Gepersonaliseerde voeding en verwerking persoonsgegevens – hoe zit dat?

Amsterdam, 28 februari 2019 15:11 | Axon Advocaten

KENNISPARTNER - Gepersonaliseerde voeding is vandaag de dag geen randverschijnsel meer. Bepaalde aspecten van je gezondheid meten en aan de hand daarvan persoonlijk voedingsadvies krijgen wordt steeds populairder. Steeds meer bedrijven bieden mogelijkheden om eventuele tekorten aan voedingsstoffen te meten en te voorzien in een oplossing.

Voorbeelden zijn Cerascreen, een bedrijf dat testen voor vitaminetekorten en voedselallergieën aanbiedt en Bright Labs, dat een sampling kit aanbiedt om het vitaminegehalte in het lichaam te kunnen meten. De producten die in eventuele tekorten voorzien, moeten uiteraard voldoen aan alle specifieke wetgeving die van toepassing is op dergelijke producten. Daarnaast is het van belang dat bedrijven die dit soort producten of testen aanbieden ook op de hoogte zijn van de regels voor het verwerken van persoonsgegevens. Sinds 25 mei vorig jaar geldt in de gehele EU de zogenaamde Algemene Verordening Gegevensbescherming (“AVG”). Welke regels uit deze verordening zijn specifiek van belang voor gepersonaliseerde voeding?

Specifieke regels voor verwerking van gegevens over gezondheid

Het is in principe verboden gegevens over de gezondheid te verwerken, tenzij de verwerkingsverantwoordelijke (ook wel “controller”) of namens hem de verwerker (ook wel “processor”) zich kan beroepen op een specifieke juridische grondslag. Dat is bijvoorbeeld expliciete toestemming, maar dat kan ook zijn dat verwerking van persoonsgegevens noodzakelijk is voor wetenschappelijk onderzoek. Dit begrip moet breed worden uitgelegd en daaronder valt ook toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek. Wanneer men zich beroept op uitdrukkelijke toestemming, moet die zijn verbonden aan specifieke doeleinden. Hierover moet de gebruiker van de test of het vitaminepreparaat dus voldoende duidelijk zijn voorgelicht.

Uitdrukkelijke toestemming, maar waarvoor precies?

Wanneer een controller eenmaal persoonsgegevens voor een bepaald doel heeft verkregen, is het volgens de AVG niet zonder meer toegestaan deze ook voor een ander doel te gebruiken. Dat klinkt op zich logisch, maar geeft wel aan dat het belangrijk is de initiële doelstellingen niet alleen duidelijk maar ook voor het bedrijf op passende wijze te formuleren. Bovendien moet de controller kunnen aantonen, wanneer de betreffende klant of de overheid daarom verzoekt, dat bedoelde toestemming daadwerkelijk is verkregen. Dat kan bijvoorbeeld door met behulp van specifieke software bij elk consent een pdf-document te laten genereren, dat op naam van de betreffende klant wordt opgeslagen. Overigens niet langer dan nodig is voor het oorspronkelijke doel, ter voorkoming van onnodige “data obesitas”.

Internationale transfers van persoonsgegevens

Niet zelden gebeurt het dat servers waarop persoonsgegevens worden opgeslagen, in een ander land staan, dan waar de producten en diensten worden aangeboden. Afhankelijk van welk land dat is, hoeft dat geen probleem te zijn. Binnen de EU gelden op basis van de AVG immers dezelfde normen voor bescherming van persoonsgegevens. Het wordt een ander verhaal wanneer persoonsgegevens de EU verlaten. Niet alleen moeten klanten daarover worden geïnformeerd, maar ook moet de onderneming die gepersonaliseerde voeding aanbiedt zorgen voor adequate bescherming van de daarmee gemoeide persoonsgegevens.

Wat is adequate bescherming?

Ten aanzien van een aantal landen, waaronder Canada, Zwitserland, Nieuw-Zeeland en ook Japan, heeft de Europese Commissie bepaald dat zij een passend beschermingsniveau waarborgen. Voor transfers van persoonsgegevens naar deze landen hoeven geen aanvullende maatregelen te worden getroffen. Voor de Verenigde Staten geldt dit voor organisaties en bedrijven die de principes van het zogenaamde EU-VS-privacyschild naleven. Een andere manier waarop passende bescherming bij de verwerking van persoonsgegevens kan worden geboden is op basis van bindende bedrijfsvoorschriften. Dit zijn voorschriften die op concernniveau worden toegepast, die ter goedkeuring aan de bevoegde autoriteit (in Nederland de Autoriteit Persoonsgegevens, AP) zijn voorgelegd en waaraan klanten afdwingbare rechten kunnen ontlenen.

Hoe zit dat met Engeland met de naderende Brexit?

De Brexit, if any, wordt met grote onzekerheden omgeven. Wanneer die er toch komt, wordt Engeland een zogenaamd derde land, waarnaar niet zonder meer persoonsgegevens kunnen worden overgebracht. De kans is groot dat er een adequaatsheidsbesluit zal komen ten gunste van het Verenigd Koninkrijk, dat immers de normen van de AVG al toepast. Dat zal echter, net als de gehele Brexit, tijd vergen. Wanneer uw bedrijf op dit moment persoonsgegevens aan Engeland doorgeeft, is een praktische oplossing een set standaardcontractbepalingen aan uw verwerkersovereenkomst toe te voegen, die door de Europese Commissie is opgesteld. Het is raadzaam wel de juiste set te kiezen, namelijk die set die past bij de relatie met uw Engelse partner. Wanneer die bijvoorbeeld de rol van verwerker heeft en uw bedrijf is verwerkersverantwoordelijke is de set uit 2010 de juiste. Verder hebben de Europese toezichthouders, verenigd in de European Data Protection Board, tips gegevens voor het nadere vertrek van Engeland uit de EU.

Handhaving tot nu toe

Over handhaving van de regels van de AVG door de bevoegde autoriteiten werd met name in aanloop naar 25 mei 2018 veel geschreven. Op basis van de tekst van de Verordening hebben de autoriteiten namelijk de ruimte hoge boetes op te leggen wanneer zij een schending van de regels constateren. In Nederland is tot nu van dit instrument in beperkte mate gebruik gemaakt. Het bekendste voorbeeld tot nu komt van de Franse bevoegde autoriteit, die Google een boete van USD 50 mio heeft opgelegd wegens onder meer geconstateerde gebreken in verkregen consent voor het verwerken van persoonsgegevens. In essentie heeft volgens de AP de nieuwe regelgeving bij veel bedrijven geleid tot bewustwording van de datastromen die omgaan binnen hun eigen bedrijf. Uiteraard is de volgende slag dat bedrijven, en hun partners, hiermee ook daadwerkelijk zorgvuldig omgaan. Deze en verwante zaken worden op 6 maart 2019 besproken tijdens het Axon seminar Mainstreaming Personalised Health, waarvoor u zich nog kunt aanmelden.

Auteur: Karin Verzijden, advocaat bij Axon Advocaten, Kennispartner van VMT