Antwoorden op Tweede Kamervragen over consumenten DNA

12-11-2018

Vragen van de leden Kuiken (PvdA) en Buitenweg (GroenLinks) aan de Minister voor Rechtsbescherming over bedrijven die DNA-materiaal van hun cliënten met anderen delen (ingezonden 5 september 2018). Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 1 november 2018). Zie ook Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 94.

Vraag 1
Kent u het bericht «Is een online DNA-test betrouwbaar?» en de bijbehorende uitzending van het tv-programma Radar?

Antwoord 1
Ja.

Vraag 2
Deelt u de mening dat uit DNA bijzondere persoonsgegevens kunnen worden verkregen en dat derhalve deze gegevens op grond van de Algemene
verordening gegevensbescherming (AVG) of de Uitvoeringswet AVG extra beschermd behoren te worden? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 2
Ja. DNA valt als genetisch gegeven onder de categorie bijzonder persoonsgegevens in de zin van de AVG. Op grond van de AVG en UAVG geldt voor deze
verwerking een streng regime. Dat komt er op neer dat verwerking in beginsel verboden is tenzij de wetgeving de verwerking expliciet toestaat.
Voor genetische gegevens geldt dat verwerking zonder toestemming, ook al is sprake van een zwaarwegend algemeen belang, door de wetgever slechts
beperkt wordt toegestaan (art. 28 AVG). Hierdoor wordt extra bescherming geboden aan dit soort persoonsgegevens.

Vraag 3
Mag een onderneming die ten behoeve van onderzoek naar de afkomst van cliënten DNA materiaal verkrijgt, dat materiaal delen met anderen? Zo ja, op
grond waarvan? Zo nee, waarom niet en wat kunnen de gevolgen voor die onderneming zijn in het geval zij die gegevens toch deelt?

Antwoord 3
Om rechtmatig DNA materiaal te mogen delen met anderen moet binnen het gesloten systeem van uitzonderingen op het beginselverbod (zie vorige
vraag) een uitzondering aan te wijzen zijn die dat mogelijk maakt. Als het gaat om een organisatie met commerciële doestellingen die gegevens aan
derden levert, komt alleen de uitzondering «uitdrukkelijke toestemming» in aanmerking. Dit volgt uit artikel 9 van de AVG. Verwerkingen zonder
toestemming is in een beperkt aantal bijzondere gevallen wel mogelijk, maar daar is in de context van een organisatie met commerciële doelstellingen
geen sprake van. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.
Tegen de onderneming die dit verbod overtreedt kan de bevoegde toezichthouder, al dan niet naar aanleiding van een klacht, handhavend optreden.

Vraag 4
Mag het genoemde bedrijf 23andMe gegevens delen met een groot farmaceutisch bedrijf zoals GlaxoSmithKline? Is het daarbij relevant of er sprake is
van bijzondere persoonsgegevens of dat er sprake is van toestemming van de cliënt?

Antwoord 4
Een bedrijf mag alleen gegevens delen als is voldaan aan een van de wettelijke uitzonderingsgronden voor de verwerking van bijzondere persoonsgegevens
waarop in het antwoord op vraag 2 wordt gedoeld, en dit op een van de rechtsgronden is gebaseerd in artikel 6 AVG.
Alleen wanneer een persoon uitdrukkelijke toestemming geeft voor het verstrekken van zijn of haar bijzondere (genetische) gegevens aan een ander
bedrijf, mogen de bijzondere persoonsgegevens van deze persoon gedeeld worden. Wanneer toestemming is gegeven om onderzoek te doen naar het
DNA, dan is de toestemming alleen verleend voor dit doel. Op grond van deze toestemming mogen de gegevens van de betrokken persoon niet ook
nog worden gedeeld met een derde partij. Er zal voor een nieuwe verwerking opnieuw toestemming moeten worden gegeven.

Vraag 5
In hoeverre behoren de persoonsgegevens van minderjarigen op grond van de wet- en regelgeving extra beschermd te worden? Mag een bedrijf DNA
materiaal dat verkregen is van minderjarigen verwerken? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 5
Het strenge algemene regime geldt vanzelfsprekend ook voor DNA-materiaal van minderjarigen. Artikel 8 AVG biedt daarbij nog extra bescherming indien
de hier bedoelde test aangeboden wordt als een dienst van de informatiemaatschappij. Social media, online-games en webwinkels zijn voorbeelden
van diensten van de informatiemaatschappij. Een bedrijf mag DNA-gegevens verwerken van minderjarigen. Bij minderjarigen jonger dan 16 jaar is hiervoor
wel toestemming nodig van degene die het gezag over de minderjarige heeft. De onderneming moet de redelijke maatregelen nemen die nodig zijn om dit
controleren.

Vraag 6
In hoeverre is het wat betref de bescherming van persoonsgegevens van belang of een bedrijf dat van Nederlandse cliënten via een Nederlandse
website DNA verkrijgt, dat buiten Nederland of de Europese Unie opslaat, verwerkt of deelt?

Antwoord 6
Met het van toepassing worden van de AVG is de territoriale reikwijdte van wetgeving op het gebied van de bescherming van persoonsgegevens
uitgebreid. Een bedrijf dat niet gevestigd is in Nederland of in de Europese Unie, maar wel persoonsgegevens verwerkt van Nederlanders en dit buiten
Nederland of de Europese Unie doet, dient zich te houden aan de AVG. Wanneer een bedrijf dat niet in Nederland of de Europese Unie is gevestigd,
Nederlandse cliënten via een Nederlandse website diensten met betrekking Tweede Kamer, vergaderjaar 2018–2019, Aanhangsel 2
tot de analyse van DNA-profielen aanbiedt, is de AVG van toepassing op die verwerking.

Vraag 7
Acht u het mogelijk dat de in het programma genoemde bedrijven zich schuldig hebben gemaakt aan overtreding van de in Nederland geldende
regels met betrekking tot bescherming van persoonsgegevens? Weet u of de Autoriteit Persoonsgegevens daar onderzoek naar doet?

Antwoord 7
De AP heeft mij laten weten dat het onderwerp verwerking van genetische gegevens de aandacht heeft van de AP, gezien het gevoelige karakter van die
gegevens. Over (mogelijk) lopende onderzoeken van de AP naar verwerkingsverantwoordelijken doet de AP geen uitspraken.

Vraag 8
Wat kunnen cliënten die menen dat genoemde bedrijven hun persoonlijke levenssfeer hebben geschonden doen om dit te laten corrigeren?

Antwoord 8
Cliënten kunnen een inzageverzoek indienen om erachter te komen welke soort persoonsgegeven voor welke doeleinden zijn gebruikt. Vervolgens
kunnen cliënten bij een (vermeende) onrechtmatige verwerking verzoeken dat hun persoonsgegevens beperkter gebruikt worden. Ten slotte kunnen cliënten
hun toestemming voor de verwerking intrekken en de persoonsgegevens laten wissen. Ook kunnen cliënten een klacht indienen bij de AP.

Vraag 9
Acht u het nodig dat burgers meer geïnformeerd worden over de risico’s die verbonden kunnen zijn aan het delen van DNA materiaal met bedrijven die
genealogisch onderzoek daarmee zeggen te doen? Zo ja, op welke wijze gaat u dit bewerkstelligen? Zo nee, waarom niet?

Antwoord 9
Nee, dit acht ik vooralsnog niet nodig. De AVG eist op zichzelf al dat de vereiste toestemming uitdrukkelijk is gegeven en wel voor «welbepaalde»
doeleinden. Indien doorlevering van persoonsgegevens aan derden een doel is, zullen bedrijven dit dus al bij het vragen van de toestemming duidelijk
hebben moeten maken aan degene die toestemming geeft. De privacytoezichthouder kan hier zo nodig op handhaven. De AP heeft verder uitgebreide
informatie voor burgers op haar website staan over de verwerking van bijzondere persoonsgegevens. Ook de FIOM (Nederlandse stichting die
gespecialiseerd is op ongewenste zwangerschap en afstammingsvragen) heeft uitgebreide informatie op haar website als het gaat om het delen van
DNA materiaal met bedrijven voor afstammingsvragen. Daarmee is voldoende informatie beschikbaar voor burgers die (bijzondere) gegevens ter
beschikking willen stellen.

Klik hier om de Kamervragen als pdf-bestand te bekijken.

bron: Rijksoverheid

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer