Onderzoeksbedrijf krijgt boete voor overtredingen met pseudonieme zorgdata

In dit artikel:

De Franse privacywaakhond CNIL heeft klinisch onderzoeksbureau Iqvia recentelijk een boete van vijf miljoen euro opgelegd wegens gebrekkige verwerking van pseudonieme medische gegevens van tientallen miljoenen mensen. Iqvia verzamelde in Frankrijk informatie in twee datawarehouses — één gevuld met gegevens van circa 14.000 apotheken en de ander met data van duizenden huisartsen — voor onderzoek in opdracht van farmaceutische bedrijven. De bestanden bevatten onder meer geboortejaar, geslacht, voorgeschreven medicijnen, gezinssituatie, socio‑professionele categorie en gevoelige gezondheidinformatie zoals diagnoses, symptomen, allergieën, lengte/gewicht, hartslag, vaccinaties en ziekteverlof.

CNIL concludeerde dat Iqvia zich niet aan de voorwaarden hield waaronder de warehouses waren toegestaan: er ontbraken systematische controles van logbestanden en voor één warehouse was geen multifactorauthenticatie ingesteld. Bovendien werden patiënten door apotheken niet geïnformeerd dat hun gegevens naar Iqvia gingen en kregen zij geen mogelijkheid bezwaar te maken. Iqvia verdedigde zich door te stellen dat het om anonieme data ging; toezichthouders stelden echter vast dat het om pseudonieme data met unieke identifiers ging, waardoor identificatie mogelijk blijft, zeker bij samenvoeging met openbare bronnen.

Weging van de ernst van de inbreuk, de omvang (tientallen miljoenen betrokkenen), het gevoelige karakter van de data en Iqvia’s marktplaatspositie leidde tot de boete. De gemelde beveiligingsgebreken zijn inmiddels verholpen en CNIL legde daarnaast een last onder dwangsom op om te garanderen dat betrokkenen voortaan geïnformeerd worden en bezwaar kunnen maken.