Uniforme privacyrichtlijnen in de strijd tegen Coronacrisis

Uniforme privacyrichtlijnen in de strijd tegen Coronacrisis
niek

Het verzamelen en analyseren van gegevens biedt werkgevers, instanties en overheden veel kennis en inzichten in de strijd tegen het coronavirus. Door het meten van koorts bij werknemers of het analyseren van alle mobiele data, kunnen er gerichte interventies worden ingezet. Voordat een overheidsinstantie of organisatie kan starten met het verzamelen van gegevens, moet men nagaan of zij deze mag verwerken in het kader van de Algemene verordening gegevensbescherming (AVG).

De AVG is op 25 mei 2018 in werking getreden. Deze inwerkingtreding maakte veel los bij organisaties maar ook overheidsinstanties over de hele wereld. De richtlijn is er namelijk juist ervoor bedoeld als een uniforme aanpak voor alle lidstaten binnen de EER. 1 wet, 1 handhavingmechanisme, want zoals men het in de volksmond zegt: internet kent geen grenzen.

Toen was er de Coronacrisis. De AVG heeft tot nu toe geen grotere uitdagingen als deze gekend, dus kijken wij met belangstelling toe hoe de toch uniform bedoelde wetgeving toentertijd, nu zo anders door elke lidstaat wordt ingevuld. In de tijd van deze crisis, zijn verschillende landen met uiteenlopende initiatieven naar voren gekomen. Het meest gehoorde en impactvolle initiatief is toch wel de app tegen corona. Meerdere lidstaten hebben hun hoop gevestigd op een app die Corona moet kunnen bestrijden. Maar wordt hier de uniforme aanpak ook gehanteerd en op welke manier dan?

Ontwikkelingen vanuit de Europese Unie
De European Data Protection Supervisor (EDPS) heeft op 25 maart een brief gepubliceerd om zorgen te uiten over de verschillen in aanpak van lidstaten. Op 8 april heeft de Europese Commissieaanbevelingen gepubliceerd over een gemeenschappelijke aanpak voor het gebruik van data voor deze Corona-apps. Op 13 april heeft de European Data Protection Board (EDPB) een brief goedgekeurd over de ontwerprichtsnoeren van de Europese Commissie voor apps ter ondersteuning van de strijd tegen de COVID-19-pandemie. Op 16 april 2020 heeft het Europese eHealth Network een gemeenschappelijke EU-toolbox gepubliceerd voor het gebruik van apps voor het traceren en waarschuwen van contacten naar aanleiding van de coronaviruspandemie. Deze gereedschapskist met richtlijnen moet de privacy waarborgen en aanwijzingen geven over hoe de verschillende apps ook over de grens kunnen functioneren.

Hoewel de reactie vanuit de Europese Unie relatief laat kwamen, gezien de eerste geluiden voor apps half maart al te horen waren, hebben we met verbazing gekeken naar het digitale evenement, de Appathon van het ministerie van Volksgezondheid, Welzijn en Sport (VWS), waar géén van deze richtlijnen werden meegenomen in de toetsing van de 7 mogelijke Corona-apps.

Uiteindelijk zijn de 7 apps allemaal als niet voldoende beschouwd en heeft het ministerie van VWS besloten om met experts een app te ontwikkelen. Toch vragen wij ons af wat de overige lidstaten in de Europese Unie tot nu toe voor ideeën hebben voor de Corona-app. Hieronder een overzicht van enkele landen binnen de Europese Unie.

België
In België is het nog onduidelijk of er een app komt. Er is een aanbesteding uitgezet, waar verschillende partijen op hebben gereageerd. De politieke structuur van België maakt het echter niet makkelijk om zomaar een app in te zetten. Elke overheid heeft andere bevoegdheden. Zo zijn de gewesten bevoegd voor contactopsporing maar de federale overheid voor privacy. Dit kan zonder goede samenwerking, een groot struikelblok zijn.

Denemarken
Denemarken heeft het plan om in de aankomende weken een app in gebruik te nemen die werkt op bluetooth. De Bluetooth technologie zal contacten binnen de afstand van 1 tot 2 meter detecteren. Het plan is dat autoriteiten enkel toegang hebben tot geaggregeerde data waardoor individuele tracking niet mogelijk is.

Duitsland
De Duitse hoofd van de kanselarij Helge Braun en minister van Volksgezondheid Jens Spahn heeft hebben vorige week gezegd dat Duitsland geen corona-app meer ontwikkelt die locatiegegevens bewaart op een centrale server, waarover autoriteiten de controle hebben. De Duitse app-makers gaan gebruik maken van de technologie die door Apple en Google wordt gemaakt. Dit betekent dat alle gegevens decentraal worden bewaard waardoor de gebruiker zelf kan bepalen om de informatie te delen.

Italië
Italië is een van de grootst getroffen landen en ook zij hebben onlangs bekend gemaakt om een app in te zetten. De werking van Italiaanse app is gebaseerd op bluetooth om de bewegingen van de telefoon te monitoren. Daarnaast wordt er gesteld dat de app anoniem en vrijwillig is.

Frankrijk
De Franse privacy waakhond CNIL heeft voorwaardelijk groen licht gegeven voor een door de overheid gesteunde regeling om een app te ontwikkelen, namelijk de StopCovid. Deze app is een tracking app die contacten binnen een bepaalde afstand detecteert. De privacy waakhond baseerde zijn oordeel op het feit dat het gebruik van de app vrijwillig is en de gegevens gepseudominiseerdzijn.

Oostenrijk
Oostenrijk is een van de eerste landen die een Corona-app heeft gelanceerd door het Rode Kruis. De kern van de app is een contactdagboek waarin persoonlijke ontmoetingen anoniem worden opgeslagen door een “digitale handdruk”. Deze handdruk wordt geregistreerd wanneer 2 personen al enige tijd op één plaats samen zijn en de afstand te dichtbij is. De app werkt alleen via bluetooth-technologie voor apparaatherkenning in uw omgeving. Daarnaast wordt de microfoon gebruikt om de ruimtelijke afstand te bepalen voor potentiële handshake partners. Locatiegegevens zelf worden niet opgevraagd of verwerkt. Wanneer er een persoon een infectie heeft, worden alle mensen van de afgelopen 2 dagen anoniem op de hoogte gesteld.

Spanje
Een ander zeer getroffen land is Spanje. Het Ministerie van Economie heeft een initiatief goed gekeurd om de ontwikkeling van een app toe te staan. Deze app geeft gezondheidsautoriteiten geolokalisatiegegevens over burgers om hen te voorzien van meet gepersonaliseerde gezondheidsinformatie. Het doel hiervan is om de druk van de lokale gezondheidsdiensten te verminderen. Echter stelt de app de autoriteiten ook in staat om te controleren of burgers voldoen aan de regels van de lockdown. De app zal – met toestemming van de gebruiker – valideren in welke regio een persoon zich bevindt en deze informatie gebruiken om gepersonaliseerde antwoorden te geven op basis van de gezondheidsprotocollen in het gebied, aangezien in Spanje de bevoegdheden over de gezondheidszorg aan de regio’s zijn gedelegeerd. Alle persoonsgegevens zullen na de gezondheidscrisis worden geaggregeerd en deze worden voor onderzoeksdoeleinden 2 jaar bewaard.

Tsjechië
Tsjechië heeft een andere aanpak en brengt de gezondheidsdienst de besmette personen in kaart via locatiegegevens van mobieltjes en betaalgegevens van banken. Mensen worden met hulp van het leger bereikt, getest en in quarantaine geplaatst.

Polen
Polen heeft een app uitgebracht waarbij gebruikers moeten bewijzen dat ze thuis in lockdownzitten, door een selfie te nemen. In eerste instantie was deze app vrijwillig, maar het is nu verplicht voor iedereen die 14 dagen in quarantaine dienen te zitten. De overheid gebruikt zowel locatiegegevens als gezichtsherkenning om te zien of de persoon in kwestie thuis is of niet. Gegevens worden 6 jaar bewaard. Wanneer iemand de app niet installeert, riskeert hij/ zij een boete van ongeveer max. €1.000 per keer.

Europees Initiatief
Er gaan berichten rond dat ook verschillende Europese wetenschappers en technici met een initiatief komen voor een app. Het project Pan-European Privacy Preserving Proximity Tracing(PEPP-PT) is bedoeld om na de eerste golf van corona besmettingen één app te hebben voor wanneer mensen weer de grenzen over gaan. Er wordt onder andere gekeken naar anonieme wijze voor bluetooth technologie, zodat er ook aan de AVG wordt voldaan.

Een duidelijk uniforme aanpak is nog niet zichtbaar en de meeste landen zijn zelf begonnen met het bouwen en uitbrengen van applicaties. Ook de rol van de toezichthoudende autoriteit is niet in elk land hetzelfde. Hoe gaat zij om met alle initiatieven die in hun land zijn gestart? Daar zal ons volgend artikel over gaan!

Over Marloes
Marloes de Bruin is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Ze is voor diverse organisaties het aanspreekpunt voor privacy vraagstukken, organiseert ze bewustwordingscampagnes voor privacy en security voor scholen en bedrijven en doet onderzoek naar smart cities en het gebruik van artificial intelligence in de publieke ruimte.

Beeld: ANP