Ins en outs van toestemming bij verwerking gezondheidsgegevens kinderen Swipen voordat je kan grijpen

do 29 augustus 2019
Ins en outs van toestemming bij verwerking gezondheidsgegevens kinderen Swipen voordat je kan grijpen

Ze swipen voordat ze kunnen grijpen: kinderen komen steeds eerder in aanraking met technologie. Ook in de zorg. Gezondheidsapplicaties kunnen de spanning voor een ziekenhuisbezoek bij kinderen weg nemen en therapietrouw en kennis over hun aandoening vergroten. Meer gebruik van technologie in de zorg zorgt er tegelijkertijd voor dat steeds meer gezondheidsgegevens van kinderen verwerkt worden. De verwerking van deze gevoelige gegevens brengt een verhoogd risico met zich mee. Om kinderen op dit punt te beschermen, zijn in de Algemene Verordening Gegevensbescherming (AVG) speciale regels opgenomen.

Softwareontwikkelaars van gezondheidsapps die buiten de behandelrelatie worden aangeboden, zullen vaak gegevens verwerken op grond van ‘toestemming’. Omdat het om kinderen gaat, is ook toestemming van de gezaghebbende ouder of voogd vereist. In de praktijk blijkt dit vaak een obstakel, omdat nog veel onduidelijkheid bestaat over hoe toestemming moet worden verkregen.

Voor twee gedreven privacy-professionals, die juist werkzaam zijn in de zorg om door middel van compliance innovatie te stimuleren, klinkt dit als een roep om duidelijkheid. In dit artikel vertalen wij de AVG-vereisten voor toestemming naar praktische oplossingen voor ontwikkelaars van gezondheidsapps (als zijnde verwerkingsverantwoordelijken van gezondheidsgegevens van kinderen).

Bescherming persoonsgegevens

Waar het Nederlandse Burgerlijk Wetboek zegt dat zij, die de leeftijd van achttien jaren niet hebben bereikt worden beschouwd als minderjarig, ben je volgens de AVG al op je zestiende volwassen. Tot die tijd word je, onder de AVG, beschouwd als kind. Omdat kinderen vaak de gevolgen van verwerking van hun persoonsgegevens (nog) niet kunnen overzien, worden zij gezien als een kwetsbare groep, die extra bescherming moet krijgen. Daarom gelden (aanvullende) specifieke regels voor de verwerking van hun persoonsgegevens.

In dit artikel richten wij en beperken we ons tot de aanvullende regels uit de AVG, die gelden ten aanzien van het verstrekken van toestemming voor de verwerking van persoonsgegevens van kinderen. Daaronder dus gezondheidsgegevens in gezondheidsapps.

Toestemming online diensten

Om kinderen te beschermen, is bepaald dat toestemming van de gezaghebbende ouder of voogd nodig is om een beroep te kunnen doen op ‘toestemming als grondslag voor de verwerking’. De volwassene, die het gezag draagt over het kind, zal in de meeste gevallen een betere afweging kunnen maken namens het kind. Deze toestemming is pas geldig wanneer deze vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig en begrijpelijk is. Hoe past dit binnen de huidige praktijk?

1. Specifieke toestemming hangt samen met het recht op informatie, wat leidt tot geïnformeerde toestemming. Voorafgaand aan het verlenen van toestemming moet de betrokkene worden geïnformeerd over de verwerking van persoonsgegevens, zodat deze een weloverwogen beslissing kan nemen en begrijpt waarmee hij of zij akkoord gaat. Dit betekent dat de informatie duidelijk en begrijpelijk moet zijn voor de betrokkene (het kind). Het kind moet begrijpen wat er gebeurt met zijn of haar persoonsgegevens, wie de gegevens verwerkt, waarom, etc., maar ook de ouder of voogd die toestemming verleent moet dit weten. De informatie moet dus ook aan die persoon gericht zijn. 

2. Om deze onduidelijkheid te verhelpen, is het verstandig dat iedere aanbieder van een gezondheidsapp voor kinderen een privacyverklaring opstelt voor het kind en een privacyverklaring en toestemmingsformulier voor de ouder of voogd. Zo zal het kind kunnen begrijpen waar het over gaat en wordt ook de gezaghebbende geïnformeerd en in staat gesteld om een weloverwogen beslissing te nemen. De privacyverklaringen en het toestemmingsformulier moeten beschikbaar worden gesteld voordat gegevens van het kind verwerkt worden. 

3. Aanvullend is toestemming pas geldig wanneer de ouder of voogd een vrije keuze heeft kunnen maken, zonder dat het kind benadeeld wordt wanneer geen toestemming wordt verleend. Daarnaast dient toestemming gevraagd te worden voor een specifieke verwerking: niet in het algemeen. Bovendien dient de toestemming voor het verwerken van gezondheidsgegevens ‘uitdrukkelijk’ te zijn. Dit betekent dat een expliciete bevestiging van toestemming moet worden gegeven via een directe verklaring, bijvoorbeeld door het aanvinken van een vakje met “Ik geef toestemming om…” onderaan een ingevuld webformulier.

4. Tot slot is van belang dat de verwerkingsverantwoordelijke (de softwareontwikkelaar in dezen) moet kunnen aantonen dat geldige toestemming is verleend. Hier dient gecontroleerd te worden of de persoon die toestemming heeft verleend hiertoe bevoegd was. Met andere woorden: heeft de betreffende persoon gezag over het betrokken kind?

Gezag aantonen

Het is niet eenvoudig te controleren of een gezondheidsapp gebruikt wordt door een kind. Niet alle kinderen hebben immers een eigen identiteitsbewijs. De Europese Artikel 29 Werkgroep1 heeft aangegeven dat passende controles moeten worden uitgevoerd om te controleren of een gebruiker daadwerkelijk ouder is dan zestien jaar, wanneer de gebruiker dit aangeeft. Als de gebruiker zegt nog geen zestien jaar te zijn, mag dit zonder verdere controle geaccepteerd worden. In dit geval dient de gezaghebbende ouder of voogd toestemming te verlenen voor de verwerking van de persoonsgegevens van het kind. 

De AVG bepaalt dat de verwerkingsverantwoordelijke ‘redelijke inspanningen’ moet doen om te controleren of de gezaghebbende toestemming heeft gegeven voor de verwerking of machtiging tot toestemming heeft verleend. De Autoriteit Persoonsgegevens heeft vooralsnog geen duidelijkheid gegeven over de manier om invulling te geven aan deze open norm.

Om te verzekeren dat de gezaghebbende ouder of voogd van het kind de vereiste toestemming heeft verleend, zal moeten kunnen worden aangetoond dat de betreffende persoon daadwerkelijk bevoegd is om toestemming te geven hiervoor.

In theorie kan ouderlijk gezag worden aangetoond met een uittreksel uit het openbare Gezagsregister of uit de Basisregistratie Personen (BRP). In de praktijk geldt echter dat het Gezagsregister slechts rechterlijke besluiten over het gezag bevat, waardoor in dit register niets staat vermeld over automatisch gezag - en dat een uittreksel van het BRP alleen mag worden aangevraagd door wettelijk bevoegde organisaties. Dit betekent dat ontwikkelaars van gezondheidsapps hier geen recht toe hebben.