Mag je medische gegevens uit forumberichten gebruiken voor onderzoek?

persoonskaarten-privacy-archief.pngEen lezer vroeg me:

Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?

Het is normaal inderdaad verboden om medische informatie te verwerken. De Wbp eist toestemming of een specifieke wettelijke grond (art. 21 Wbp). Dit is vanwege het karakter van deze persoonsgegevens strenger dan bij normale persoonsgegevens. Er is dus géén grond à la de “eigen dringende noodzaak” die normaal wel (bij uitzondering) kan gelden om persoonsgegevens zonder toestemming te gebruiken.

Maar als de gegevens “door de betrokkene duidelijk zelf openbaar zijn gemaakt”, dan geldt dit verbod niet (art. 23 Wbp). Als iemand dus zelf meldt diabetes te hebben, dan valt verwerking van dat gegeven dus niet meer onder dit verbod.

Dat wil echter niet zeggen dat het gegeven dus vogelvrij is. De hoofdregel van de Wbp dat er toestemming, overeenkomst of dringende noodzaak moet zijn, geldt ook nu. Wie geen toestemming heeft om medische feiten te publiceren en ook geen eigen dringende noodzaak kan aantonen, schendt alsnog de Wbp. Ik moet dus in deze blog nog steeds een reden hebben om te melden dat iemand diabetes heeft, ook al staat dat op zijn eigen openbare Facebook. (Die reden zal bij een blog de vrije meningsuiting zijn.)

Specifiek voor wetenschappelijk onderzoek of statistiek is er nog een uitzondering op dit verbod, namelijk wanneer:

a. het onderzoek een algemeen belang dient,
b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,
c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en
d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Als een dergelijk onderzoek kan voldoen aan deze vier eisen, dan is het dus óók toegestaan. Het grote struikelblok hier zal denk ik lid c zijn: waarom kun je niet gewoon iedereen een berichtje sturen en vragen of je hun berichten mag gebruiken?

Het is overigens een misverstand dat wetenschappelijk of statistisch onderzoek altijd mag onder de privacywet. Het enige dat er over dergelijk onderzoek in de wet staat, is dat als de gegevens legaal verkregen zijn (dus toestemming, overeenkomst of noodzaak) je óók statistisch onderzoek mag doen op die gegevens (art. 9 lid 3 Wbp). Maar had je überhaupt geen grond om die gegevens te verwerken, dan is verwerken voor statistiek ook niet toegestaan.

Arnoud

9 reacties

  1. De vraagsteller zal vooral ook goed na moeten denken over de betrouwbaarheid van de gegevens die hij van (anonieme!) fora haalt. Natuurlijk kan je statistieken maken, maar er valt niet zoveel informatie uit te halen zonder een link met een ‘echt’ persoon (zodat je bijvoorbeeld tussen geslachten en leeftijdsgroepen kan vergelijken). Denk goed na over wat je wilt weten en hoe je dat op basis van deze gegevens (of juist niet) vast kunt stellen!

  2. c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en

    Het grote struikelblok hier zal denk ik lid c zijn: waarom kun je niet gewoon iedereen een berichtje sturen en vragen of je hun berichten mag gebruiken?

    Het lijkt mij juist onevenredig veel inspanning te kosten om juist per berichtje om een reactie te vragen en die af te wachten. Je moet voor elk forum een account aanmaken. Wie weet moet je bij sommige eerst toegelaten worden. Vervolgens zullen sommige mensen die fora al lang niet meer bezoeken, of slechts sporadisch. Dan kan het zo een jaar kosten voordat je voor slechts een deel een antwoord hebt gekregen. Sommige fora zullen geen persoonlijke communicatie ondersteunen, laat staan e-mailnotificaties daarvan. En al die verzoeken sturen kost natuurlijk ook gewoon heel wat tijd. Dat terwijl je in een paar weekjes rondzoeken toch al redelijk wat informatie hebt kunnen verzamelen.

  3. Volgens mij is toestemming ook niet nodig, indien je de gegevens anonimiseert. Het gaat dan niet meer om wie het de gegevens openbaar heeft gemaakt (dat is na anonimisering immers niet meer te achterhalen), maar om het geven zelf.

    1. Dan moet er wel heel grondig geanonimiseerd worden, want zinsnedes zijn bijvoobeeld al genoeg om de gegevens te herleiden naar de bron. In de publicatie zou bijvoorbeeld de frequentie van sleutelwoorden genoemd kunnen worden, maar directe citaties niet.

  4. Maar als de gegevens “door de betrokkene duidelijk zelf openbaar zijn gemaakt”, dan geldt dit verbod niet (art. 23 Wbp). Als iemand dus zelf meldt diabetes te hebben, dan valt verwerking van dat gegeven dus niet meer onder dit verbod.

    Wat is ‘openbaar’ in dit verband?

    Ik kan me herinneren dat iemand zo’n 15 jaar geleden een verzameling met liedteksten had die hij met anderen deelde door van die anderen inloggen met gebruikersnaam en wachtwoord te eisen; zo was het geen ‘openbaarmaking’ in de zin der wet, had hij bij een jurist nagevraagd, zelfs als iedereen voor zo’n account in aanmerking komt.

    Is dat nog steeds zo? En geldt dat dan voor forumpostings op een met gebruikersnaam en wachtwoord beschermd forum niet ook? Die zijn meestal expliciet bedoeld om alleen gedeeld te worden met de leden van het forum en niet met alle Internetgebruikers.

    1. Wetten gebruiken niet allemaal hetzelfde vocabulaire. Jouw case gaat over openbaarmaking onder de Auteurswet, en dat is niet hetzelfde als “openbaar” in de zin van de Wbp, en dat is weer wat anders dan “aan het publiek bekend maken/ruchtbaarheid geven aan” bij de strafbare feiten smaad en laster. Iets vertellen aan 20 vrienden is bv. géén smaad want niet in het openbaar verteld maar kan wél een auteursrechtelijk relevante openbaarmaking zijn. Maar of dat iets dan “duidelijk openbaar” gemaakt is onder de Wbp..?

      1. Dat vraag ik me dus af. Hoe bepaal je zoiets? In de wet komt het woord ‘openbaar’ maar een keer voor, in de zinsnede ‘(…) de gegevens door de betrokkene duidelijk openbaar zijn gemaakt’. Verwijs dat op welke manier dan ook naar een nadere uitleg van wat ‘duidelijk openbaar’ betekent?

        1. Soms kun je in de memorie van toelichting of andere parlementaire stukken hier een nadere uitwerking van vinden. In andere gevallen moet de rechtbank verzinnen wanneer iets ‘duidelijk’ en ‘openbaar’ is.

          Handboeken als Tekst en Toelichting kunnen daarbij helpen. Zo lees ik hier het vrij evidente voorbeeld van de politicus: het is niet verboden te verwerken wat zijn politieke voorkeur is. Maar meteen ook het wat apartere voorbeeld van de gehandicapte die niet zelf duidelijk openbaar maakt dat hij een handicap heeft, enkel door in het openbaar zich te vertonen met handicap en al. Ik mag dus niet zeggen “Piet zit in een rolstoel”, tenzij Piet zelf ooit gezegd of geblogd heeft “Ja, ik zit in een rolstoel”.

          De uitleg hier lijkt te suggereren dat het moet gaan om een mededeling aan het publiek, een algemene bekendmaking dus. Zou iemand tegen míj zeggen “ik heb een dwarsleasie” dan is dat dus géén openbaarmaking. Eventueel zou ik daar toestemming tot verwerking uit kunnen afleiden, bv. omdat ik dat nodig heb om een rolstoeltoegankelijke vergaderlocatie te kiezen of om te onthouden dat hij alleen per telefoon of e-mail contact kan hebben en dat hij altijd vertraagd kan reageren.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.