Home » Life Sciences » “In veel landen zijn er lokale wetten, accenten en zelfs interpretaties ontstaan”
Innovatie

“In veel landen zijn er lokale wetten, accenten en zelfs interpretaties ontstaan”

Inge Basteleurs

Zaakvoerder

Calexin

Hoewel de GDPR al sinds 2018 van kracht is, blijft er veel onduidelijkheid over de interpretatie en de accenten in verschillende landen. “En dat heeft ook voor de life sciences een grote impact”, vertelt Inge Basteleurs, zaakvoerder van Calexin.

Tekst: Joris Hendrickx

“Het doel van de GDPR was om het privacybeleid over de hele EU te harmoniseren. Voor onder andere de life sciences werd echter de mogelijkheid gelaten om nog te verstrengen. In veel landen zijn er zo lokale wetten, accenten en zelfs interpretaties ontstaan. In België ben je bijvoorbeeld bijkomend verplicht om een register bij te houden van categorieën van personen die toegang hebben tot gevoelige gegevens.”

Nog veel onduidelijkheden

“Een controller beslist welke gegevens worden verzameld en wat er mee gebeurt. Een processor is diegene die op basis van de instructies van de controller handelt. Er is echter nog veel discussie over het bepalen van welke van de twee (of zelfs gezamenlijke controllers) je bent.”

“Zo is een sponsor van klinische studies een datacontroller voor de verzamelde gezondheidsgegevens in die studie. Hij is echter geen controller van het medisch dossier van de patiënt. Dit lijkt een theoretische discussie maar is dat zeker niet, omdat het feit of je controller bent vele verplichtingen met zich meebrengt.”

Onthoud de basis: verzamel enkel wat je nodig hebt, voor het doel dat je het nodig hebt en verwijder wanneer niet meer nodig

“Een andere uitdaging stelt zich bij onderzoek op basis van data en materialen uit een eerder onderzoek. Kan dit onder wetenschappelijk onderzoek of heb je een extra toestemming nodig, en wat moet daar dan in staan? Er bestaan veel nationale en lokale interpretaties over wat je mag doen.”

Volop in ontwikkeling, maar wel al strenge afdwinging

“Hoewel de GDPR – en vooral de interpretatie daarvan – nog volop in ontwikkeling is, wordt de afdwingbaarheid ervan wel al uitgevoerd. Zo werd in Duitsland een zware straf uitgesproken voor het niet wissen van gegevens nadat ze niet meer nodig waren voor het vooropgestelde doel, een ‘datakerkhof’, zoals men dat noemt. Heel veel IT-systemen zijn hier echter nog niet op voorzien. Maar ook voor het onvoldoende beveiligen van gegevens of het sturen van marketingmails zonder toestemming werden al pittige boetes uitgeschreven.”

Respect voor basisprincipes

“Het komt er vooral op aan om de fundamentele principes van de GDPR in gedachte te houden: verzamel enkel wat je nodig hebt, voor het doel dat je het nodig hebt en verwijder wanneer niet meer nodig. Ook een goed plan van aanpak is belangrijk. Wanneer er toch een inbreuk wordt vastgesteld, dan moet je als bedrijf kunnen aantonen dat je wel degelijk moeite doet om de GDPR na te leven en dat je actief meewerkt en communiceert met de autoriteiten.”

Next article