GDPR breidelt wereldwijde projecten

ONDERZOEK Toen de General Data Protection Regulation (GDPR) in mei 2018 van kracht ging, werd deze maatregel voorgesteld als een goedbedoelde voorzorg tegen de uitschuivers van ondoordachte gegevensdeling. Maar voor internationale onderzoeksgroepen is de nieuwe reglementering zuiver schade.

...

Zo ook voor NIH-baas Francis Collins. Onder zijn leiding voeren de Amerikaanse National Institutes of Health (NIH) sinds 1992 een onderzoek naar diabetes bij de Finse bevolking. De Finnen hebben hier een voetje voor, omdat ze vanuit genetisch standpunt relatief homogeen zijn. Bovendien houden ze zorgvuldig gezondheidsregisters bij. De Finse gezondheidsoverheden hebben het Amerikaanse project in het verleden 32.000 DNA-stalen ter beschikking gesteld. Daarmee konden Collins en zijn medewerkers de hand leggen op meer dan 200 genetische varianten die het risico van diabetes verhogen. Maar in mei 2018 draaide de Finse overheid de gegevenskraan dicht, omdat de NIH - zo oordeelde men - niet naar wens konden garanderen dat er aan de vereisten van de GDPR zou worden voldaan. Dat heeft een krachtige rem gezet op de vorderingen van het Amerikaanse onderzoek.De GDPR geldt in de 28 EU-lidstaten, plus IJsland, Lichtenstein en Noorwegen. De Europese Commissie heeft een aantal landen buiten de Europese Unie een kwaliteitslabel gegeven als adequate poortwachters van gegevensbescherming: Argentinië, Japan, Nieuw-Zeeland en Zwitserland. Met deze happy few mogen Europese onderzoekers dus gegevens uitwisselen. De Verenigde Staten (en ook Canada) vallen uit de boot. Een mogelijke uitweg is dat de niet-gegadigde naties met Europa een contract ondertekenen om alsnog de juiste garanties aan te reiken. Maar dat houdt in dat de betrokken onderzoeksinstellingen Europa de gelegenheid bieden te auditeren rond hun systemen voor gegevensverzameling en -verwerking. En ook dat ze zich schikken naar de Europese rechtspraak. Voor een Amerikaanse overheidsinstelling zoals de NIH zit dat er niet in.Een aantal internationale consortia hebben hier een mouw aan gepast. Het International Genomics of Alzheimer's Project heeft genetisch materiaal van meer dan 90.000 personen in Europa en de VS verzameld. Maar omdat sommige EU-landen hun gegevensdeling beknot hebben, werken Europese en Amerikaanse onderzoekers nu ieder van hun kant. Een ver van ideale situatie. Als men op zoek is naar zeldzame varianten, is een zo groot mogelijk gegevensbestand welkom.Hierboven staat wel degelijk 'sommige EU-landen'. Want de GDPR zet overkoepelende richtlijnen uit, maar laat de lidstaten vrij om ieder voor zich de details te regelen binnen de plaatselijke wetgeving. Spanje staat bijvoorbeeld toe dat gegevens van een eerste onderzoek zonder meer voor een tweede onderzoek hergebruikt worden, zolang het maar om een project van openbaar nut gaat. Maar in Italië moet men voor een tweede onderzoek opnieuw de toestemming vragen van de persoon op wie de gegevens betrekking hebben. Deze lokale vrijheden openen ook een aantal valkuilen voor anonimisering. Wat in principe een robuuste vorm van gegevensbescherming is, wordt hier en daar in vraag gesteld: ook als de administratieve gegevens worden gemaskeerd, gaan sommige overheden ervan uit dat men mensen kan identificeren aan de hand van het materiaal dat ze afgestaan hebben. Weg, anonimisering.De NIH proberen momenteel met de Finse overheid alsnog tot een vergelijk te komen dat binnen de GDPR past. De Europese Commissie heeft vorige week vergaderd met belanghebbenden zoals onderzoekers, patiëntenverenigingen en de industrie, om tot een breder toepasbare oplossing te komen. Onderhandelaars kruisen de vingers.