Maar wat met onze privacy?
“Het is duidelijk dat dergelijk initiatief niet zomaar kan worden doorgevoerd en bijkomend onder gerechtelijk toezicht zal staan van het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens.”
Politici en wetenschappers werpen stilaan een blik vooruit en bekijken hoe we corona, na de piek, nog verder kunnen bestrijden. Men denkt aan een track & trace app om het virus te bestrijden.
Hoe gaat dat in z’n werk? De burger ontvangt een sms zodra hij of zij in aanraking zou gekomen zijn met het virus. Een probleem: hoe worden die gegevens verzameld? Mag de overheid überhaupt dat wel doen? De burger heeft er wellicht geen probleem mee dat die gegevens gebruikt worden om de algemene gezondheid van de mens te beschermen, maar hoe zit het met het wetgevend kader?
En hoe zou die app dan vorm krijgen? VDV-iLaw licht het graag toe.
Track & trace app: functionaliteiten en gebruikte gegevens
Hieronder lijsten we op welke gegevens verwerkt kunnen worden:
- Jouw verplaatsingen;
- Locatie van besmette persoon;
- Contactpersonen van de besmette persoon;
- Personen contacteren die in contact gekomen zijn met een besmet persoon.
Die gegevens zou je doorspelen aan de overheid opdat die jou kan contacteren indien je in contact gekomen zou zijn met een besmet persoon. Echter stellen we ons wel vragen bij de privacy van onze gegevens. De overheid moet immers over talrijke gegevens beschikken om jou uiteindelijk te kunnen waarschuwen. Het gaat in dit geval dan om de volgende data: persoonsgegevens (naam, adres, …), gezondheidsgegevens (medisch dossier, testresultaten, …) en de locatiegegevens van de betrokken personen.
Track & trace app: binnen een wetgevend kader
Opvolging van de GDPR-wetgeving
De GDPR-wetgeving, bedoeld om gegevens van natuurlijke personen te beschermen, speelt in dit verhaal een erg belangrijke rol.
De bedoeling van de overheid is uiteraard de gezondheid van haar burgers te beschermen, maar ook zij mag de privacy niet uit het oog verliezen. Om die reden is het noodzakelijk dat de app gecreëerd wordt binnen een wettelijk kader waarbij de rechten en vrijheden van de burgers volledig beschermd worden.
Gezien de huidige gezondheidscrisis kan de overheid binnen het wettelijk kader van de GDPR een beroep doen op twee rechtsgronden. Een eerste betreft de uitvoering van haar wettelijke verplichting (de bescherming van de volksgezondheid). De andere is de bescherming van de vitale belangen van een natuurlijk persoon. Deze laatste mogelijkheid wordt door GDPR uitdrukkelijk voorzien bij de uitbraak van een epidemie.
Indien de overheid de app uit de grond wil stampen, dient die zich te baseren op één van beide rechtsgronden.
Maar zich enkel baseren op een van bovenstaande gronden is onvoldoende. Omdat de app de gevoelige gegevens van natuurlijke personen verzamelt en verwerkt, kan dat enkel met de toestemming van de betrokkene, zoniet is die handeling verboden.
Om te beletten dat de overheid van iedereen een geldige toestemming dient te verkrijgen, wordt in de GDPR expliciet voorzien dat ‘indien het noodzakelijk is om de volksgezondheid te waarborgen’ er afgeweken mag worden van de voorafgaandelijke toestemming van de burger.
Daarenboven dient de verwerking gebaseerd te zijn op wetgeving waarbij afdoende maatregelen worden genomen om de rechten en vrijheden van de burgers te beschermen. Op heden ontbreekt dit wetgevend kader.
Een richtlijn waarmee de overheid dient rekening te houden: ePrivacyrichtlijn
Naast de GDPR-wetgeving dient de overheid zich ook nog te houden aan de ePrivacyrichtlijn, de app zou ook gegevens van telecomoperatoren verwerken, meer bepaald niet-geanonimiseerde gegevens van elektronische communicatie zoals locatiegegevens. De richtlijn stelt dat enkel locatiegegevens van betrokken personen verwerkt mogen worden indien die anoniem verzameld worden of indien de uitdrukkelijke geïnformeerde toestemming verkregen werd van de betrokken persoon.
Een afwijking op de toestemming wordt door de richtlijn voorzien wanneer het de bescherming van de openbare veiligheid betreft. Net als onder de GDPR is deze afwijking slechts mogelijk wanneer er een wetgevend kader aanwezig is die deze verwerking mogelijk maakt en de rechten en vrijheden van de burger beschermt. Ook hier ontbreekt op heden de gepaste wetgeving.
Kern van het wettelijk kader
De overheid zal in dit verhaal optreden als verwerkingsverantwoordelijke binnen het uitzonderingskader van zowel de GDPR-wetgeving als de ePrivacyrichtlijn. Die actie zal echter niet zonder duidelijke basis uitgevoerd worden. De overheid dient zich immers op een eenduidige en heldere manier te verantwoorden waarom die afwijking zo noodzakelijk blijkt te zijn. Die verantwoording zal opgenomen worden in de parlementaire voorbereiding van de wetgeving die de noodzakelijke maatregelen zal hanteren om de rechten en vrijheden van de betrokken personen te beschermen.
Belangrijk om weten: die aanpassing gebeurt niet zonder gerechtelijke controle. Het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens houden een oogje in het zeil opdat de overheid alle stappen correct neemt en afwegingen correct uitvoert.
Identiteit van de verwerker/verwerkingsverantwoordelijke
Nadat het wetgevend kader uiteindelijk vorm gekregen heeft, wordt in een volgende stap de app in het leven geroepen, gepresenteerd en onderhouden. Die taken zullen eerder aan een derde partij uitbesteed worden, ofwel zal de overheid een samenwerking voorstellen.
Identiteit derde partij:
- Dat wordt wellicht een private technologieonderneming. Hoe zal deze te kwalificeren zijn? De verwerkingsverantwoordelijke, gezamenlijke verantwoordelijke of verwerker? Afhankelijk van de kwalificatie zal een protocol of de verwerkingsovereenkomst met de overheid afgesloten moeten worden.
- Een Data Protection Officer zal in de onderneming moeten aangesteld worden.
Klachten betreffende de verwerking van persoonsgegevens
Ook hier dient er een belangrijke kanttekening gemaakt te worden: de verwerkingsverantwoordelijke (de overheid) is uitgesloten van administratieve sancties op grond van de Belgische Privacywet van 2018. Indien andere verwerkingsverantwoordelijken of verwerkers worden aangesteld, kunnen zij wel verantwoordelijk gesteld worden.
Dat is belangrijk in het geval van een klacht bij GBA. De Belgische wetgever heeft immers niet altijd de adviezen van de Gegevensbeschermingsautoriteit netjes opgevolgd.
Maarten Verhaghe
0 reacties