AVG-GDPR Coronavirus

Jouw DNA in Abu Dhabi

By adminPosted on
Time to Read:-words

Er is een luchtbrug afgesproken tussen Nederland en Abu Dhabi (UAE) om extra testcapaciteit te verkijgen voor het testen van het coronavirus. Het ministerie van VWS heeft daartoe opdracht gegeven aan het Nederlandse bedrijf Saltro welke een zusterbedrijf heeft in Abu Dhabi.

De vraag is hoe wordt omgegaan met persoonsgegevens en met de medische gegevens van degene die zich laat testen bij de GGD. Kunnen jouw medische gegevens zomaar worden uitgewisseld en verwerkt in een land wat niet tot de EU behoort en vragen oproept voor wat betreft de bescherming van mensenrechten.

GGD’s zijn niet transparant in hun privacy verklaringen.

Interessante case vanuit het oogpunt van bescherming van persoonsgegevens. Ik zie de volgende zaken:

  1. Aanmelding voor een test bij de GGD. Dit gaat telefonisch. Persoonsgegevens: BSN, NAW, Telefoon en Email.
  2. Afspraakbevestiging via SMS/MAIL.
  3. Afname Test op basis van afspraakbevestiging + identiteitsbewijs. (paspoort/rijbewijs)
  4. Jouw speeksel wordt in buisje met jouw referentie nr. gestopt.
  5. GGD stuurt buisjes op naar Abu Dahbi of naar testlabs in Nederland.
  6. Op testlab in Abudahbi wordt analyse uitgevoerd op jouw materiaal en verschijnt resultaat welke in computer wordt verwerkt.
  7. Testlabs sturen resultaten door aan GGD’s.
  8. Jij krijgt uitslag via GGD te horen.

GGD’s moeten aan AVG voldoen. Ik keek naar de GGD Haaglanden als voorbeeld.
Het sturen van de buisjes naar Abu Dhabi staat niet explciet in de privacy verklaring. Dit wordt geschaard onder de categoriëen van ontvangers van persoonsgegevens. Doorgaans huisartsen, gemeentes en dienstverleners die electronisch patiëntendossier bijwerken of een partij voor enqueteformulieren. Dus Abu Dahbi wordt aangeduidt in de privacy verklaring met: zoals bijvoorbeeld…

“Zoals bijvoorbeeld” als derde is onvoldoende. De AVG vereist informatieplicht met daarin transparantie. Dus alle derden moeten worden vernoemd zonder enige uitzondering.

GGD Utrecht heeft trouwens helemaal geen privacyverklaring op haar homepagina staan. Beetje vreemd.

Wordt voldaan aan de privacy voorwaarden waarop verwerking van je DNA mag plaatsvinden?

Je speeksel met daarin je DNA wordt middels een luchtbrug verstuurd naar het zusterbedrijf van Saltro in Abu Dhabi. Mag dit wel en wat zijn de voorwaarden eigenlijk?

Het sturen van de testbuisjes naar Abu Dahbi kan alleen onder de volgende voorwaarden:

  1. Volgens GDPR/AVG artikel 9.2.i mogen bijzondere categorieën persoonsgegevens zoals in dit geval medische speekselmonsters worden verwerkt. Dit zelfs zonder expliciete toestemming van natuurlijk persoon.
  2. Echter nagenoeg alle uitzonderingen op verwerken van bijzondere categoriëen persoonsgegevens gaan wel uit van verwerking onder bescherming van regelgeving van EU lidstaten. Dit baart me zorgen en zouden aanleiding moeten geven tot nader onderzoek naar de wetgeving van UAE. Zie ook aanvulling aan het eind van dit artikel.
  3. Het sturen van speekselmonsters naar Abu Dahbi valt in de categorie verwerken van persoonsgegevens door derde landen. Zie artikelen Hoofdstuk 5 AVG: overdracht/informatieuitwisseling met derde landen of internationale organisaties.
    Volgens informatie gaan deze speekselmonsters naar een zusterbedrijf van Saltro in Abu Dhabi. Daarmee zouden in principe de Corporate Binding Rules van toepassing zijn. Echter deze corporate binding rules moeten zijn getoetst door de Supervisory Authority ofwel de Autoriteit Persoonsgegevens. (AP)

Vragen waar naar moeten worden gekeken.

Vragen die bij mij nog leven en waarop nog niet duidelijk antwoord is gegeven:

  1. Wat is de reden dat in de privacy verklaring van GGD Haaglanden niet alle derde partijen staan vermeldt?
  2. Wat is de reden dat er geen privacybeleid staat vermeldt op de hoofdpagina van GGD Utrecht?
  3. Zijn de corporate binding rules van Saltro getoets door AP? Is daar een verslag van?
  4. Vervolg op vraag 3: Welke maatregelen zijn in place bij het zusterbedrijf van Saltro dat de persoonsgegevens en medische gevens van het speekselmonster veilig worden bewaard?
  5. Is er wetgeving, zoals in America de US Patriot Act, welke in UAE gevestigde bedrijven kan verplichten tot uitlevering van persoonsgegevens welke worden verwerkt door deze bedrijven binnen haar territorium?
  6. Welke garanties zijn er in de UAE dat mensenrechten worden gerespecteerd op basis van UN Charter of Human Rights? Artikel 12. Is er een minimum garantie op respecteren van mensenrechten en een rechtssysteeem die dit afdwingt.

Aanvullend: In de UAE is een Health Data Protection Law geldig vanaf mei 2019. Zie ook: https://www.dataguidance.com/notes/uae-data-protection-overview#:~:text=There%20is%20no%20federally%20applicable,data%20by%20public%20sector%20institutions.

In the UAE, a new health data protection law (UAE Federal Law No.2 of 2019 (only available in Arabic here)) (‘the Health Data Law’) was enacted in May 2019 which introduces noteworthy obligations around the collection, processing and transfer of health data (as defined below) by a broad range of entities, including healthcare providers, medical insurance providers, healthcare IT providers and providers of direct and/or indirect services to the healthcare sector (eg outsourced services, including cloud services) located onshore, in DHCC and in the Free Zones (Health Service Providers).