In een artikel van RTL Nieuws konden we gisteren (20 februari) lezen dat je het DNA van je baby kunt laten testen. Hieruit komt bijvoorbeeld naar voren of je kind later meer een denker of een doener wordt en of hij of zij kans maakt marathons te rennen of niet. “Veel persoonlijker dan je DNA wordt het niet”, zo staat vermeld op de website van het bedrijf. En dat klopt. Met een DNA-test worden genetische gegevens verzameld die unieke informatie verschaffen over een (pasgeboren) persoon. Hoe zit het met het verwerken van deze gegevens op basis van de huidige privacywetgeving?
Bijzondere persoonsgegevens
De AVG is van toepassing wanneer er persoonsgegevens worden verwerkt. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Met een DNA-test worden genetische gegevens verzameld. Volgens de AVG vallen deze gegevens onder de categorie “bijzondere persoonsgegevens”. Bijzondere persoonsgegevens zijn vanwege de gevoeligheid hiervan door de wetgever extra beschermd. Voor deze categorie geldt dan ook: verwerking is verboden, tenzij de AVG een uitzondering maakt.
Data delen met derde partijen
De persoonsgegevens die worden verzameld met de DNA-test, die ook beschikbaar is voor volwassenen, kunnen interessant zijn voor derde partijen. Bijvoorbeeld voor wetenschappelijk onderzoek. Het delen van deze persoonsgegevens met derden is verboden, tenzij er een uitzondering uit de AVG geldt. Eén van de uitzonderingen is uitdrukkelijke toestemming. Het bedrijf deelt de DNA-data ook alleen met derde partijen als er expliciete toestemming wordt gegeven. Tot zover gaat het dus goed. Overigens geldt wel dat een eenmaal gegeven toestemming altijd weer kan worden ingetrokken. Dit is niet in de privacyverklaring opgenomen, terwijl dit op basis van de AVG wel verplicht is. Daarnaast zijn er ook een paar andere zaken die onduidelijk of onvolledig op de website staan vermeld.
Data ontdoen van NAW-gegevens
Als je toestemming hebt gegeven om je data te delen voor bijvoorbeeld wetenschappelijk onderzoek, dan wordt de data ontdaan van alle NAW-gegevens. Volgens het bedrijf is de data op deze manier niet meer te herleiden tot jou als persoon en worden daarom nooit persoonsgegevens gedeeld met andere partijen. Genetische gegevens verschaffen echter unieke informatie over een natuurlijke persoon en zijn dus altijd herleidbaar. Er is dus nog steeds sprake van persoonsgegevens wanneer enkel de NAW-gegevens worden gewist.
Verwerkersovereenkomst sluiten
Omdat er bij het delen van de DNA-data persoonsgegevens worden verwerkt, moeten er afspraken worden gemaakt tussen het bedrijf en de derde partij. In de privacyverklaring van het bedrijf staat dat er een verwerkersovereenkomst wordt gesloten als data wordt doorgestuurd. Een verwerkersovereenkomst moet worden gesloten tussen een verwerker en een verwerkingsverantwoordelijke. In het geval van wetenschappelijk onderzoek is de derde partij die de data ontvangt echter geen verwerker. Deze derde partij zal namelijk niet in dienst van het bedrijf werken en zal zelf het doel en de middelen voor de verwerking bepalen. Een verwerkersovereenkomst is daarom niet de juiste overeenkomst. Overigens wordt met het sluiten van verwerkersovereenkomsten erkend dat de gegevens nog herleidbaar zijn. Voor het overdragen van anonieme gegevens is namelijk helemaal geen verwerkersovereenkomst nodig.
Bewaartermijnen
Als laatste nog een opmerking over de bewaartermijnen. Op de website van het bedrijf is te vinden dat DNA-samples drie maanden na de analyse worden vernietigd. Maar welke bewaartermijn geldt er voor de andere persoonsgegevens, zoals de analyse zelf? Volgens de privacyverklaring worden persoonsgegevens niet langer bewaard dan nodig om de dienst te leveren. Onduidelijk blijft echter hoe lang dit precies is. Wanneer er geen toestemming wordt verleend voor het delen van deze gegevens, zouden de afgeleide samplegegevens ook na drie maanden verwijderd moeten worden. Het doel van de gegevensverwerking, het informeren over de DNA-analyse, is dan namelijk bereikt.
Houd grip op je gegevens
Met een DNA-test worden bijzondere persoonsgegevens verzameld, waar zorgvuldig mee moet worden omgegaan. Hoewel zo’n test voor je baby of voor jezelf grappig en interessant kan zijn, moet er wel duidelijk worden geïnformeerd over wat er met deze persoonsgegevens gebeurt. Op dat vlak is er nog werk aan de winkel.
Deze blog is geschreven in samenwerking met werkstudent Demi Rietveld.
