IQVIA gebruikte gezondheidsgegevens van miljoenen mensen voor onderzoek. Volgens het bedrijf waren deze gegevens anoniem en was de AVG daarom niet van toepassing. De CNILoordeelde anders. De gegevens waren namelijk gekoppeld aan unieke codes, waardoor informatie over personen kon worden gecombineerd en gevolgd. Ook konden de datasets worden verrijkt met andere gegevensbronnen. Daarmee bleef de kans bestaan dat personen te herleiden zijn.
Pseudonimisering is geen anonimisering
Een recente boete van de Franse privacytoezichthouder CNIL voor klinisch onderzoeksbedrijf IQVIA maakt één ding duidelijk: pseudonimisering betekent niet dat gegevens buiten de AVG vallen. Integendeel.
De zaak raakt een bredere ontwikkeling waarin data steeds vaker wordt hergebruikt voor onderzoek, innovatie en beleid. Binnen initiatieven zoals de European Health Data Space (EHDS) groeit de behoefte aan grootschalige, kwalitatieve datasets. Pseudonimisering wordt daarbij vaak gezien als een voldoende waarborg. Deze casus laat zien dat toezichthouders daar kritischer naar kijken. Niet alleen de techniek telt, maar ook de context: welke data wordt gecombineerd, hoe uniek zijn profielen, en welke aanvullende bronnen zijn beschikbaar?
AVG-eisen
Volgens de AVG is dat doorslaggevend. Gegevens zijn alleen anoniem als identificatie echt onmogelijk is, ook niet met extra informatie. Is dat risico er nog wel, zoals bij pseudonimisering, dan blijft er sprake van persoonsgegevens. En dus gelden alle verplichtingen uit de AVG.
Dat betekent onder meer dat organisaties:
- een duidelijke grondslag moeten hebben voor het gebruik van de gegevens;
- passende beveiligingsmaatregelen moeten nemen;
- transparant moeten zijn richting betrokkenen;
- en betrokkenen de mogelijkheid moeten geven om hun rechten uit te oefenen, zoals bezwaar maken.
In het geval van IQVIA ging het op meerdere punten mis. De beveiliging was niet op orde, onder andere doordat multifactorauthenticatie ontbrak en logbestanden niet goed werden gecontroleerd. Ook werden mensen niet geïnformeerd over het gebruik van hun gegevens en konden zij geen bezwaar maken. Daarmee werden meerdere AVG-verplichtingen geschonden. Het onderzoeksbedrijf krijgt een boete van 5 miljoen Euro opgelegd.
De lat ligt hoog
Deze zaak is ook voor Nederlandse overheden en organisaties relevant. Steeds vaker worden gegevens gebruikt voor onderzoek, beleid en innovatie, bijvoorbeeld in de zorg. Pseudonimisering wordt daarbij vaak ingezet om privacyrisico’s te verkleinen. Maar deze uitspraak maakt duidelijk dat dit niet genoeg is om buiten de AVG te vallen.
Zeker bij gevoelige gegevens, zoals gezondheidsinformatie, ligt de lat hoog. Organisaties moeten niet alleen juridisch, maar ook technisch en organisatorisch kunnen aantonen dat zij zorgvuldig omgaan met persoonsgegevens.
Onderzoeksbedrijf IQVIA levert advies en voert studies uit, zowel in eigen naam als in opdracht van farmaceutische bedrijven. Voor het uitvoeren van deze studies maakt het gebruik van twee gezondheidsdatawarehouses waarvoor de CNIL toestemming heeft verleend: het LRX-warehouse, gevuld met gegevens afkomstig van ongeveer 14.000 apotheken en het EMR-warehouse, gevuld met gegevens afkomstig van enkele duizenden artsen.
Na de uitzending van een reportage van het programma “Cash Investigation” ontving de CNIL meerdere klachten van individuen en organisaties, met name over het gebrek aan transparantie bij de verwerking van patiëntgegevens. Hierna startte de toezichthouder een onderzoek.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.