De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), hebben op verzoek van de Europese Commissie advies gegeven over de verwerking van gezondheidsgegevens in relatie tot lifestyle- en gezondheidsapps en apparaten. In dit advies hebben de privacytoezichthouders criteria ontwikkeld om te bepalen wanneer sprake is van gezondheidsgegevens.
Gezondheidsgegevens zijn gevoelige gegevens en worden daarom in de wet extra beschermd. Via sensoren in slimme apparaten worden steeds meer gegevens gemeten, van locatiegegevens tot gegevens over bijvoorbeeld hartslag, bloeddruk en gewicht. Naar verwachting bestaat binnen tien jaar negentig procent van alle opgeslagen gegevens uit dit soort meetgegevens.
Onder het begrip gezondheidsgegevens vallen niet alleen ‘harde’ medische gegevens, zoals de inhoud van een medisch dossier bij een zorgverlener. De Europese toezichthouders geven aan dat het begrip een veel ruimere betekenis heeft. Ook gegevens over bijvoorbeeld bloeddruk, lidmaatschap van een dieetclub of informatie over rook- en drinkgedrag zijn gezondheidsgegevens. Apps die bijvoorbeeld de bloeddruk of hartslag meten, moeten aan de wettelijke regels voor gezondheidsgegevens voldoen. De toezichthouders beschrijven dat er een grijs gebied is, waarin niet meteen duidelijk is of het een verwerking van gezondheidsgegevens is. Zij geven criteria om te bepalen wanneer het om gezondheidsgegevens gaat. Dat is het geval als metingen uit apps en apparaten gecombineerd worden met andere gegevens waardoor aannames kunnen worden gedaan over de gezondheid van een persoon. Dat is ook het geval als er (eventueel verkeerde) conclusies worden getrokken over iemands gezondheid of gezondheidsrisico's. Als voorbeeld noemen de toezichthouders het plaatsen of verzenden van sombere teksten op een algemeen sociaal netwerk; het gaat om gezondheidsgegevens als de berichten worden geanalyseerd op mogelijke depressiviteit van de verzenders.
Onzorgvuldige omgang met gezondheidsgegevens levert grote risico’s voor iemands persoonlijke leven. Daarom is gebruik van gezondheidsgegevens in beginsel alleen toegestaan als mensen hiervoor hun uitdrukkelijke toestemming hebben gegeven. Op deze toestemmingseis gelden enkele in de wet genoemde uitzonderingen. Bijvoorbeeld voor de verwerking door zorgverleners, of de verwerking voor wetenschappelijk onderzoek of statistiek, als dat een algemeen belang dient. Ook het voorstel voor de toekomstige Europese privacyverordening sluit hierbij aan. De Europese privacytoezichthouders dringen er bij de Europese Commissie op aan dit uitgangspunt te handhaven.
In het advies benadrukken de privacytoezichthouders het belang van transparantie over de verzameling en het gebruik van gezondheidsgegevens. Alleen als mensen begrijpelijke informatie krijgen over het gebruik van gegevens over hun gezondheid, kunnen zij rechtsgeldige toestemming geven voor de verwerking ervan door apps en apparaten. Ook moeten app-ontwikkelaars de gezondheidsgegevens zoveel mogelijk anonimiseren en al bij het ontwerp van hun app rekening houden met privacy (Privacy by Design).
