E-Health – de verwerking van gezondheidsgegevens
E-Health: de verwerking van gezondheidsgegevens via applicaties op je iPhone – iWatch – etc- “Working Party 29” verduidelijkt het toepassingsgebied
Dezer dagen zetten bedrijven als Apple en Samsung meer en meer in op de ontwikkeling van gezondheidsapplicaties. Het gaat hier over de zogenaamde “smart watches” en arm-/polsbanden die gezondheidsinformatie over de “user” verzamelen. Maar al te vaak beseffen de gebruikers van zulke applicaties niet dat hun gezondheidsgegevens worden verwerkt met mogelijks negatieve gevolgen voor hun privéleven. Het is hierbij dan ook van belang dat gebruikers bewust zijn of worden van de gevoelige data die zij ter beschikking stellen aan deze ondernemingen.
We dienen te benadrukken dat gezondheidsgegevens tot een beter beschermde categorie van data behoren. Maar ingevolge de toename van het aantal gezondheidsapplicaties, heeft de “Working Party 29” (hierna: WP 29) in februari van dit jaar een verduidelijking gegeven over welke data als gezondheidsgegevens dienen te worden beschouwd. Persoonlijke data wordt als gezondheidsdata aanzien wanneer:
1. de data inherent/duidelijk medische data zijn;
2. de data ruwe sensorgegevens zijn die kunnen worden gebruikt op zichzelf of in combinatie met andere data om tot een besluit te komen over de actuele gezondheidstoestand of gezondheidsrisico van een persoon; of
3. conclusies worden getrokken over een persoon zijn persoonlijke gezondheidsstatus of gezondheidsrisico (ongeacht of deze conclusies accuraat of inaccuraat, wettig of onwettig, of anderszins adequaat of inadequaat zijn).
Daarenboven verduidelijkt WP 29 dat wanneer de data niet worden verstuurd en/of verwerkt buiten het toestel, de verplichtingen van de richtlijn 95/46/EG niet van toepassing zijn (zie art. 3, 2 richtlijn 95/46/EG). Maar wanneer de verwerking van deze gegevens echter wel plaatsvinden buiten het toestel worden deze enkel toegestaan in de gevallen zoals bepaald in artikel 8 (2), (3), en (4) van richtlijn 95/46/EG.
Maar niet alle informatie die wordt verzameld via “health applications” zijn gezondheidsgegevens in de zin van artikel 8 van de richtlijn, e.g. de registratie, via een applicatie op je iPhone, van het aantal stappen gedurende een wandeling zal niet volstaan om een besluit te maken over jouw gezondheidsstatus. In dit kader waarschuwt WP 29 in haar annex voor data die zich in de zogenaamde “grijze zone” bevinden. In deze gevallen is het niet altijd even evident om te bepalen of de verzamelde data “gezondheidsgegevens” omvatten of niet.
WP 29 benadrukt wel dat niet enkel de aard van de data, maar ook de bestemming van deze gegevens in acht moet worden genomen bij de toetsing of de data te kwalificeren zijn als gezondheidsgegevens. Zo zal bijvoorbeeld een 1-mailge registratie van data betreffende een persoon zijn gewicht of bloeddruk (zonder bijkomende informatie over leeftijd of geslacht) niet volstaan om een conclusie te treffen over de gezondheidstoestand van deze persoon. Maar indien deze gegevens worden verzameld voor een bepaalde periode en in combinatie met de gebruiker zijn leeftijd en geslacht staat dit ons wel toe om een besluit te maken over de gezondheidsstatus van deze persoon.