september 2007 26 Toelichting Algemene vereisten (A) • Er is uitsluitend sprake van verwerking (verzameling en gebruik) van anonieme gegevens voor onderzoek als de onderzoeker en diens medewerkers op geen enkel moment beschikken over de mogelijkheid om de gegevens tot de persoon te herleiden. Bij het verkrijgen van nieuwe gegevens rechtstreeks bij betrokkene (bijvoorbeeld door vragenlijsten) zal moeten worden voorzien in volstrekt anonieme beantwoording en zal ook dan moeten worden gewaakt tegen verzameling van zodanige gegevens (en/of een combinatie van gegevens) in de vragenlijst dat indirecte herleiding mogelijk wordt. • In de praktijk zal in situaties waarin sprake is van het verzamelen van nieuwe gegevens bij betrokkenen voor onderzoek vrijwel nooit worden gekozen voor anonimiteit. Vaak zal er behoefte bestaan aan enigerlei vorm van identificatie bij de verwerking van de respons (voor een herinnering, voor analyse). Ook als na de initiële fase de gegevens worden ontdaan van alle identificerende kenmerken (hetgeen meer omvat dan het verwijderen van NAW-gegevens), dan is geen sprake van anonieme gegevensverzameling. • Als bestaande gegevens worden gebruikt die uit andere bron worden verkregen, dan geldt dat de verstrekker zorg moet dragen voor de anonimisering (verwijdering directe en indirect identificerende gegevens). • Weglating of verwijdering van communicatiegegevens is niet voldoende om te (kunnen) spreken van anonieme gegevens. • Bij sociaalwetenschappelijk onderzoek wordt onderscheid gemaakt tussen gegevens met een hoog onderscheidend karakter (leeftijd, woonplaats, beroep) en gegevens met een laag onderscheidend karakter (leeftijdsklasse, woonregio, beroepsklasse). • Gewaakt moet worden tegen verzameling, verkrijging en verstrekking van zodanige gegevens dat door combinatie en/of koppeling met andere bestanden bij de onderzoeker indirecte herleiding mogelijk wordt. • Bij gecodeerde gegevens is primair van belang dat de gegevens zonder de code niet herleidbaar zijn. Als geen sprake is van indirecte herleidbaarheid, dan zijn aanvullende waarborgen nodig om daadwerkelijke identificatie via de code tegen te gaan voordat gesproken kan worden van anonieme gegevens. Optionele vereisten (B) • In de Gedragscode Gezondheidsonderzoek wordt aanbevolen om extra zorgvuldig om te gaan met onderzoek met anonieme gegevens als de uitkomsten een bijzondere betekenis kunnen hebben voor een bepaalde groep in de bevolking. Dan kan de groepsprivacy in het geding zijn. Handreiking privacybescherming epidemiologie, september 2007 27 5.2. Onderzoek met persoonsgegevens Inleiding Op gebruik van persoonsgegevens is de Wbp van toepassing. Als het gaat om gebruik van persoonsgegevens waarop een beroepsgeheim rust, dan is ook de Wgbo van belang. Persoonsgegevens waarop een beroepsgeheim rust zijn gegevens die zijn verzameld in het kader van hulpverlening (dan wel in het kader van andere verrichtingen op het gebied van de individuele gezondheidszorg) door of onder verantwoordelijkheid van een Biggeregistreerde beroepsbeoefenaar. Op gegevens die buiten dit Wgbo-kader zijn of worden verzameld, bijvoorbeeld voor onderzoeksdoeleinden, rust geen beroepsgeheim. Voorbeelden van situaties van gebruik voor onderzoek door de GGD van persoonsgegevens waarop geen beroepsgeheim rust: • Verzameling van gezondheidsgegevens door de GGD rechtstreeks bij betrokkene voor onderzoeksdoeleinden (primair gebruik/verzameling) • (her)-gebruik van gezondheidsgegevens door de GGD van voor onderzoeksdoeleinden (door de GGD dan wel anderen) verzamelde gegevens (secundair gebruik) Consequentie: Wbp van toepassing en Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek relevant. Voorbeelden van situaties van gebruik voor onderzoek (door de GGD) van persoonsgegevens waarop het beroepsgeheim rust: • Gebruik van gezondheidsgegevens door de GGD voor onderzoeksdoelen die binnen de GGD voor behandelingsdoeleinden zijn vastgelegd (secundair gebruik); • Gebruik van gezondheidsgegevens door de GGD die door andere hulpverleners voor behandelingsdoeleinden zijn vastgelegd en door hen aan de GGD voor onderzoeksdoeleinden worden verstrekt (secundair gebruik); • Hergebruik van gezondheidsgegevens (die primair zijn verzameld voor behandelingsdoeleinden, conform de wettelijke vereisten beschikbaar zijn gesteld voor een bepaald onderzoek) voor nieuw, ander onderzoek. Consequentie: naast Wbp ook de bepalingen van de Wgbo en de uitwerking daarvan in de Gedragscode Gezondheidsonderzoek van toepassing. Onderzoek met persoonsgegevens waarop geen beroepsgeheim rust In de praktijk kan voor primaire gegevensverzameling (bij de bron zelf) gebruik worden gemaakt van verschillende methoden, bijvoorbeeld: • Het afnemen van schriftelijke (of elektronische) vragenlijsten; • Het afnemen van interviews; • Het laten bijhouden van dagboekjes; • Het verrichten van metingen of het doen van observaties. Handreiking privacybescherming epidemiologie, september 2007 28 Van secundaire gegevensverzameling is sprake als gegevens die voor een ander onderzoek of voor andere doeleinden zijn verzameld worden (her-)gebruikt voor onderzoeksdoeleinden. Toepasselijke bepalingen Artikel 21 en artikel 23 Wbp bevatten uitzonderingen op het in artikel 16 Wbp neergelegde verbod tot verwerking van bijzondere persoonsgegevens zoals persoonsgegevens betreffende iemands gezondheid. Artikel 21 Wbp opent de ruimte voor verwerking van persoonsgegevens betreffende iemands gezondheid voor hulpverleners en instellingen in de gezondheidszorg en maatschappelijke dienstverlening voor behandelingsdoeleinden. Artikel 23 Wbp opent ruimte voor verwerking van alle soorten bijzondere persoonsgegevens voor andere doeleinden, mits aan de in dit artikel genoemde voorwaarden wordt voldaan. Artikel 23 lid 1 onder a Wbp noemt de uitdrukkelijke toestemming van betrokkene als een grondslag voor het mogen verwerken van persoonsgegevens betreffende iemands gezondheid. In artikel 23 lid 2 Wbp wordt ruimte geschapen om ook zonder toestemming bijzondere persoonsgegevens te verwerken voor wetenschappelijk onderzoek of statistiek, mits aan bijkomende voorwaarden wordt voldaan. De VBO Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek (2004), de VSNU Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek (2005) en FMWV Gedragscode Gezondheidsonderzoek (2004) bieden aanknopingspunten voor het op verantwoorde wijze omgaan met deze Wbp-bepalingen bij onderzoek. De Wbp laat ruimte voor secundair (her)-gebruik van bijzondere persoonsgegevens voor onderzoeksdoeleinden. Dit mag volgens de Wbp onder dezelfde condities gelden als voor primaire gegevensverzameling. Een uitzondering geldt voor het (her)-gebruik voor onderzoeksdoeleinden van persoonsgegevens die in het kader van hulpverlening zijn verzameld. Omdat op die persoonsgegevens een beroepsgeheim rust, biedt artikel 9 lid 4 Wbp geen ruimte voor verdere verwerking van dergelijke gegevens. Die ruimte moet gezocht worden in artikel 457 en 458 Wgbo (zie onder 5.2.3). Algemene vereisten (A) 1. Bepaal en motiveer waarom het in dit specifieke onderzoek nodig is om gebruik te maken van persoonsgegevens en waarom niet kan worden volstaan met gebruik van anonieme gegevens 2. Bepaal en motiveer waarom het in dit specifieke onderzoek nodig is om gebruik te maken van persoonsgegevens in de gekozen vorm (direct herleidbaar, indirect herleidbaar, gecodeerde) 3. Verwerf uitdrukkelijke toestemming van betrokkene voor de verwerking (verzameling, gebruik, bewaring) van de gegevens 4. Verwerk niet meer gegevens dan gelet op de doelstelling en de verworven toestemming toereikend, ter zake dienend en niet bovenmatig is te achten 5. Houdt rekening met de meldingsplicht voor verwerking van de persoonsgegevens bij het CBP Handreiking privacybescherming epidemiologie, september 2007 29 Optionele vereisten (B) De Gedragscode Gezondheidsonderzoek van de FMWV gaat formeel niet over onderzoek met gezondheidsgegevens waarop geen beroepsgeheim rust. In die Gedragscode zijn als algemene vereisten voor zorgvuldig onderzoek met gezondheidsgegevens aangegeven: n. 1. Stel een onderzoeksprotocol op 2. Laat dit onderzoeksprotocol toetsen door een METC Het is verstandig om in ieder geval het eerste vereiste altijd na te komen. Specifieke vereisten als overwogen wordt een beroep te doen op de in artikel 23 lid 2 Wbp mogelijkheid om zonder toestemming bijzondere persoonsgegevens te verwerken voor wetenschappelijk onderzoek of statistiek (C) 1. Specificeer waarom in dit specifieke onderzoek het vragen van uitdrukkelijke toestemming onmogelijk is of onevenredige inspanning kost (artikel 23 lid 2 onder c) 2. Beschrijf of en hoe aan de vereisten van artikel 23 lid 2 Wbp wordt voldaan: Dient het onderzoek een algemeen belang (artikel 23 lid 2 onder a)? Is de verwerking voor het betreffende onderzoek noodzakelijk (artikel 23 lid 2 onder b)? Hoe wordt voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad (zie artikel 23 lid 2 onder d)? Toelichting Algemene vereisten (A) A.3. Uitdrukkelijke toestemming voor gegevensverwerking • De verplichting in de Wbp tot het verwerven van uitdrukkelijke toestemming voor gegevensverwerking betekent dat betrokkene expliciet en ondubbelzinnig zijn wil moet uiten. Een stilzwijgende of impliciete toestemming is onvoldoende. Betrokken moet in woord, geschrift of gedrag uitdrukking geven aan zijn wil toestemming te verlenen voor de gegevensverwerking. • Betrokkene moet zijn wil in vrijheid hebben geuit en de toestemming moet gericht zijn op een bepaalde gegevensverwerking. • Voorafgaand aan het verkrijgen van uitdrukkelijke toestemming dient betrokkene zo volledig mogelijk te zijn geïnformeerd over het voorgenomen gebruik. De informatie is afgestemd op de betrokkene en betreft ten minste: o Waarom voor dit onderzoek de persoonsgegevens van betrokkene noodzakelijk zijn o Het doel van het onderzoek, het belang ervan, de eventuele gevolgen voor de betrokkene en de overige aspecten die de betrokkene redelijkerwijs voor diens oordeelsvorming behoeft o Als de onderzoeker een onderzoeksprotocol hanteert: dat dit onderzoeksprotocol, of eventueel een samenvatting daarvan, kan worden ingezien o Indien voor toetsing is gekozen: dat het onderzoek positief beoordeeld is door een medisch-ethische toetsingscommissie Handreiking privacybescherming epidemiologie, september 2007 30 • Schriftelijke verlening van toestemming is niet strikt nodig, maar is wel aan te bevelen. • Een eenmaal gegeven toestemming kan altijd worden ingetrokken. Voor zover mogelijk worden de persoonsgegevens van betrokkene dan uit het onderzoeksbestand verwijderd. Als dat niet mogelijk is, worden zij tenminste volledig anoniem gemaakt. • De Wbp bevat in artikel 5 een bepaling over de vertegenwoordiging van minderjarigen tot zestien jaar en oudere wilsonbekwamen die onder curatele of onder mentorschap zijn gesteld. De benodigde toestemming voor de verwerking van persoonsgegevens van minderjarigen moet van de ouders worden verkregen. Bij oudere wilsonbekwamen moet de toestemming voor verwerking van persoonsgegevens van de curator of mentor worden verkregen. • Soms is het verkrijgen van toestemming van vertegenwoordigers gecompliceerd, bijvoorbeeld omdat veel (extra) moeite moet worden gedaan om met de wettelijk vertegenwoordiger in contact te komen of omdat er (bijvoorbeeld bij meerderjarige wilsonbekwamen) geen wettelijk vertegenwoordiger (bekend) is. (Zie verder onder C). A.4. Toereikende en niet bovenmatige gegevensverzameling • De onderzoeksvraagstelling bepaalt de aard en omvang van de gegevensverzameling die noodzakelijk is te achten. Verzameling van meer gegevens dan strikt noodzakelijk is, is niet toegestaan. Verzameling van meer gegevens dan waarover de toestemming van betrokkene zich redelijkerwijs uitstrekt, is niet toegestaan. • Een onderzoeker verricht geen handelingen met een bestand van persoonsgegevens waardoor meer gegevens over betrokkenen worden opgenomen dan waarover hun toestemming zich uitstrekte. • Als het bestand uitsluitend indirect identificerende gegevens bevat, worden met dit bestand geen handelingen verricht (koppelingen, vergelijkingen, bewerkingen) waarmee de onderzoeker de identiteit van de betrokkene kan herleiden. A.5. Meldingsplicht Bij de verzameling van gegevens door de GGD voor onderzoeksdoeleinden is geen beroep mogelijk op artikel 16 van dat Vrijstellingsbesluit (2001). De GGD is niet aan te merken als een organisatie voor wetenschappelijk onderzoek of statistiek zoals bedoeld in artikel 30 van het Vrijstellingsbesluit. Dus de GGD moet (als verantwoordelijke) voldoen aan de plicht op grond van artikel 27 Wbp tot melding aan het CBP van de verwerking van persoonsgegevens voor onderzoeksdoeleinden. Daarbij volstaat het als de GGD eenmalig melding doet van het feit dat ten behoeve van verschillende (te specificeren) onderzoeksdoeleinden (per onderzoek te specificeren categorieën gegevens) worden verzameld. Als het voorgenomen onderzoek onder die omschrijving valt, dan hoeft niet iedere keer apart aangemeld dat er een (nieuwe) gegevensverwerking plaatsvindt. B. Optionele vereisten B.1. Opstellen onderzoeksprotocol Het opstellen van een onderzoeksprotocol is een belangrijk vereiste in de Gedragscode Gezondheidsonderzoek (FMWV). Zo’n protocol dient ten minste de volgende gegevens te bevatten: • De namen of de naam van de verantwoordelijke onderzoekers of onderzoeker. Handreiking privacybescherming epidemiologie, september 2007 31 • De doelstelling, vraagstelling, methoden en tijdsduur van het onderzoek. • De categorie personen over wie gegevens voor het onderzoek worden gebruikt. • Voor zover geen anonieme gegevens worden gebruikt: de reden waarom een ander type gegevens nodig is. • Degenen die bevoegd zijn persoonsgegevens in te zien. • Een beschrijving van de voorzieningen ter beveiliging van de gegevens, zowel op het niveau van de verantwoordelijke als specifiek voor het onderhavige onderzoek. • Een beschrijving van de wijze waarop de onderzoeker zal voldoen aan het gestelde in de Gedragscode Gezondheidsonderzoek. • De wijze waarop de resultaten van het onderzoek worden gepubliceerd • Indien direct identificerende gegevens worden gebruikt, of betrokkene inzage kunnen krijgen in de resultaten van het onderzoek en zo ja, op welke wijze. B.3. Toetsing protocol door een METC In de Gedragscode Gezondheidsonderzoek is aangegeven dat een onderzoeksprotocol ter toetsing voorgelegd moet worden aan een METC. Bij voorkeur zou in de toetsende METC een epidemioloog zitting moeten hebben of aan de METC moeten worden toegevoegd. In situaties waarin voor onderzoek gezondheidsgegevens worden gebruikt waarop geen beroepsgeheim rust en waarvoor toestemming wordt verworven, zou kunnen worden volstaan met een globale toetsing bijvoorbeeld van het onderzoeksformat. Dan is toetsing van individuele protocollen die aan zo’n format voldoen niet noodzakelijk. C. Vereisten bij het zonder toestemming verwerken van bijzondere persoonsgegevens voor onderzoek In een situatie van primaire gegevensverzameling bij betrokkene zal zich in de praktijk van GGDonderzoek niet vaak de complicatie voordoen dat daarbij geen toestemming voor gegevensverwerking kan worden gevraagd. Een mogelijke uitzondering kan zich voordoen bij primaire gegevensverzameling onder minderjarigen en/of meerderjarige wilsonbekwamen. Dan is het kunnen verkrijgen van toestemming van ouders of wettelijk vertegenwoordigers soms gecompliceerd. Een beroep op de uitzonderingsgrond van artikel 23 lid 2 Wbp is dan wellicht wel aan de orde. C.1. Motivering onmogelijkheid vragen toestemming of onevenredigheid inspanning om toestemming te verkrijgen. • Het is van belang dat de redenen waarom geen toestemming kan worden gevraagd in het onderzoeksprotocol gespecificeerd en onderbouwd worden. Bij de motivering van de onmogelijkheid om toestemming te vragen zal vooral gewezen moeten worden op factoren in de sfeer van de opzet en/of het bereik van het onderzoek • Van onevenredigheid van de inspanning om toestemming te verkrijgen zal bijvoorbeeld sprake zijn als door redenen aan de kant van de beoogde deelnemers veel moeite gedaan moet worden om de toestemming te verkrijgen terwijl het om verhoudingsgewijs weinig gevoelige informatie gaat. Handreiking privacybescherming epidemiologie, september 2007 32 C.2. Beschrijf of en hoe aan de vereisten van artikel 23 lid 2 Wbp wordt voldaan • Er is bijvoorbeeld sprake van onderzoek dat een algemeen belang dient als het doel van het onderzoek gelegen is in de sfeer van bevordering of bescherming van de volksgezondheid en er een redelijke mate van waarschijnlijkheid is dat een groep van enige omvang daarbij een aanzienlijk voordeel kan hebben. Voor GGD-onderzoek kan ook worden ge-/verwezen naar de Wcpv-taak. Van belang is dat uit het onderzoeksprotocol blijkt dat het gaat om kwantitatief en/of kwalitatief onderzoek met gebruikmaking van statistische of wetenschappelijke methodes waarmee wordt beoogd om over doelgroepen of populaties uitspraken te doen op nietindividueel identificeerbaar niveau. • Specifiek moet worden onderbouwd waarom het onderzoek niet zonder deze gegevens uitgevoerd kan worden. • De waarborgen die nodig zijn om te zorgen dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad, zullen afhangen van het concrete geval. Als persoonsgegevens moeten worden gebruikt, dienen dit zoveel mogelijk indirect identificerende gegevens te zijn. Gebruik van direct identificerende gegevens komt pas in aanmerking als het werkelijk niet anders kan. Verder valt te denken aan voorschriften met betrekking tot de toegang tot de gegevens, geheimhouding en de presentatie van de uitkomsten van het onderzoek. Onderzoek met persoonsgegevens waarop een beroepsgeheim rust Een beroepsgeheim rust op de gegevens die door de GGD of andere hulpverleners in het kader van een behandel-/hulpverleningsrelatie met hun patiënten zijn verzameld. Met dit beroepsgeheim moet rekening worden gehouden bij hergebruik van die gegevens voor onderzoeksdoeleinden. Bij verzameling door de GGD van gegevens direct voor onderzoeksdoeleinden, rust op die gegevens geen beroepsgeheim. Toepasselijke bepalingen In artikel 9 lid 4 Wbp is aangegeven dat een op gegevens rustend beroepsgeheim de door de Wbp geboden mogelijkheden tot verwerking van die persoonsgegevens beperkt. In artikel 457 Wgbo is de hoofdregel opgenomen voor de omgang met gegevens die in het kader van een behandelrelatie zijn verzameld en waarop het beroepsgeheim van de hulpverlener rust. Voor verstrekking van die gegevens aan derden is de toestemming van de patiënt vereist. Artikel 458 Wgbo bevat een specifieke regeling voor gebruik van dergelijke gegevens bij wetenschappelijk onderzoek als toestemming niet verkregen kan worden. De Gedragscode Gezondheidsonderzoek (FMWV) bevat een uitwerking van de vereisten voor gebruik bij wetenschappelijk onderzoek van gegevens waarop een beroepsgeheim rust. Handreiking privacybescherming epidemiologie, september 2007 33 Algemene vereisten (A) 1. Stel een onderzoeksprotocol op 2. Motiveer in het onderzoeksprotocol waarom het in dit specifieke onderzoek nodig is gebruik te maken van persoonsgegevens en waarom niet kan worden volstaan met gebruik van anonieme gegevens 3. Motiveer waarom het in dit specifieke onderzoek nodig is gebruik te maken van de gekozen vorm (direct herleidbaar, indirect herleidbaar, gecodeerde) van persoonsgegevens 4. Laat het protocol toetsen door een METC 5. Verwerf toestemming van betrokkene voor de verwerking (verzameling) van de gegevens 6. Verwerk niet meer gegevens dan gelet op de doelstelling en de verworven toestemming toereikend, ter zake dienend en niet bovenmatig is te achten 7. Houdt rekening met de meldingsplicht voor de verwerking van persoonsgegevens voor dit onderzoek bij het CBP Specifieke vereisten als overwogen wordt een beroep te doen op de in artikel 458 Wgbo opgenomen uitzonderingsgronden voor zonder toestemming gebruiken van gegevens voor wetenschappelijk onderzoek of statistiek (B) 1. Motiveer waarom het onderzoek een algemeen belang dient en waarom het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd (artikel 458 lid 2) 2. Geef aan dat de betrokken patiënt tegen verstrekking voor onderzoeksdoeleinden geen uitdrukkelijk bezwaar heeft gemaakt 3. Als om redenen aan de kant van de patiënt overwogen wordt om geen toestemming te vragen omdat dit in redelijkheid niet mogelijk is (artikel 458 lid 1 onder a): motiveer dit in het protocol en geef aan hoe bij de uitvoering van het onderzoek wordt voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad 4. Als om redenen aan de kant van het wetenschappelijk onderzoek overwogen wordt om geen toestemming te vragen omdat dit in redelijkheid niet kan worden verlangd (artikel 458 lid 1 onder b): motiveer dit in het protocol en geef aan hoe zorg wordt gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen Handreiking privacybescherming epidemiologie, september 2007 34 Toelichting Algemene vereisten (A) A.1. Opstellen van een onderzoeksprotocol In zo’n protocol zijn ten minste de volgende gegevens opgenomen: • De namen of de naam van de verantwoordelijke onderzoekers of onderzoeker. • De doelstelling, vraagstelling, methoden en tijdsduur van het onderzoek. • De categorie personen over wie gegevens voor het onderzoek worden gebruikt. • Voor zover geen anonieme gegevens worden gebruikt: de reden waarom een ander type gegevens nodig is. • Degenen die bevoegd zijn persoonsgegevens in te zien. • Een beschrijving van de voorzieningen ter beveiliging van de gegevens, zowel op het niveau van de verantwoordelijke als specifiek voor het onderhavige onderzoek. • Een beschrijving van de wijze waarop de onderzoeker zal voldoen aan het gestelde in de gedragscode. • De wijze waarop de resultaten van het onderzoek worden gepubliceerd. • Indien direct identificerende gegevens worden gebruikt: of betrokkene inzage kunnen krijgen in de resultaten van het onderzoek en zo ja, op welke wijze. A.4. Toetsing door METC De Gedragscode Gezondheidsonderzoek bepaalt dat onderzoek met persoonsgegevens waarop een beroepsgeheim rust ter toetsing moeten worden voorgelegd aan een METC. A.5. Toestemmingsvereiste • Artikel 457 Wgbo eist voor verstrekking door de hulpverlener van gegevens aan derden (waaronder onderzoekers) toestemming van de patiënt. In de Wgbo worden geen verdere (vorm-)vereiste gesteld aan de toestemming. • Voorafgaand aan het verkrijgen van toestemming dienen de betrokkenen zo volledig mogelijk te zijn geïnformeerd over het voorgenomen gebruik. De informatie is afgestemd op de betrokkene en betreft ten minste: o Dat de verstrekker wil meewerken aan het voorgenomen onderzoek door voor dat doel gegevens ter beschikking te stellen o Waarom voor dit onderzoek de persoonsgegevens van betrokkene noodzakelijk zijn o Het doel van het onderzoek, het belang ervan, de eventuele gevolgen voor de betrokkene en de overige aspecten die de betrokkene redelijkerwijs voor diens oordeelsvorming behoeft o Dat de onderzoeker een onderzoeksprotocol hanteer dat, of eventueel een samenvatting daarvan, kan worden ingezien o • Dat het onderzoek positief beoordeeld is door een medisch-ethische toetsingscommissie De verantwoordelijkheid voor het verwerven van die toestemming berust bij de hulpverlener die de gegevens ter beschikking stelt. Die hulpverlener (afdeling JGZ, Infectieziekten, OGGZ) kan gebruik maken van bestaande behandelcontacten om die toestemming te verwerven. De onderzoeker die de gegevens van de hulpverlener ontvangt, moet zich er van vergewissen dat de verstrekker heeft voldaan aan het toestemmingsvereiste (inclusief informatieverstrekking) Handreiking privacybescherming epidemiologie, september 2007 35 • Een eenmaal gegeven toestemming kan altijd worden ingetrokken. Voor zover mogelijk worden de gegevens van de betrokkene dan uit het onderzoeksbestand verwijderd. Indien dat niet mogelijk is, worden zij tenminste volledig anoniem gemaakt. • Als de patiënt zelf – wegens wilsonbekwaamheid – niet in staat is om toestemming te verlenen, dient toestemming van diens wettelijke vertegenwoordiger te worden verkregen. Artikel 465 Wgbo bevat specifieke bepalingen voor de vertegenwoordiging van wilsonbekwamen. Vanaf 12 jaar is (ook) toestemming van de minderjarige zelf nodig voor de gegevensverstrekking. • Soms is het gecompliceerd om toestemming van een vertegenwoordiger te verkrijgen, bijvoorbeeld doordat veel (extra) moeite moet worden gedaan om met de wettelijk vertegenwoordiger in contact te komen of doordat er (bij meerderjarige wilsonbekwamen) geen wettelijk vertegenwoordiger (bekend) is. In dergelijke situaties moet bepaald worden of zonder de vereiste toestemming van de wettelijk vertegenwoordiger gehandeld kan worden, met een beroep op de uitzonderingsgronden van artikel 458 Wgbo (zie onder B). A.6. Toereikende en niet bovenmatige gegevensverzameling De onderzoeksvraagstelling bepaalt de aard en omvang van de gegevensverzameling die noodzakelijk is te achten. Verzameling van meer gegevens dan strikt noodzakelijk is, is niet toegestaan. Verzameling van meer gegevens dan waarover de toestemming van betrokkene zich redelijkerwijs uitstrekt, is niet toegestaan. • Een onderzoeker verricht geen handelingen met een bestand van persoonsgegevens waardoor meer gegevens over betrokkenen worden opgenomen dan waarover hun toestemming zich uitstrekte. • Als het bestand uitsluitend indirect identificerende gegevens bevat, worden met dit bestand geen handelingen verricht (koppelingen, vergelijkingen, bewerkingen) waarmee de onderzoeker de identiteit van de betrokkene kan herleiden. A.7. Meldingsplicht Bij de verkrijging van gegevens door de GGD voor onderzoeksdoeleinden is geen beroep mogelijk op artikel 16 van dat Vrijstellingsbesluit (2001). De GGD is niet aan te merken als een organisatie voor wetenschappelijk onderzoek of statistiek zoals bedoeld in artikel 30 van het Vrijstellingsbesluit. Dus de GGD moet (als verantwoordelijke) voldoen aan de plicht op grond van artikel 27 Wbp tot melding aan het CBP van de verwerking van persoonsgegevens voor onderzoeksdoeleinden. Daarbij volstaat het als de GGD eenmalig melding doet van het feit dat ten behoeve van verschillende (te specificeren) onderzoeksdoeleinden (per onderzoek te specificeren categorieën gegevens) worden verzameld. Als het voorgenomen onderzoek onder die omschrijving valt, dan hoeft niet iedere keer apart aangemeld dat er een (nieuwe) gegevensverwerking plaatsvindt. Specifieke vereisten als overwogen wordt een beroep te doen op de in artikel 458 Wgbo opgenomen uitzonderingsgronden voor het niet verwerven van toestemming (B). B.1 Onderzoek dient algemeen belang en kan niet zonder de desbetreffende gegevens worden uitgevoerd Handreiking privacybescherming epidemiologie, september 2007 36 Er is bijvoorbeeld sprake van onderzoek dat een algemeen belang dient als het doel van het onderzoek gelegen is in de sfeer van bevordering of bescherming van de volksgezondheid en er een redelijke mate van waarschijnlijkheid is dat een groep van enige omvang daarbij een aanzienlijk voordeel kan hebben. Voor GGD-onderzoek kan daarbij ook worden ge-/verwezen naar de Wcpv-taak. Van belang daarbij is dat uit het onderzoeksprotocol blijkt dat het gaat om kwantitatief en/of kwalitatief onderzoek met gebruikmaking van statistische of wetenschappelijke methodes waarmee wordt beoogd om over doelgroepen of populaties uitspraken te doen op nietindividueel identificeerbaar niveau. Dat dit onderzoek niet zonder de gevraagde gegevens kan worden uitgevoerd en evenmin kan worden uitgevoerd op een wijze die de persoonlijke levenssfeer minder belast, moet specifiek worden onderbouwd. Als persoonsgegevens moeten worden gebruikt, dienen dit zoveel mogelijk indirect identificerende gegevens te zijn. Gebruik van direct identificerende gegevens komt pas in aanmerking als het werkelijk niet anders kan. Aan dit aspect van het voorgenomen onderzoek dient bij de toetsing uitdrukkelijk aandacht te zijn besteed. B.2 Patiënt heeft geen bezwaar gemaakt De voor de verstrekking van de gegevens verantwoordelijke hulpverlener moet patiënten/cliënten minstens een algemene schriftelijke informatiefolder hebben verstrekt. Daarin moet zijn aangegeven: dat de hulpverlener en de instelling waaraan deze is verbonden gegevens van patiënten voor wetenschappelijk onderzoek ter beschikking kunnen stellen, dat in beginsel aan patiënten toestemming voor dat gebruik zal worden gevraagd en dat het mogelijk is om tegen dit gebruik van gegevens voor onderzoek als patiënt bezwaar te maken. Het is de verantwoordelijkheid van de onderzoeker die de gegevens ontvangt om zich er van te vergewissen dat de gegevensverstrekkende hulpverlener deze verplichting adequaat heeft vorm gegeven. B.3. Specifieke motivering waarom het vragen van toestemming vanwege redenen aan de kant van de patiënt in redelijkheid niet mogelijk is en aangeven hoe bij de uitvoering van het onderzoek wordt voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad • Voorbeelden van redenen aan de kant van de patiënt waardoor het vragen van toestemming niet mogelijk is zijn: - het vragen van toestemming kan een zodanige belasting voor de betrokkene betekenen dat voor psychische schade moet worden gevreesd - de betrokkene is overleden of het adres kan niet worden achterhaald - betrokkene reageert niet na ten minste tweemaal aangeschreven te zijn - het gaat om het trekken van een juiste steekproef en de vraag om toestemming zou aan een veel groter aantal personen moeten worden voorgelegd dan voor het beantwoorden van de onderzoeksvragen noodzakelijk is, omdat van hen slechts een klein deel in het onderzoek zal worden betrokken - de toestemmingsvraag kan niet zinvol worden gesteld, omdat het onderzoek zich nog in een eerste voorbereidende fase bevindt (dan kan het onderzoeksprotocol ook nog niet positief zijn beoordeeld) Handreiking privacybescherming epidemiologie, september 2007 37 • Waarborgen om bij de uitvoering van het onderzoek te zorgen dat de persoonlijke levenssfeer van degenen van gegevens worden gebruikt niet onevenredig wordt geschaad zijn bijvoorbeeld dat gegevens uitsluitend worden verwerkt door medewerkers onder directe verantwoordelijkheid van de onderzoeker; dat medewerkers een geheimhoudingsverklaring hebben getekend; dat het onderzoek overeenkomstig het protocol wordt uitgevoerd; dat bij het verwerken van direct identificerende gegevens zoveel mogelijk onderscheid bestaat tussen het onderzoeksbestand en het communicatiebestand met de direct identificerende gegevens. Daarnaast kan bijvoorbeeld bij het trekken van een steekproef specifiek worden gedacht aan: het vastleggen van de procedure in het protocol; de inzage laten plaatsvinden bij en onder verantwoordelijkheid van de bij de behandeling betrokken hulpverlener; niet meer gegevens inzien dan voor het trekken van de steekproef noodzakelijk is; het door de onderzoeker ondertekenen van een geheimhoudingsverklaring; en als de steekproef is getrokken: de geselecteerde dossiers bij de hulpverlener laten terwijl alsnog toestemming wordt gevraagd aan diegenen die in het onderzoek worden betrokken voordat hun persoonsgegevens in het onderzoek worden verwerkt. Als het gaat om de ‘ontwerpfase’ van een onderzoek kan worden gedacht aan: de inzage vindt plaats onder verantwoordelijkheid van de bij de behandeling betrokken hulpverlener; er worden niet meer gegevens ingezien dan noodzakelijk voor het omschrijven van de vraagstelling; het doel en het tijdstip van de inzage zijn tevoren schriftelijk vastgelegd tussen hulpverlener en onderzoeker en de onderzoeker heeft een geheimhoudingsverklaring ondertekend Het gaat hier om inspanningsverplichtingen en niet om absolute eisen. B.4. Specifieke motivering waarom vanwege onderzoekstechnische redenen het vragen van toestemming in redelijkheid niet kan worden verlangd en aangeven hoe vorm wordt geven aan het vereiste dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen - Het beroep op de uitzondering op het toestemmingsbeginsel vanwege onderzoekstechnische redenen moet methodologisch worden onderbouwd. In het protocol moet specifiek worden aangegeven waarom de hoofdregel van het vragen van toestemming voor gebruik van persoonsgegevens niet kan worden toegepast en er redelijkerwijs geen alternatieve mogelijkheid bestaat om het doel van het onderzoek te bereiken. - Verstrekking waarbij herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen kan vorm worden gegeven doordat de onderzoeker die deze persoonsgegevens van één of meer hulpverleners wil verkrijgen, met elke verstrekkende hulpverlener vastlegt: o dat de hulpverlener de gevraagde gegevens voorafgaande aan de verstrekking ontdoet van direct identificerende kenmerken en van een code voorziet, een en ander op zodanige wijze dat de onderzoeker de verkregen gegevens redelijkerwijs niet tot individuele personen kan herleiden en dat herkenning redelijkerwijs wordt voorkomen o dat de hulpverlener de sleutel tot herleiding van de gecodeerde gegevens zorgvuldig bewaart Handreiking privacybescherming epidemiologie, september 2007 38 o dat de onderzoeker met bestanden van gecodeerde gegevens geen handelingen (koppelingen, vergelijkingen, bewerkingen) verricht bedoeld om tot herleiding van de betrokkene te komen o dat de Gedragscode in zijn geheel wordt nageleefd door allen die bij het onderzoek betrokken zijn De onderzoeker die in de loop van het onderzoek aanvullende gegevens wil verkrijgen over personen van wie hij gecodeerde gegevens gebruikt, kan een verstrekkende hulpverlener vragen om de betreffende gegevens weer zo te verstrekken dat de onderzoeker de verkregen aanvullende gegevens redelijkerwijs niet tot de betrokkene kan herleiden en dat herkenning redelijkerwijs wordt voorkomen. Handreiking privacybescherming epidemiologie, september 2007 39 6. Overige aspecten 6.1. Overige rechten van betrokkene In hoofdstuk 6 van de Wbp is een aantal rechten van betrokkene over wie persoonsgegevens worden verwerkt neergelegd waarvan met name van belang zijn: de informatieplicht van de verantwoordelijke (artikel 33-35), het recht op verbetering, aanvulling, verwijdering of afscherming van de gegevens (artikel 36) en het recht op verzet tegen verwerking vanwege bijzondere persoonlijke omstandigheden (artikel 40). In artikel 44 Wbp is vastgelegd dat bij verwerking voor statistische of wetenschappelijke doeleinden de betrokkene niet hoeft te worden geïnformeerd over de gegevensverwerking indien de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden worden gebruikt. Het informeren van betrokkenen wordt dan beschouwd als een onevenredige inspanning vergend. Ook mag de verantwoordelijke in zo’n situatie weigeren aan een verzoek tot inzage van betrokkene te voldoen. Deze uitzonderingen gelden niet voor persoonsgegevens waarop een beroepsgeheim rust. In de Gedragscode Gezondheidsonderzoek (artikel 7.3) is aangegeven dat betrokkene recht heeft op inzage, op correctie en op blokkering dan wel verwijdering van gegevens die direct betrekking hebben op betrokkene. De onderzoeker kan, als betrokkene van een recht op blokkering of verwijdering gebruik wil maken of heeft gemaakt, besluiten deze persoonsgegevens tot anonieme gegevens om te zetten. 6.2. Bewaring van persoonsgegevens gebruikt in het onderzoek De mogelijkheden tot bewaring van onderzoeksgegevens verschillen afhankelijk van de vraag of op de persoonsgegevens wel of niet een beroepsgeheim rust. Persoonsgegevens waarop geen beroepsgeheim rust Op grond van artikel 10 lid 2 Wbp mogen persoonsgegevens langer worden bewaard, in een vorm waarin het mogelijk is betrokkene te identificeren, voor historische, statistische of wetenschappelijke doeleinden. De verantwoordelijke moet dan de nodige voorzieningen treffen om te waarborgen dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt. Dit is een uitzondering op de hoofdregel dat persoonsgegevens niet langer mogen worden bewaard - in een vorm die het mogelijk maakt betrokkene te identificeren - dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Bewaring van gegevens in een vorm waarin herleidbaarheid tot de persoon niet (meer) mogelijk is (geanonimiseerde bestanden c.q. gegevens) is toegestaan. Handreiking privacybescherming epidemiologie, september 2007 40 Persoonsgegevens waarop een beroepsgeheim rust Onderzoeksgegevens waarop een beroepsgeheim rust mogen slechts voor de duur van het onderzoek worden bewaard. De Gedragscode Gezondheidsonderzoek geeft aan dat als er geen onderscheid is gemaakt tussen een communicatiebestand en een onderzoeksbestand, het onderzoeksbestand moet worden vernietigd of geanonimiseerd zodra redelijkerwijs voorzienbaar is dat het niet meer voor dit onderzoek zal worden gebruikt. Als er wel een communicatiebestand is aangelegd, dient dit bestand te worden verwijderd zodra het voor het doel van het onderzoek niet meer noodzakelijk is daarover te beschikken. De onderzoeker houdt een bestand over zonder directe identificatiegegevens. Dit mag uitsluitend worden bewaard zolang redelijkerwijs voorzienbaar is dat het voor het gezondheidsonderzoek noodzakelijk zal zijn. Daarna moet ook dit bestand worden vernietigd of geanonimiseerd. Handreiking privacybescherming epidemiologie, september 2007 41 < Stroomschema (flap omslaan) GGD Nederland Adriaen van Ostadelaan 140 Postbus 85300 3508 AH Utrecht T 030 252 30 04 F 030 251 18 69 [email protected] www.ggd.nl Beter voorkomen Kwaliteitsprogramma preventie Het landelijke kwaliteitsprogramma Beter voorkomen wordt uitgevoerd door GGD Nederland, de VNG en ActiZ, organisatie van zorgondernemers, in opdracht van het ministerie van VWS en onder regie van ZonMw.
