Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kuiken en Buitenweg over het bericht ‘bedrijven die DNA-materiaal van hun cliënten met anderen delen’
Vragen van de leden Kuiken (PvdA) en Buitenweg (GroenLinks) aan de Minister voor Rechtsbescherming over bedrijven die DNA-materiaal van hun cliënten met anderen delen (ingezonden 5 september 2018).
Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 1 november 2018). Zie
ook Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 94.
Vraag 1
Kent u het bericht «Is een online DNA-test betrouwbaar?» en de bijbehorende uitzending
van het tv-programma Radar?1
Antwoord 1
Ja.
Vraag 2
Deelt u de mening dat uit DNA bijzondere persoonsgegevens kunnen worden verkregen
en dat derhalve deze gegevens op grond van de Algemene verordening gegevensbescherming
(AVG) of de Uitvoeringswet AVG extra beschermd behoren te worden? Zo ja, waarom? Zo
nee, waarom niet?
Antwoord 2
Ja. DNA valt als genetisch gegeven onder de categorie bijzonder persoonsgegevens in
de zin van de AVG. Op grond van de AVG en UAVG geldt voor deze verwerking een streng
regime. Dat komt er op neer dat verwerking in beginsel verboden is tenzij de wetgeving
de verwerking expliciet toestaat. Voor genetische gegevens geldt dat verwerking zonder
toestemming, ook al is sprake van een zwaarwegend algemeen belang, door de wetgever
slechts beperkt wordt toegestaan (art. 28 AVG). Hierdoor wordt extra bescherming geboden
aan dit soort persoonsgegevens.
Vraag 3
Mag een onderneming die ten behoeve van onderzoek naar de afkomst van cliënten DNA
materiaal verkrijgt, dat materiaal delen met anderen? Zo ja, op grond waarvan? Zo
nee, waarom niet en wat kunnen de gevolgen voor die onderneming zijn in het geval
zij die gegevens toch deelt?
Antwoord 3
Om rechtmatig DNA materiaal te mogen delen met anderen moet binnen het gesloten systeem
van uitzonderingen op het beginselverbod (zie vorige vraag) een uitzondering aan te
wijzen zijn die dat mogelijk maakt. Als het gaat om een organisatie met commerciële
doestellingen die gegevens aan derden levert, komt alleen de uitzondering «uitdrukkelijke
toestemming» in aanmerking. Dit volgt uit artikel 9 van de AVG. Verwerkingen zonder
toestemming is in een beperkt aantal bijzondere gevallen wel mogelijk, maar daar is
in de context van een organisatie met commerciële doelstellingen geen sprake van.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke
regels voor bescherming van persoonsgegevens. Tegen de onderneming die dit verbod
overtreedt kan de bevoegde toezichthouder, al dan niet naar aanleiding van een klacht,
handhavend optreden.
Vraag 4
Mag het genoemde bedrijf 23andMe gegevens delen met een groot farmaceutisch bedrijf
zoals GlaxoSmithKline? Is het daarbij relevant of er sprake is van bijzondere persoonsgegevens
of dat er sprake is van toestemming van de cliënt?
Antwoord 4
Een bedrijf mag alleen gegevens delen als is voldaan aan een van de wettelijke uitzonderingsgronden
voor de verwerking van bijzondere persoonsgegevens waarop in het antwoord op vraag
2 wordt gedoeld, en dit op een van de rechtsgronden is gebaseerd in artikel 6 AVG.
Alleen wanneer een persoon uitdrukkelijke toestemming geeft voor het verstrekken van
zijn of haar bijzondere (genetische) gegevens aan een ander bedrijf, mogen de bijzondere
persoonsgegevens van deze persoon gedeeld worden. Wanneer toestemming is gegeven om
onderzoek te doen naar het DNA, dan is de toestemming alleen verleend voor dit doel.
Op grond van deze toestemming mogen de gegevens van de betrokken persoon niet ook
nog worden gedeeld met een derde partij. Er zal voor een nieuwe verwerking opnieuw
toestemming moeten worden gegeven.
Vraag 5
In hoeverre behoren de persoonsgegevens van minderjarigen op grond van de wet- en
regelgeving extra beschermd te worden? Mag een bedrijf DNA materiaal dat verkregen
is van minderjarigen verwerken? Zo ja, waarom? Zo nee, waarom niet?
Antwoord 5
Het strenge algemene regime geldt vanzelfsprekend ook voor DNA-materiaal van minderjarigen.
Artikel 8 AVG biedt daarbij nog extra bescherming indien de hier bedoelde test aangeboden
wordt als een dienst van de informatiemaatschappij. Social media, online-games en
webwinkels zijn voorbeelden van diensten van de informatiemaatschappij. Een bedrijf
mag DNA-gegevens verwerken van minderjarigen. Bij minderjarigen jonger dan 16 jaar
is hiervoor wel toestemming nodig van degene die het gezag over de minderjarige heeft.
De onderneming moet de redelijke maatregelen nemen die nodig zijn om dit controleren.
Vraag 6
In hoeverre is het wat betref de bescherming van persoonsgegevens van belang of een
bedrijf dat van Nederlandse cliënten via een Nederlandse website DNA verkrijgt, dat
buiten Nederland of de Europese Unie opslaat, verwerkt of deelt?
Antwoord 6
Met het van toepassing worden van de AVG is de territoriale reikwijdte van wetgeving
op het gebied van de bescherming van persoonsgegevens uitgebreid. Een bedrijf dat
niet gevestigd is in Nederland of in de Europese Unie, maar wel persoonsgegevens verwerkt
van Nederlanders en dit buiten Nederland of de Europese Unie doet, dient zich te houden
aan de AVG. Wanneer een bedrijf dat niet in Nederland of de Europese Unie is gevestigd,
Nederlandse cliënten via een Nederlandse website diensten met betrekking tot de analyse
van DNA-profielen aanbiedt, is de AVG van toepassing op die verwerking.
Vraag 7
Acht u het mogelijk dat de in het programma genoemde bedrijven zich schuldig hebben
gemaakt aan overtreding van de in Nederland geldende regels met betrekking tot bescherming
van persoonsgegevens? Weet u of de Autoriteit Persoonsgegevens daar onderzoek naar
doet?
Antwoord 7
De AP heeft mij laten weten dat het onderwerp verwerking van genetische gegevens de
aandacht heeft van de AP, gezien het gevoelige karakter van die gegevens. Over (mogelijk)
lopende onderzoeken van de AP naar verwerkingsverantwoordelijken doet de AP geen uitspraken.
Vraag 8
Wat kunnen cliënten die menen dat genoemde bedrijven hun persoonlijke levenssfeer
hebben geschonden doen om dit te laten corrigeren?
Antwoord 8
Cliënten kunnen een inzageverzoek indienen om erachter te komen welke soort persoonsgegeven
voor welke doeleinden zijn gebruikt. Vervolgens kunnen cliënten bij een (vermeende)
onrechtmatige verwerking verzoeken dat hun persoonsgegevens beperkter gebruikt worden.
Ten slotte kunnen cliënten hun toestemming voor de verwerking intrekken en de persoonsgegevens
laten wissen.
Ook kunnen cliënten een klacht indienen bij de AP.
Vraag 9
Acht u het nodig dat burgers meer geïnformeerd worden over de risico’s die verbonden
kunnen zijn aan het delen van DNA materiaal met bedrijven die genealogisch onderzoek
daarmee zeggen te doen? Zo ja, op welke wijze gaat u dit bewerkstelligen? Zo nee,
waarom niet?
Antwoord 9
Nee, dit acht ik vooralsnog niet nodig. De AVG eist op zichzelf al dat de vereiste
toestemming uitdrukkelijk is gegeven en wel voor «welbepaalde» doeleinden. Indien
doorlevering van persoonsgegevens aan derden een doel is, zullen bedrijven dit dus
al bij het vragen van de toestemming duidelijk hebben moeten maken aan degene die
toestemming geeft. De privacytoezichthouder kan hier zo nodig op handhaven. De AP
heeft verder uitgebreide informatie voor burgers op haar website staan over de verwerking
van bijzondere persoonsgegevens. Ook de FIOM (Nederlandse stichting die gespecialiseerd
is op ongewenste zwangerschap en afstammingsvragen) heeft uitgebreide informatie op
haar website als het gaat om het delen van DNA materiaal met bedrijven voor afstammingsvragen.
Daarmee is voldoende informatie beschikbaar voor burgers die (bijzondere) gegevens
ter beschikking willen stellen.
Ondertekenaars
-
Eerste ondertekenaar
S. Dekker, minister voor Rechtsbescherming
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.