Bedrijven die het dna van mensen onderzoeken mogen deze gegevens niet zomaar met derde partijen delen, zo laat minister Dekker van Rechtsbescherming op Kamervragen van GroenLinks en de PvdA weten. Aanleiding voor de vragen is een uitzending van het tv-programma Radar over online dna-testen.

Bij verschillende Amerikaanse bedrijven, zoals Myheritage, 23andMe en AcestryDNA, kunnen mensen hun dna laten testen. Het gaat dan bijvoorbeeld om stamboom- of verwantschapsonderzoeken. Er zijn zorgen dat deze bedrijven het niet zo nauw met de privacy van hun klanten nemen. Zo kondigde 23andMe aan om gegevens met het farmaceutisch bedrijf GlaxoSmithKline te delen.

GroenLinks-Kamerlid Buitenweg en PvdA-Kamerlid Kuiken wilden van Dekker weten of dit zomaar mag. Volgens de minister is dna-materiaal een bijzonder persoonsgegeven en gelden voor de verwerking strenge regels. "Dat komt er op neer dat verwerking in beginsel verboden is tenzij de wetgeving de verwerking expliciet toestaat. Voor genetische gegevens geldt dat verwerking zonder toestemming, ook al is sprake van een zwaarwegend algemeen belang, door de wetgever slechts beperkt wordt toegestaan", aldus de minister.

Bedrijven mogen dan ook alleen gegevens delen als is voldaan aan één van de wettelijke uitzonderingsgronden en de persoon in kwestie hiervoor uitdrukkelijke toestemming heeft gegeven. Wanneer toestemming is gegeven om onderzoek te doen naar het dna, is de toestemming alleen verleend voor dit doel. "Op grond van deze toestemming mogen de gegevens van de betrokken persoon niet ook nog worden gedeeld met een derde partij. Er zal voor een nieuwe verwerking opnieuw toestemming moeten worden gegeven", stelt Dekker.

Ook bedrijven die buiten de Europese Unie opereren en gegevens van Nederlanders verwerken moeten zich hieraan houden. "Wanneer een bedrijf dat niet in Nederland of de Europese Unie is gevestigd, Nederlandse cliënten via een Nederlandse website diensten met betrekking tot de analyse van dna-profielen aanbiedt, is de AVG van toepassing op die verwerking", gaat de minister in zijn antwoord verder. Klanten die denken dat hun privacy is geschonden kunnen een inzageverzoek indienen, hun toestemming intrekken of een klacht bij de Autoriteit Persoonsgegevens indienen. Dekker merkt verder op dat de verwerking van genetische gegevens de aandacht van de toezichthouder heeft.