Summer Deal
‘Het nieuwe verbintenissenrecht & koop/verkoop’

6 webinars on demand

Summer Deal
‘Soft kills & Legal English’

3 webinars on demand

Summer Deal
‘ICT & Privacy’

5 webinars on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Thermische camera’s: het doel heiligt niet de middelen! (deJuristen)

Auteur: Kris Seyen (deJuristen)

Automatiseren. Het lijkt zo evident met de technologische middelen. En we worden er allemaal toch beter van? En toch …

Wanneer de technologie met onze persoonsgegevens speelt, lijken we nog steeds niet de reflexen ontwikkeld te hebben dat deze een bijzondere bescherming genieten. En vaak gaat dit in tégen het gemak, tégen de toevoegde waarde en het nuttige aspect, zelfs tégen de bestrijding van een pandemie.  

Digitale koortsscanners? Ze zijn misschien al even uit het straatbeeld verdwenen, maar laat de boetes voor de luchthavens van Zaventem en Charleroi een wake-up call zijn om de AVG-beginselen te respecteren.

Temperatuurmeting als verwerking van persoonsgegevens

De geleidelijke heropstart van het maatschappelijk en economisch leven tijdens de pandemie heeft heel wat voeten in de aarde gehad. Zo is het niet onlogisch dat personen die koorts ontwikkelen, de toegang tot gebouwen ontzegd werd om verdere besmettingen te voorkomen.

Het ligt eveneens in de lijn der verwachtingen dat men op zoek gaat naar technologische oplossingen om dit zo efficiënt mogelijk te regelen.

De luchthavens van Zaventem en Charleroi hebben er daarbij voor gekozen om dit gedurende een bepaalde periode te implementeren via een zogenoemd geavanceerd hittecamera-systeem.

Louter aflezen van temperatuur

Het louter aflezen van de temperatuur van een persoon, via een klassieke of digitale thermometer, is op zich geen verwerking van persoonsgegevens. Althans, voor zover deze resultaten vervolgens niet geïndividualiseerd worden vastgelegd.

Een eerste gevaar schuilt daar al om de hoek: wanneer, eveneens in het kader van een toegangscontrole, deze “scan” gefilmd wordt, of gepaard gaat met het tegelijk uitlezen van een toegangsbadge (en het weigeren van toegang), dan zal het individu wél geïndividualiseerd kunnen worden. En is de AVG dus onverminderd van toepassing.

Temperatuuropname met registratie

Concreter wordt het wanneer een manuele temperatuuropname uitdrukkelijk gekoppeld wordt aan een bijkomende registratie – daarom hoeft de temperatuur zelf nog niet genoteerd te worden. Het kan immers zijn dat de toegangsweigering gedocumenteerd wordt (bv. in het kader van een contractuele relatie).

De AVG is dan zonder enige twijfel van toepassing. Het uitgangspunt is dat het verwerken van dergelijke gezondheidsgegevens principieel verboden is.

Geavanceerde elektronische meting

Wanneer we echter gebruik maken van een digitale geavanceerde koortsscanner (dit is een soort van warmtecamera), dan valt dit sowieso onder de AVG. Zélfs wanneer er verder geen opslag of vastlegging is.

Dit is omdat het begrip “verwerken” niet enkel slaat op het louter opslaan van gegevens, maar een veel ruimere toepassing kent. Bij een geautomatiseerde verwerking gaat het dus om het verzamelen zonder verdere opslag of vastlegging, maar worden de gegevens natuurlijk wel eerst (elektronisch) verwerkt.

Het is een veel gemaakte denkfout bij geautomatiseerde verwerkingen of verwerkingen waar de finaliteit niet in de opslag op zich ligt: “maar het wordt niet bewaard”, of “maar ik ben niet geïnteresseerd in die gegevens”, of nog beter “maar ze worden na 15 minuten al gewist”. Helaas. Daar gaat het niet over ….

Principieel verbod op verwerking van gezondheidsgegevens

Vanuit deJuristen hebben we ten tijde van het hoogtepunt van de pandemie regelmatig moeten adviseren over de geoorloofdheid van dergelijke systemen bij ondernemingen. Struikelblok was telkens het principiële verbod van verwerking van medische persoonsgegevens, tenzij men zich zou kunnen beroepen op een specifieke uitzonderingssituatie. Maar die zijn zeer limitatief en beperkt toepasbaar.

De temperatuurcontroles in Brussel en Charleroi

Chaos en improvisatie was er zeker. Net zoals hoogdringendheid. Moeilijke omstandigheden en goede intenties eveneens. En toch heeft de Gegevensbeschermingsautoriteit geoordeeld dat de luchthavens van Brussel en Charleroi zwaar in de fout zijn gegaan, én hen meteen een boete opgelegd van 200.000 EUR, resp. 100.000 EUR.

Waar is het fout gegaan?

Dat de verguisde temperatuurcontroles verwerkingen van persoonsgegevens inhielden, en dus onderworpen waren aan de AVG, werd door niemand betwist. Tijdens de eerstelijnscontrole werd immers gebruik gemaakt van thermische camera’s. Deze geautomatiseerde systemen zijn sowieso onderworpen aan de AVG. Bovendien werden de passagiers echter gefilmd, en werden deze beelden gedurende een korte periode ter beschikking gesteld van de operator zodat deze de personen met een verhoogde temperatuur uit de rij kon halen om hen een 2de maal te laten defileren.

De beelden kregen een kader: rood voor >= 38° Celsius en groen voor < 38° Celsius. Het ging dus meteen om medische gegevens, die een bijzondere bescherming genieten.

De GBA heeft van deze gelegenheid gebruik gemaakt om een aantal zaken zeer helder te plaatsen. Covid-19 mag dan voorlopig van de baan zijn, de uitgewerkte principes uit de beslissing zijn richting gevend voor heel wat andere discussies omtrent de toepassing van de AVG.

Geen geldige rechtsgrond

Een verwerking kan slechts plaatsvinden in zoverre zij rechtmatig is. Dat is niet hetzelfde als oordelen dat jij de verwerking wel ok vindt – de rechtmatigheid moet blijken uit één van de gronden van de AVG.

Bovendien, wanneer het over medische gegevens gaat, is de verwerking principieel verboden, tenzij je je kan beroepen op één van de specifieke uitzonderingsgronden die eveneens in de AVG worden opgesomd.

De luchthavens schermen hier met hun taak van algemeen belang (rechtmatigheid), én met het Protocol voor de Commerciële luchtvaart en het daarboven hangende Ministerieel Besluit (wettelijke basis als uitzonderingsgrond).

Beide argumenten worden van tafel geveegd: het protocol is immers geen nauwkeurige rechtsnorm waarvan de toepassing voorspelbaar is voor de betrokkenen. En evenmin wordt aangetoond dat de verwerking noodzakelijk zou zijn voor het algemeen belang.

Tekortkoming aan de informatieplicht

Het ontbreken van een geldige rechtsgrond mag dan misschien een erg technische discussie zijn, veelbetekenend is echter ook de beslissing van de GBA dat de luchthavens tekortgeschoten zijn in hun informatieverplichting.

Hier betreden we het domein van de privacy verklaringen. Ook wij stellen inderdaad vast dat deze vaak wollig en vaag zijn, en dus niet beantwoorden aan de transparantievereisten van de AVG. Nochtans gaat het over één van de hoekstenen van deze regelgeving.

Het lijkt er sterk op dat de luchthavens, net zoals vele ondernemingen, een “modelverklaring” hebben opgesmukt met wat algemeenheden, zonder echter duidelijkheid te verschaffen die verstaanbaar is voor de betrokkenen. Dit leidt enerzijds tot marketingachtige praatjes (“jouw gezondheid en veiligheid zijn belangrijk voor ons”), en anderzijds tot vaagheden zoals een bewaartermijn die “niet langer is dan noodzakelijk”.

De GBA zet hier nogmaals de puntjes op de i door het belang te onderstrepen van échte transparantie.

Een gebrekkige gegevensbeschermingseffectbeoordeling

Even veelbetekenend is het oordeel dat de gegevensbeschermingseffectbeoordeling (GEB of DPIA) niet correct werd uitgevoerd.

Een GEB is een noodzakelijke voorwaarde die moet gerealiseerd zijn vooraleer bepaalde verwerkingen worden opgestart.

Ook al is de AVG vaag in hoe deze GEB er moet uit zien, je kan maar beter zorgen dat deze ernstig en grondig wordt uitgevoerd.

Wat nu als uit je GEB blijkt dat de beoogde verwerking van persoonsgegevens een hoog privacyrisico meebrengt voor de betrokkenen en het lukt je niet om maatregelen te vinden om dit risico voldoende te beperken? Je zal dan met de GBA moeten overleggen voordat je aan de verwerking begint. Dat heet een voorafgaande raadpleging.

Conclusie

Een geautomatiseerde verwerking van persoonsgegevens, zeker wanneer het dan ook nog eens medische gegevens betreft, wordt beter niet licht opgevat. Een geldige rechtsgrond kan immers niet zomaar naar de hand worden gezet. Nood breekt misschien wet, maar niet de AVG.

Tevens wordt nogmaals duidelijk gemaakt dat transparantie essentieel is: zeg wat je doet, en doe wat je zegt. Een goede privacy verklaring is dus zeker geen “one size fits all”!

Wanneer je bovendien mogelijks in de situatie komt dat een GEB (DPIA) noodzakelijk zou zijn, dan neem je beter het zekere voor het onzekere door hier ernstig werk van te maken, vóóraleer de verwerking op te starten. En hou je ook rekening met de resultaten!

Bron: deJuristen