Kan Ancestry.com eigenaar worden van je DNA?

| AE 9451 | Informatiemaatschappij | 13 reacties

Pas op, las ik op vele plekken: de genealogiesite Ancestry.com claimt eigendom op je DNA. Ze hebben een dienst waarbij je DNA wordt getest om verwanten te vinden in hun database, maar de voorwaarden zeggen dat men jouw DNA eeuwig en gratis mag gebruiken ter identificatie van “you or a genetic relative.” Oftewel, die wordt hun eigendom en ze mogen er mee doen wat ze willen. Maar zoals eigenlijk altijd met berichten over dat diensten eigendom claimen op iets van hun gebruikers: nee, dit klopt niet.

De dienst AncestryDNA claimt de “World’s Largest Consumer DNA Database” met het DNA van meer dan 3 miljoen mensen, waarmee je “ethnic mix” kunt ontdekken, en “discover distant relatives, and find new details about your unique family history with a simple DNA test.” Allemaal leuk en aardig, maar uiteraard moest daar weer een jurist goed voor gaan zitten want stel er komen claims:

By submitting DNA to AncestryDNA, you grant AncestryDNA and the Ancestry Group Companies a royalty-free, worldwide, sublicensable, transferable license to host, transfer, process, analyze, distribute, and communicate your Genetic Information for the purposes of providing you products and services, conducting Ancestry’s research and product development, enhancing Ancestry’s user experience, and making and offering personalized products and services. In other words: we use your Genetic Information to provide products and services to you and improve our products and services for all our users. In addition, you understand that by providing any DNA to us, you acquire no rights in any research or commercial products that may be developed by AncestryDNA using your Genetic Information.

Mooi is dat. Dus ten eerste claimen zij het recht om alles te mogen doen met jouw DNA – niet alleen naar jou, maar naar al hun gebruikers. Oftewel dat gaat gewoon de database in. En ten tweede heb jij nergens recht op. Ja, je mag het rapport lezen maar daar houdt het wel mee op.

Maar is dat “claimt eigendom op je DNA”? Volstrekt niet. Allereerst niet omdat dat er niet staat. Sterker nog, het tegendeel staat een alinea hoger:

AncestryDNA does not claim any ownership rights in the DNA that is submitted for testing.

En ten tweede en belangrijker, omdat DNA niet iets is waar het concept eigendom überhaupt voor kan gelden. Ja, DNA bestaat wel (in tegenstelling tot data) maar wordt niet gezien als tastbaar fysiek object. Je hebt er dus geen eigendomsrechten op, en je kunt die dus ook niet overdragen. En zelfs als dat wel kon, dan ten derde zou zoiets een schriftelijke verklaring met handtekening vereisen.

(Je kunt natuurlijk zeggen dat dit spitsvondige juristerij is, want een eeuwigdurende onbeperkte licentie met sublicentierechten is effectief hetzelfde als de eigendom. Maar ik vind de fout net zo basaal als mensen die spreken van een BSN nummer of de programmeertaal HTML.)

In Europa is dit nog een best lastige dienst om goed op te zetten. Genetische informatie wordt onder de Privacyverordening gezien als een bijzonder persoonsgegeven (art. 9.1 AVG). Die mag dus niet worden verwerkt zonder een specifieke grond, en voor diensten als deze zie ik eigenlijk alleen de uitdrukkelijke toestemming (art. 9.2(a) AVG) als mogelijke grond.

Natuurlijk geef je toestemming voor verwerking van je DNA als je dat uploadt (pardon, instuurt) naar deze dienst. Maar dat DNA wordt vervolgens gematcht tegen hun hele database, waarna je kennelijk informatie over potentiële verwanten krijgt. En dát mag niet zomaar. De in de voorwaarden geëiste toestemming is daar te generiek voor – en bovendien mág dergelijke toestemming niet in voorwaarden opgeëist worden, dat moet apart.

Arnoud

Linkedin brak Nederlandse wet met personeelsadvertentie met vraag naar etnische afkomst

| AE 5639 | Ondernemingsvrijheid | 19 reacties

Juridische foutje-bedankt van de maand: bij een personeelsadvertentie van zakelijkesocialmediasite LinkedIn werd naar ras en etnische afkomst van de sollicitant gevraagd, onder verwijzing naar Amerikaanse positieve-discriminatiewetgeving. Dat ontdekte Bas van de Haterd eerder deze week. De fout werd per direct opgelost, want dat mag natuurlijk absoluut niet.

Wie zijn CV wilde insturen naar LinkedIn, kreeg als laatste set vragen deze (optionele) items te zien:

Schermafbeelding-2013-06-09-om-13.58.43-550x242

In de VS stimuleert men positieve discriminatie op ras en geslacht, om zo meer minderheden aan het werk te krijgen. Dit is met name bij leveranciers van de overheid van belang. Op zijn minst móet je ras en geslacht bijhouden voor statistische doeleinden.

In Nederland mag een werkgever eenvoudigweg niet vragen naar bijzondere persoonsgegevens, en ook niet naar zaken die tot directe of indirecte discriminatie kunnen leiden. Bijzondere persoonsgegevens gaann over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en (belangrijk bij het werk) het lidmaatschap van een vakvereniging.

Van discriminatie is sprake als er zonder objectieve grond een onderscheid wordt gemaakt. Een werkgever mag bv. vragen dat iemand goed Nederlands spreekt als dat voor de functie relevant is, maar niet automatisch Polen uitsluiten omdat hij denkt dat die geen goed Nederlands kunnen spreken.

Ras en achtergrond mag je eigenlijk nooit vragen, behalve in heel bijzondere gevallen wanneer dat echt objectief relevant is (een acteur die Sinterklaas moet spelen). Een bekend voorbeeld is aan een vrouw vragen of ze zwanger is/gaat worden, dat mag niet want kan indirect tot uitsluiting van die vrouw leiden wegens haar geslacht. Bij mannen zou je zoiets nooit vragen immers.

Je mag zulke dingen niet vragen, ook niet in de “je hóeft niet te antwoorden maar”-vorm. Het punt is dat ook bij die vrijwillige vragen de ondertoon is “mensen die het niet invullen hebben een streepje minder”.

Gelukkig bleek dit een slordig foutje. Een woordvoerder van Linkedin liet Bas meteen weten:

 ‘’De vragen op ons sollicitatieformulier in Nederland over geslacht, etniciteit en ras zijn onjuist toegevoegd en wij hebben deze dan ook direct verwijderd toen dit onder onze aandacht werd gebracht. Deze vragen zijn onbedoeld toegevoegd op het Nederlandse formulier door een bug in de Applicant Tracking System (ATS) software die we gebruiken. We hebben nauw samengewerkt met Jobvite, onze ATS supplier, om dit aan te passen en zullen blijven samenwerken met Jobvite om ervoor te zorgen dat dit niet meer gebeurt.’’

Gevalletje “verkeerde vinkje aangezet”?

Arnoud

Mag je medische gegevens uit forumberichten gebruiken voor onderzoek?

| AE 5555 | Privacy | 9 reacties

persoonskaarten-privacy-archief.pngEen lezer vroeg me:

Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?

Het is normaal inderdaad verboden om medische informatie te verwerken. De Wbp eist toestemming of een specifieke wettelijke grond (art. 21 Wbp). Dit is vanwege het karakter van deze persoonsgegevens strenger dan bij normale persoonsgegevens. Er is dus géén grond à la de “eigen dringende noodzaak” die normaal wel (bij uitzondering) kan gelden om persoonsgegevens zonder toestemming te gebruiken.

Maar als de gegevens “door de betrokkene duidelijk zelf openbaar zijn gemaakt”, dan geldt dit verbod niet (art. 23 Wbp). Als iemand dus zelf meldt diabetes te hebben, dan valt verwerking van dat gegeven dus niet meer onder dit verbod.

Dat wil echter niet zeggen dat het gegeven dus vogelvrij is. De hoofdregel van de Wbp dat er toestemming, overeenkomst of dringende noodzaak moet zijn, geldt ook nu. Wie geen toestemming heeft om medische feiten te publiceren en ook geen eigen dringende noodzaak kan aantonen, schendt alsnog de Wbp. Ik moet dus in deze blog nog steeds een reden hebben om te melden dat iemand diabetes heeft, ook al staat dat op zijn eigen openbare Facebook. (Die reden zal bij een blog de vrije meningsuiting zijn.)

Specifiek voor wetenschappelijk onderzoek of statistiek is er nog een uitzondering op dit verbod, namelijk wanneer:

a. het onderzoek een algemeen belang dient,
b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,
c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en
d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Als een dergelijk onderzoek kan voldoen aan deze vier eisen, dan is het dus óók toegestaan. Het grote struikelblok hier zal denk ik lid c zijn: waarom kun je niet gewoon iedereen een berichtje sturen en vragen of je hun berichten mag gebruiken?

Het is overigens een misverstand dat wetenschappelijk of statistisch onderzoek altijd mag onder de privacywet. Het enige dat er over dergelijk onderzoek in de wet staat, is dat als de gegevens legaal verkregen zijn (dus toestemming, overeenkomst of noodzaak) je óók statistisch onderzoek mag doen op die gegevens (art. 9 lid 3 Wbp). Maar had je überhaupt geen grond om die gegevens te verwerken, dan is verwerken voor statistiek ook niet toegestaan.

Arnoud