Vraag 1

Kent u het bericht 'Is een online DNA-test betrouwbaar?' en de bijbehorende uitzending van het tv-programma Radar?1)

Antwoord 1

Ja.

Vraag 2

Deelt u de mening dat uit DNA bijzondere persoonsgegevens kunnen worden verkregen en dat derhalve deze gegevens op grond van de Algemene verordening gegevensbescherming (AVG) of de Uitvoeringswet AVG (UAVG) extra beschermd behoren te worden? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 2

Ja. DNA valt als genetisch gegeven onder de categorie bijzonder persoonsgegevens in de zin van de AVG. Op grond van de AVG en UAVG geldt voor deze verwerking een streng regime. Dat komt er op neer dat verwerking in beginsel verboden is tenzij de wetgeving de verwerking expliciet toestaat. Voor genetische gegevens geldt dat verwerking zonder toestemming, ook al is sprake van een zwaarwegend algemeen belang, door de wetgever slechts beperkt wordt toegestaan (art. 28 AVG). Hierdoor wordt extra bescherming geboden aan dit soort persoonsgegevens.

Vraag 3

Mag een onderneming die ten behoeve van onderzoek naar de afkomst van cliënten DNA materiaal verkrijgt, dat materiaal delen met anderen? Zo ja, op grond waarvan? Zo nee, waarom niet en wat kunnen de gevolgen voor die onderneming zijn in het geval zij die gegevens toch deelt?

Antwoord 3

Om rechtmatig DNA materiaal te mogen delen met anderen moet binnen het gesloten systeem van uitzonderingen op het beginselverbod (zie vorige vraag) een uitzondering aan te wijzen zijn die dat mogelijk maakt. Als het gaat om een organisatie met commerciële doestellingen die gegevens aan derden levert, komt alleen de uitzondering ‘uitdrukkelijke toestemming’ in aanmerking. Dit volgt uit artikel 9 van de AVG. Verwerkingen zonder toestemming is in een beperkt aantal bijzondere gevallen wel mogelijk, maar daar is in de context van een organisatie met commerciële doelstellingen geen sprake van. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Tegen de onderneming die dit verbod overtreedt kan de bevoegde toezichthouder, al dan niet naar aanleiding van een klacht, handhavend optreden.

Vraag 4

Mag het genoemde bedrijf 23andMe gegevens delen met een groot farmaceutisch bedrijf zoals GlaxoSmithKline? Is het daarbij relevant of er sprake is van bijzondere persoonsgegevens of dat er sprake is van toestemming van de cliënt?

Antwoord 4

Een bedrijf mag alleen gegevens delen als is voldaan aan een van de wettelijke uitzonderingsgronden voor de verwerking van bijzondere persoonsgegevens waarop in het antwoord op vraag 2 wordt gedoeld, en dit op een van de rechtsgronden is gebaseerd in artikel 6 AVG.

Alleen wanneer een persoon uitdrukkelijke toestemming geeft voor het verstrekken van zijn of haar bijzondere (genetische) gegevens aan een ander bedrijf, mogen de bijzondere persoonsgegevens van deze persoon gedeeld worden. Wanneer toestemming is gegeven om onderzoek te doen naar het DNA, dan is de toestemming alleen verleend voor dit doel. Op grond van deze toestemming mogen de gegevens van de betrokken persoon niet ook nog worden gedeeld met een derde partij. Er zal voor een nieuwe verwerking opnieuw toestemming moeten worden gegeven.

Vraag 5

In hoeverre behoren de persoonsgegevens van minderjarigen op grond van de wet- en regelgeving extra beschermd te worden? Mag een bedrijf DNA materiaal dat verkregen is van minderjarigen verwerken? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 5

Het strenge algemene regime geldt vanzelfsprekend ook voor DNA-materiaal van minderjarigen. Artikel 8 AVG biedt daarbij nog extra bescherming indien de hier bedoelde test aangeboden wordt als een dienst van de informatiemaatschappij. Social media, online-games en webwinkels zijn voorbeelden van diensten van de informatiemaatschappij. Een bedrijf mag DNA-gegevens verwerken van minderjarigen. Bij minderjarigen jonger dan 16 jaar is hiervoor wel toestemming nodig van degene die het gezag over de minderjarige heeft. De onderneming moet de redelijke maatregelen nemen die nodig zijn om dit controleren.

Vraag 6

In hoeverre is het wat betreft de bescherming van persoonsgegevens van belang of een bedrijf dat van Nederlandse cliënten via een Nederlandse website DNA verkrijgt, dat buiten Nederland of de Europese Unie opslaat, verwerkt of deelt?

Antwoord 6

Met het van toepassing worden van de AVG is de territoriale reikwijdte van wetgeving op het gebied van de bescherming van persoonsgegevens uitgebreid. Een bedrijf dat niet gevestigd is in Nederland of in de Europese Unie, maar wel persoonsgegevens verwerkt van Nederlanders en dit buiten Nederland of de Europese Unie doet, dient zich te houden aan de AVG. Wanneer een bedrijf dat niet in Nederland of de Europese Unie is gevestigd, Nederlandse cliënten via een Nederlandse website diensten met betrekking tot de analyse van DNA-profielen aanbiedt, is de AVG van toepassing op die verwerking.

Vraag 7

Acht u het mogelijk dat de in het programma genoemde bedrijven zich schuldig hebben gemaakt aan overtreding van de in Nederland geldende regels met betrekking tot bescherming van persoonsgegevens? Weet u of de Autoriteit Persoonsgegevens daar onderzoek naar doet?

Antwoord 7

De AP heeft mij laten weten dat het onderwerp verwerking van genetische gegevens de aandacht heeft van de AP, gezien het gevoelige karakter van die gegevens. Over (mogelijk) lopende onderzoeken van de AP naar verwerkingsverantwoordelijken doet de AP geen uitspraken.

Vraag 8

Wat kunnen cliënten die menen dat genoemde bedrijven hun persoonlijke levenssfeer hebben geschonden doen om dit te laten corrigeren?

Antwoord 8

Cliënten kunnen een inzageverzoek indienen om erachter te komen welke soort persoonsgegeven voor welke doeleinden zijn gebruikt. Vervolgens kunnen cliënten bij een (vermeende) onrechtmatige verwerking verzoeken dat hun persoonsgegevens beperkter gebruikt worden. Ten slotte kunnen cliënten hun toestemming voor de verwerking intrekken en de persoonsgegevens laten wissen.

Ook kunnen cliënten een klacht indienen bij de AP.

Vraag 9

Acht u het nodig dat burgers meer geïnformeerd worden over de risico’s die verbonden kunnen zijn aan het delen van DNA materiaal met bedrijven die genealogisch onderzoek daarmee zeggen te doen? Zo ja, op welke wijze gaat u dit bewerkstelligen? Zo nee, waarom niet?

Antwoord 9

Nee, dit acht ik vooralsnog niet nodig. De AVG eist op zichzelf al dat de vereiste toestemming uitdrukkelijk is gegeven en wel voor ‘welbepaalde’ doeleinden. Indien doorlevering van persoonsgegevens aan derden een doel is, zullen bedrijven dit dus al bij het vragen van de toestemming duidelijk hebben moeten maken aan degene die toestemming geeft. De privacytoezichthouder kan hier zo nodig op handhaven. De AP heeft verder uitgebreide informatie voor burgers op haar website staan over de verwerking van bijzondere persoonsgegevens. Ook de FIOM (Nederlandse stichting die gespecialiseerd is op ongewenste zwangerschap en afstammingsvragen) heeft uitgebreide informatie op haar website als het gaat om het delen van DNA materiaal met bedrijven voor afstammingsvragen. Daarmee is voldoende informatie beschikbaar voor burgers die (bijzondere) gegevens ter beschikking willen stellen.

1)

https://radar.avrotros.nl/uitzendingen/gemist/03-09-2018/is-een-online-dna-test-betrouwbaar/