Ruime uitleg privacytoezichthouders van gezondheidsgegevens in mobiele apps
18 februari 2015
Ruime uitleg privacytoezichthouders van gezondheidsgegevens in mobiele apps
Ruime uitleg privacytoezichthouders van gezondheidsgegevens in mobiele apps
Aanbieders van apps moeten zich realiseren dat het begrip “gezondheidsgegevens” ruim wordt geïnterpreteerd. Althans, dat blijkt uit een advies van Europese privacytoezichthouders van 5 februari 2015. De privacytoezichthouders beschrijven dat er een grijs gebied is van gegevens die op het eerste gezicht geen gezondheidsgegevens lijken te zijn, maar wel zo moeten worden uitgelegd. Als persoonsgegevens iets kunnen zeggen over iemands gezondheid of over gezondheidsrisico’s dan moeten de gegevens als gezondheidsgegevens worden behandeld. Dat is een interessant standpunt, want op deze wijze kan het begrip gezondheidsgegevens wel heel ver worden opgerekt.
Welke gegevens zijn gezondheidsgegevens?
Gezondheidsgegevens worden onder het Europese en Nederlandse privacyrecht van nature als extra gevoelig beschouwd en mogen alleen onder strikte voorwaarden worden verwerkt. Dit is begrijpelijk, want een onzorgvuldige verwerking van gezondheidsgegevens kan grote gevolgen voor iemand hebben. De Wet bescherming persoonsgegevens (Wbp) verbiedt het verwerken van gezondheidsgegevens, tenzij een van de uitzonderingen uit de Wbp van toepassing is. In veel gevallen mogen gezondheidsgegevens alleen worden verwerkt met de uitdrukkelijke toestemming van de betrokkene (dat is degene van wie de gegevens worden verwerkt).
Het verbaast niet dat de Europese privacywaakhonden het belang benadrukken van een stevige privacybescherming waar het gaat om het gebruik van gezondheidsgegevens in mobiele apps. Het begrip gezondheidsgegevens moet volgens hen ruim geïnterpreteerd worden. Niet alleen medische gegevens, zoals het medisch dossier bij een arts, moeten als zodanig worden aangemerkt, maar ook bijvoorbeeld gegevens over iemands rookgedrag, of iemand contactlenzen draagt, of het lidmaatschap van een patiënten support groep zijn gezondheidsgegevens. Ook apps die iemands bloeddruk of hartslag registreren, moeten aan de wettelijke regels voor gezondheidsgegevens voldoen. Tot zover beschrijven de toezichthouders nog niets nieuws.
Grijs gebied van gezondheidsgegevens
Interessanter is dat de toezichthouders beschrijven dat er ook een ‘grijs gebied’ is van gegevens die op het eerste gezicht geen gezondheidsgegevens zijn, maar die wél als zodanig moeten worden aangemerkt. Bijvoorbeeld omdat bepaalde - ogenschijnlijk betrekkelijk onschuldige - gegevens worden gecombineerd met andere gegevens waardoor aannames kunnen worden gedaan over de gezondheid van een persoon. Als voorbeeld hiervan noemen de toezichthouders het analyseren van sombere uitingen op social media networks. Als deze berichten worden geanalyseerd met het oog op het ontdekken van mogelijke depressiviteit van de verzenders, dan gaat het om gezondheidsgegevens.
Het criterium is volgens de toezichthouders of er op basis van de gegevens, eventueel in combinatie met andere gegevens, conclusies (al dan niet juist) getrokken kunnen worden over iemands gezondheid of gezondheidsrisico’s. Het begrip ‘gezondheidsgegevens’ kan door deze interpretatie wel heel ver worden opgerekt. Zo komen de neutrale gegevens lengte en gewicht al heel snel onder het strenge regime van de categorie gezondheidsgegevens, omdat deze gegevens in combinatie met andere gegevens mogelijk iets zeggen over iemands gezondheid. Het zal nog niet makkelijk zijn te doorgronden waar en hoe de privacytoezichthouders dit ‘grijze gebied’ van gezondheidsgegevens afbakenen.
Wat betekent dat voor aanbieders van lifestyle en gezondheidsapps?
App aanbieders moeten er rekening mee houden dat hun applicaties de komende tijd volop in de belangstelling staan van de privacytoezichthouders. Ook lifestyle gegevens die op het eerste gezicht geen betrekking hebben op iemands gezondheid zullen naar verwachting snel worden aangemerkt als gezondheidsgegevens. In dat geval mogen de gegevens (in bijna alle gevallen) alleen worden verwerkt als vooraf toestemming wordt gevraagd aan degene wiens gegevens het betreft. Het is daarom belangrijk transparant te zijn over welke gegevens door het gebruik van de applicatie worden verzameld en voor welke doelen de gegevens worden gebruikt. Daarnaast moeten app aanbieders zorg dragen voor een goede beveiliging van de gegevens die zij verzamelen. Waar mogelijk moeten gegevens worden geanonimiseerd of gepseudonimiseerd.
Tot slot is relevant te vermelden dat de Nederlandse privacytoezichthouder, het College bescherming persoonsgegevens (CBP) in zijn toezichtsagenda voor 2015 heeft aangegeven dat de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, een speerpunt voor onderzoek zal zijn komend jaar. In het najaar van 2014 had het CBP reeds aangegeven dat er de komende tijd veel aandacht zal zijn voor het gebruik van persoonsgegevens en mobiele apps.