15 april 2021
Steeds meer zorgen over onderzoeksimpact AVG
Joep Roet
Plaatsvervangend directeur
Stel uw vraag
Meer informatie nodig? Stel uw vraag aan één van onze medewerkers
15 april 2021
Plaatsvervangend directeur
Meer informatie nodig? Stel uw vraag aan één van onze medewerkers
Ook in 2021 houdt de kritiek op de impact van Europese privacyregels op onderzoek aan. Europese wetenschapsacademiën oordelen onomwonden dat de AVG internationaal gezondheidsonderzoek hindert en vragen om actie. De Commissie concludeert dat lidstaten een verstikkende lappendeken aan privacyregels hebben gebreid en krijgt steun van het Parlement. Ondertussen schrijft de toezichthouder richtlijnen voor onderzoekers, maar is dat genoeg?
Drie koepels van Europese wetenschapsacademiën luiden de noodklok over de gevolgen van Europese privacyregels op internationaal gezondheidsonderzoek. De Algemene Verordening Persoonsgegevens (AVG) hindert de uitwisseling van gegevens over de grens, aldus de European Federation of Academies of Sciences and Humanities (ALLEA), de European Academies’ Science Advisory Council (EASAC) en de Federation of European Academies of Medicine (FEAM) in het rapport ‘International Sharing of Personal Health Data for Research.’ De AVG voorziet weliswaar in een regeling voor het delen van gegevens buiten de EU, maar partners uit die landen kunnen niet altijd aan de voorwaarden voldoen. Zo gebruiken Amerikaanse bedrijven vaak “standard contractual clauses” als juridisch vangnet, maar publieke onderzoeksinstellingen mogen deze niet gebruiken van de Amerikaanse wet. En voor veel Afrikaanse partners is de AVG een onoverkomelijke kostenpost, aldus de koepels.
Ook binnen Europa is de situatie niet optimaal, concludeert de Commissie. Lidstaten hebben beperkte vrijheid in de implementatie van de AVG en maken daar volop gebruik van. Maar liefst 14 lidstaten stelden aanvullende regels op voor het gebruik van gezondheidsgegevens door publieke onderzoeksinstellingen. De lappendeken hindert de toegang tot gegevens, om van samenwerking over de grens niet te spreken. Dat blijkt uit de studie ‘Assessment of the EU Member States’ rules on health data in the light of GDPR.’ In een bijbehorende enquête oordeelt driekwart van de onderzoeksinstellingen dat de toegang tot gegevens op dit moment niet makkelijk is. 81% van de ondervraagden wil dat in heel Europa dezelfde regels gelden.
Het Parlement betreurt de versnippering in de lidstaten, zo luidt een resolutie uit maart. De lappendeken drijft de kosten van naleving op en zorgt ervoor dat organisaties vaker onbedoeld de mist in gaan. Juist de coronacrisis heeft het belang aangetoond van snelle datadeling, aldus de volksvertegenwoordigers. Het Parlement vraagt dan ook om duidelijke richtsnoeren voor wetenschappers. De resolutie is een reactie op een algemene evaluatie van de AVG in 2020, waarin de Commissie ook al gedragscodes voorstelde. Overigens wijzen Commissie en Parlement voornamelijk naar de uitvoering als oorzaak van de problemen. Het ontwerp van de AVG is “een algemeen succes” gebleken, en met een herziening van de wet is dus niet te rekenen.
De Europese toezichthouder neemt de vraag naar gedragscodes serieus. De komende twee jaar schrijft de European Data Protection Board (EDPB) maar liefst 35 richtlijnen, aanbevelingen en adviezen voor de praktijk, zo blijkt uit het werkprogramma 2021-22. Eén van deze richtlijnen richt zich specifiek op onderzoekers, namelijk het “processing of personal data for medical and scientific research purposes”. Begin 2021 verscheen al een rapport met ‘clarifications on the consistent application of the GDPR, focusing on health research,’ waarin de EDPB onder meer ingaat op de vraag of genetische data überhaupt geanonimiseerd kan worden. Verder wijdt de toezichthouder een fiks aantal rapporten aan internationale transfers.
Ondertussen werkt de Commissie aan haar voorstel voor een Europese datamarkt. De ‘Data Governance Act’ beoogt een soepelere uitwisseling van data tussen lidstaten en zou overheden onder meer verplichten om hun gegevens beschikbaar te stellen aan onderzoekers. Eind 2021 volgt een ‘Data Act’ met rechten en plichten voor het gebruik van gegevens. Samen moeten deze regels de weg effenen voor negen sectorale dataruimtes, met de Health Data Space als koploper eind 2021. Uiteindelijk moeten de sectoren vervlochten worden tot één dataruimte.
Biedt de Europese dataruimte voldoende houvast voor onderzoekers? Dat is nog te bezien. De plannen van de Commissie stipten al aan dat gevoelige data in overheidsdatabases vaak niet hergebruikt kunnen worden, omdat de bescherming van persoonsgegevens onvoldoende ruimte laat. Voor onderzoekers is bovendien belangrijk dat de dataruimtes aansluiten op de European Open Science Cloud, zodat gegevens makkelijk te vinden zijn. De wetenschapsacademiën zijn alvast concreet. De EU moet snel duidelijkheid scheppen over de toepassing van Europese regels, het liefst met adviezen en voorbeelden uit de praktijk. Verder is de AVG wereldwijd leidend, stellen de koepels, maar daarom is de EU het ook aan zichzelf verplicht om internationale afspraken te maken. Zo kan de EU andere landen adviseren over nieuwe privacyregels, zodat deze direct voldoen aan de Europese eisen.
De Algemene Verordening Persoonsgegevens regelt de bescherming van persoonlijke data en trad in werking in 2018. Hoewel de wet uitzonderingen maakt voor wetenschappelijke onderzoek, blijft de AVG een zorg voor onderzoekers. Met name gezondheidsonderzoekers zijn getroffen, want genetische, biometrische en gezondheidsgegevens zijn extra beschermd.
Digitalisering is één van de twee topprioriteiten van de Commissie, naast de Green Deal. Naast Europese dataruimtes wil de Commissie onder meer de betrouwbaarheid van kunstmatige intelligentie versterken. In het ‘Digitale Kompas’ stelt de Commissie vier doelen voor 2030, namelijk onderwijs en vaardigheden, veilige en duurzame digitale infrastructuren, digitale transformatie van bedrijven en digitalisering van overheidsdiensten.