Antwoord 1

Het gaat hier om een ontwikkeling die relatief kort aan de gang is, in een veld waar steeds nieuwe bedrijven bij komen die diensten aanbieden rond het gebruik van DNA-data. Zoals de door u aangehaalde bron vermeldt zijn overheden in een aantal landen zich bewust van de (privacy-)problematiek die hiermee ontstaat. In Nederland kan het College Bescherming Persoonsgegevens (Cbp) besluiten hierop te acteren; de Wet Bescherming Persoonsgegevens (Wbp) en de in aantocht zijnde EU-verordening Dataprotectie zijn ook ten aanzien van de genoemde bedrijven van kracht.

Antwoord 2, 5 en 6

Het betreft een in beginsel vrije markt, binnen nationale en internationale kaders gereguleerd door handels- en privacywetgeving. De overheid verzamelt niet systematisch gegevens over alle bedrijven die zich op deze markt begeven en hoe zij te werk gaan; wat dat laatste betreft is het aan een bedrijf zelf, gegeven de wettelijke kaders, transparant te zijn over de voorwaarden. Het is vervolgens aan de consument zelf om de voorwaarden waaronder de dienst wordt aangeboden al dan niet te accepteren.

Antwoord 3, 4 en 7

DNA-data zijn persoonsgegevens betreffende erfelijke eigenschappen als bedoeld in artikel 21, vierde lid, van de Wet bescherming persoonsgegevens. Ingevolge deze bepaling is de verwerking van dergelijke gegevens in beginsel alleen toegestaan voor zover de verwerking uitsluitend betrekking heeft op de betrokkene bij wie de betreffende gegevens zijn verkregen. Dit beginsel lijdt slechts uitzondering in het geval dat een zwaarwegend geneeskundig belang prevaleert of de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek. Bij verwerking ten behoeve van wetenschappelijk onderzoek of statistiek, kan dit slechts geschieden met uitdrukkelijke toestemming van de betrokkene, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. Voorts geldt dat bij de uitvoering van het onderzoek of de statistiek moet zijn voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. In aanvulling op deze algemene bepalingen is het gebruik van erfelijke gegevens door werkgevers en verzekeraars nader geregeld in de Wet op de medische keuringen.

De verwerking van DNA-data door bedrijven moet plaatsvinden binnen de eerder genoemde wettelijke kaders. Een bedrijf moet een geheel of gedeeltelijk geautomatiseerde verwerking van DNA-data melden bij het College bescherming persoonsgegevens (Cbp) of bij de eventueel door het bedrijf aangestelde functionaris voor de gegevensbescherming. Het Cbp kan op basis van deze melding of eventuele andere signalen besluiten een onderzoek naar de rechtmatigheid van de verwerking van DNA-data door het bedrijf starten. Gelet op de onafhankelijke positie van het Cbp, is het aan het Cbp zelf om te bepalen of het daartoe overgaat.

Antwoord 8

In haar signalering over «Next generation sequencing» heeft de Gezondheidsraad aangegeven dat het belangrijk is om commerciële aanbieders van sequencing (het aflezen van de DNA-volgorde) voor onderzoek of klinische toepassingen die zich op de markt bewegen in de gaten te houden, omdat niet duidelijk is hoe de kwaliteit van de sequencing en met name de analyse en interpretatie wordt bewaakt.

De Raad voor de Volksgezondheid en Zorg, sinds 1 januari 2015 genaamd de Raad voor de Volksgezondheid en Samenleving, heeft in het advies «Screening en de rol van de overheid» uit 2008 gesignaleerd dat er risico’s kleven aan de genetische (zelf)tests door mogelijk misbruik van (genetische)gegevens. In de kabinetsreactie op dit advies heeft de vorige Minister van Volksgezondheid, Welzijn en Sport aangegeven dat er reeds wetgeving bestaat die ziet op de bescherming van de privacy van burgers (Kamerstukken II, 22 894 nr. 179). De praktijk is dat mensen vrijwillig hun DNA afgeven of een app gebruiken waarbij informatie wordt verstrekt. Daarbij zal uiteraard sprake moeten zijn van toestemming voor het gebruik van het materiaal en de daaruit te verkrijgen data, in overeenstemming met de geldende wet- en regelgeving. Het is belangrijk dat de gevolgen van deze afgifte voor de gebruiker duidelijk worden gemaakt zodat men weet waarmee wordt ingestemd.

Ten aanzien van gegevensuitwisseling tussen zorgaanbieders ligt het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens in de Eerste Kamer. Hierin wordt geregeld dat elektronische uitwisseling van medische gegevens tussen zorgaanbieders via een elektronisch uitwisselingssysteem alleen is toegestaan met uitdrukkelijke toestemming van de cliënt. Aanvullend bereidt mijn ambtsgenoot van Volksgezondheid, Welzijn en Sport ook een wetsvoorstel voor ten aanzien van zeggenschap over lichaamsmateriaal. Daarnaast wordt in Brussel, in het kader van de vaststelling van een nieuwe Europese Data Protectie Verordening, gesproken over het opnemen van regels omtrent gebruik van genetische data.

Antwoord 9 t/m 11

Het is niet aan het kabinet om een individueel geval te beoordelen, zeker niet als het gaat om een particulier bedrijf (geen overheidsonderdeel); dat is voor een onafhankelijk toezichthouder zoals het Cbp en dat bepaalt zelf waar het onderzoek naar doet. De focus van het Cbp ligt voornamelijk op de handhavende taak, waar ook de beoordeling van de rechtmatigheid en proportionaliteit en subsidiariteit van toegepaste gegevensverwerking toebehoort. Het Cbp hanteert hiertoe een risicogestuurde aanpak, waarbij prioriteit ligt bij de aanpak van ernstige, structurele overtredingen van de Wet bescherming persoonsgegevens (Wbp) die grote groepen mensen treffen en waarbij het Cbp met zijn bevoegdheden een verschil kan maken. Op basis van die beoordeling bepaalt het Cbp welke vorm van toezicht – proactief of achteraf – en welk instrument daarvoor nodig is. Dit kan variëren van (ambtshalve) onderzoek en het uitgeven van richtsnoeren of zienswijzen, tot het opleggen van een last onder dwangsom.