Wordt de GDPR opzijgeschoven in tijden van corona? (Equator)

Auteur: Alexander Verschave en Simon Verhoeven (Equator advocaten)

Publicatiedatum: 11/08/2020

In tijden van corona wordt er onder meer ingezet op contact tracing. Hierbij wordt ook een beroep gedaan op lokale besturen, om deze contact tracing te vergemakkelijken. Lokale besturen zouden daarmee zicht kunnen krijgen op de contacten die de burgers met elkaar hebben, waar zij geweest zijn, … . Maar hoe zit het nu met die contact tracing en de GDPR? Zijn de initiatieven die genomen worden op dat punt GDPR-compliant of wordt de GDPR gewoonweg opzijgeschoven voor het grotere goed? Vanuit Europa klinken er alvast signalen dat de GDPR onverwijld van toepassing blijft, ook in tijden van corona, maar wordt er ook gewezen op de uitzonderingen die zich in de regelgeving bevinden.[1] In België wordt er echter geopteerd voor een uitgebreide gegevensverzameling. Erg veel persoonsgegevens worden opgevraagd. De vraag rijst of dit wel verzoenbaar is met de regelgeving inzake privacy, zoals de GDPR.

In artikel 5 van de GDPR[2] wordt er gewezen op de beginselen die gelden bij het verwerken van persoonsgegevens. Zo moeten deze – onder meer – worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”), worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (“doelbinding”), moeten deze toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”). Deze minimale gegevensverwerking impliceert onder meer dat er moet worden geopteerd voor de minst ingrijpende maatregel om het nagestreefde doel te bereiken. Dit betekent dat als het mogelijk is het gewenste doel te bereiken door middel van een maatregel die minder ingrijpend is voor het recht op privacy of het recht op bescherming van persoonsgegevens, de oorspronkelijk beoogde gegevensverwerking niet kan worden uitgevoerd. Daarom moet in detail en met feitelijke en objectieve bewijzen worden aangetoond waarom andere, minder ingrijpende maatregelen niet volstaan om het gewenste doel te bereiken.[3] Wanneer er dus eerder veel gegevens worden opgevraagd, zal er moeten worden aangetoond dat deze gegevens ook noodzakelijk zijn voor de doeleinden waarvoor zij worden verwerkt. Als de noodzaak daarvan niet kan worden aangetoond mogen deze gegevens gewoonweg niet worden opgevraagd.

Voorts worden in artikel 6 van de GDPR de alternatieve voorwaarden aangereikt om te beoordelen of de verwerking van persoonsgegevens rechtmatig is. Klassiekers zijn uiteraard de toestemming van de betrokkene of wanneer  de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Andere zijn de verwerking wanneer het noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of wanneer het noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. In deze laatste gevallen dient er echter een rechtsgrond voorhanden te zijn op basis waarvan de verwerkingsverantwoordelijke wordt beopdracht.

Op federaal niveau werd er getracht om in dergelijke rechtsgrond te voorzien voor wat betreft de contact tracing in tijden van corona. Hoewel dit eerder een bevoegdheid lijkt van de gemeenschappen[4],[5], nam de federale regelgever de nodige initiatieven om dergelijke contact tracing mogelijk te maken. Keer op keer werden er door de Belgische Gegevensautoriteit opmerkingen gemaakt op de ingediende ontwerpen en voorstellen. Over de contact tracing-applicatie was de Gegevensbeschermingsautoriteit ronduit vernietigend.[6] Het voorstel was onduidelijk en voldeed dus niet aan de beginselen als opgenomen in artikel 5 van de GDPR. Voorts wees zij de minister ook terecht. Alvorens op dergelijke nieuwe technologie een beroep te doen, dient namelijk de regeling vervat in artikel 35 GDPR te worden gevolgd en dient er een effectbeoordeling te worden uitgevoerd, wat niet werd gedaan. Een volgende ontwerp leidde tot het KB nr. 18 van 4 mei 2020 tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19. Voorafgaand was er echter het advies nr. 36/2020 van de Gegevensautoriteit van 29 april 2020[7]. Opnieuw werden er ernstige opmerkingen gemaakt met betrekking tot de overeenstemming met artikel 5 van de GDPR. De Gegevensbeschermingsautoriteit was van oordeel dat de doeleinden onvoldoende bepaald en uitdrukkelijk werden omschreven, dat verschillende begrippen onduidelijk waren, … . Het besluit kwam er toch, zij het met eerder summiere aanpassingen. De doeleinden werden echter wel grondig verduidelijkt. Het KB nr. 18 van 4 mei 2020 leek dus allerminst compliant met de GDPR.[8] Om over de mogelijke bevoegdheidsoverschrijding nog maar te zwijgen.

Op 25 mei 2020 mocht de Gegevensbeschermingsautoriteit zich dan buigen over een wetsvoorstel dat hetzelfde doel nastreefde, nl. de oprichting van een databank bij Sciensano[9],[10],[11]. Ook hier was de Autoriteit niet laaiend enthousiast, allerminst zelfs. Het wetsvoorstel – welke nagenoeg een kopie vormde van het eerder ingediende ontwerp van koninklijk besluit – werd opnieuw voorzien van vernietigende opmerkingen en heeft het Staatsblad dan ook nooit gehaald, wat mogelijk ook te maken heeft met het feit dat de Raad van State erop wees dat de federale regelgever hiervoor niet bevoegd was.[12]

Daags nadien mocht de Gegevensbeschermingsautoriteit zich buigen over een ander wetsvoorstel van de Kamer, namelijk (opnieuw) wat betreft het gebruik van een contact tracing-app.[13],[14] De Gegevensbeschermingsautoriteit toonde zich schijnbaar milder en merkte op dat er – ten opzichte van het ontwerp van besluit – reeds vele verbeteringen werden doorgevoerd. Toch bleven er nog steeds vele punten openstaan en kreeg de wetgever huiswerk. Ook dit voorstel heeft het Staatsblad (nog) niet gehaald en gelukkig maar, want zoals weergegeven lijkt de federale regelgever hiervoor niet bevoegd.

Ook op Vlaams niveau werden er initiatieven genomen. Zo werd er op 8 mei 2020 een decreet aangenomen tot organisatie van contactonderzoek in het kader van COVID-19, waarbij er beroep werd gedaan op de opgerichte databank bij Sciensano om daarin gegevens op te slaan.[15] Dit decreet blinkt uit in haar beknoptheid en voldoet geenszins aan de vereisten als opgenomen in de GDPR. Op 29 mei 2020 werd er door de Vlaamse Decreetgever het decreet tot organisatie van de meldingsplicht en het contactonderzoek in het kader van COVID-19 aangenomen[16] waarbij er opnieuw een rol wordt toebedeeld aan Sciensano. De artsen hebben een meldplicht op basis waarvan zij persoonsgegevens van een patiënt die besmet is, of vermoed wordt besmet te zijn met COVID-19 moeten melden aan Sciensano.

Omdat de bevoegdheid (duidelijk) lijkt toe te komen aan de gemeenschappen, maar er bij voorkeur een centrale, federale controle is over de gegevensverzameling, werd er getracht om een samenwerkingsakkoord te maken tussen de diverse gemeenschappen en de federale overheid. Dit bleek echter niet evident te zijn. Gelet op het feit dat het Vlaamse decreet verwijst naar Sciensano als gegevensverwerker (en Sciensano onder de federale bevoegdheid valt) werd er dan op 26 juni 2020 “KB nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano” afgekondigd. Het ontwerp van dat besluit werd niet voorgelegd aan de Gegevensbeschermingsautoriteit. Tevens lijkt het ook zo te zijn dat de adviezen van de Raad van State omtrent de bevoegdheid van de federale regelgever opnieuw in de wind geslagen worden, waardoor er op dat punt ook ernstige bezwaren lijken te bestaan in het licht van artikel 6, derde lid van de GDPR, gelet op het ontbreken van een rechtsgeldige rechtsgrond voor de gegevensverwerking.

Hoe dan ook wordt het uitkijken naar het samenwerkingsverband dat op poten wordt gezet én waarbij aan de lokale besturen ook een specifieke rol wordt toebedeeld, als we de minister mogen geloven. Een ontwerp werd alvast voorgelegd aan de Gegevensbeschermingsautoriteit die op 20 juli 2020, nr. 64/2020 haar advies meedeelde.[17] In dat advies spreekt de Gegevensbeschermingsautoriteit zich uit over het ontwerp van samenwerkingsakkoord tussen de federale overheid en de verschillende gemeenschappen over de gezamenlijke behandeling van de gegevens door Sciensano en de contactcentra die door de regionale overheden werden aangeduid. Er werden door de Gegevensbeschermingsautoriteit nog enkele aandachtspunten opgenomen, maar er wordt aangenomen dat de maatregelen effectief als noodzakelijk kunnen worden aangemerkt, hetgeen een goede evolutie is. Toch werd ook opgemerkt dat er nog steeds niet voldoende rekening wordt gehouden met de opmerkingen die door de Gegevensbeschermingsautoriteit werden geformuleerd met betrekking tot de proportionaliteit.

Alleszins wordt het ook uitkijken naar de rol die de lokale besturen zullen mogen vertolken. De minister kondigde over het contactonderzoek met lokale inbedding[18] drie scenario’s aan, m.n. de volgende:

  • Lokale besturen focussen op sensibilisering en handhaving van de coronamaatregelen, het belang van meewerken met contactopsporing en het volgen van de quarantaine regels;
  • Lokale besturen doen het voorgaande, maar nemen ook zelf een rol op in uitbraakbeheersing en werken complementair met de centrale contactopsporing. Dit gaat bijvoorbeeld over cluster- en bronnenonderzoek;
  • Lokale besturen doen het voorgaande, maar zetten een autonoom contactopsporingssysteem op. Dit is wel gekoppeld aan enkele specifieke voorwaarden m.b.t. vertrouwelijkheid, aansprakelijkheid en garantie op invoeren gegevens in het centrale systeem.

Als deze zelf autonoom hun contactopsporing mogen organiseren en zelf een verwerkingsverantwoordelijke mogen aanduiden, dan is ook hier een wettelijke (in de materiële zin van het woord) basis voor nodig en dient elk lokaal bestuur aan te tonen waarom het noodzakelijk is dat er – desgevallend naast het bestaande centrale systeem – ook op lokaal niveau gegevens worden verwerkt en dat deze maatregelen worden genomen. Ook zij dienen namelijk aan te tonen dat de gegevensverwerking noodzakelijk is, wat een moeilijke opdracht lijkt te zijn wanneer op centraal niveau reeds gegevens verwerkt worden voor diezelfde doeleinden. In een minder verregaande vorm, namelijk wanneer zij enkel toegang krijgen tot het platform, kunnen zij nog worden aangemerkt als verwerker in het licht van de GDPR. Dit vereist onder meer dat er een overeenkomst (of andere rechtshandeling) zal worden opgemaakt tussen de verwerkingsverantwoordelijke en de verwerker met toepassing van artikel 28 GDPR. Ook hier dienen dus waarborgen te worden voorzien, waardoor de persoonsgegevens niet zomaar op straat kunnen belanden en daadwerkelijk worden aangewend voor het doel waarvoor zij worden verwerkt.

Hoe dan ook lijkt het dat deze discussie ongetwijfeld zal worden vervolgd.

***

[1] Zie Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Allessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe van 30 maart 2020 (https://www.coe.int/en/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter); zie ook de richtlijnen die werden uitgevaardigd onder meer met betrekking tot een “corona-app” (Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak van 21 april 2020: https://edpb.europa.eu/our-work-tools/our-documents/linee-guida/guidelines-042020-use-location-data-and-contact-tracing_en); zie ook Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak van 16 maart 2020 (https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_nl); zie ook Mededeling van de Europese Commissie: Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19 pandemie, Pb.C. 17 april 2020, C 124.

[2] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 4 mei 2016, L 119/1. Ook wel gekend als de “GDPR” in het Engels, nl. “General Data Protection Regulation”.

[3] Advies nr. 34/2020 van de Gegevensbeschermingsautoriteit van 28 april 2020, randnummer 7.

[4] Zie onder meer het advies van de Raad van State nr. 67.425/3; 67.426/3 en 67.427/3 van 26 mei 2020 en nr. 67.482/3 van 3 juni 2020

[5] Decreet van 29 mei 2020 tot organisatie van de meldingsplicht en het contactonderzoek in het kader van COVID-19, BS 2 juni 2020.

[6] Advies nr. 34/2020 van de Gegevensbeschermingsautoriteit van 28 april 2020, adviesaanvraag betreffende het voorontwerp van koninklijk besluit nr. XXX tot uitvoering van artikel 5, §1, 1°, van de wet van 27 maart 2020 die machtiging verleent aan de Koning om maatregelen te nemen in de strijd tegen de verspreiding van het coronavirus COVID-19 (II), met het oog op het gebruik van digitale contactopsportingsapplicaties ter voorkoming van de verdere verspreiding van het coronavirus COVID-19 onder de bevolking, waarbij over het gebruik van een contactopsporingsapplicatie werd geoordeeld dat het “alleen mogelijk is als wordt aangetoond dat deze oplossing strikt noodzakelijk is en in verhouding staat tot de doelstelling om de verspreiding van het coronavirus COVID-19 onder de bevolking te beheersen.”

[7] Advies nr. 36/2020 van 29 april 2020 van de Gegevensbeschermingsautoriteit, adviesaanvraag betreffende het voorontwerp van Koninklijk besluit nr. XXX tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19.

[8] Zo lijkt ook de Gegevensbeschermingsautoriteit aan te geven in een navolgend advies, nr. 42/2020: “De tekst van het wetsvoorstel lijkt sterk op de tekst van het voorontwerp van koninklijk besluit dat op 23 april 2020 door de heer Philippe De Backer voor advies aan de Autoriteit werd voorgelegd en waarover de Autoriteit op 29 april 2020 advies heeft uitgebracht. Er zijn echter enkele elementen toegevoegd, hetzij ter verduidelijking van sommige bepalingen van het oorspronkelijke ontwerp, hetzij voor andere doeleinden. De belangrijkste leemten in de oorspronkelijke tekst zijn echter niet opgevuld.Een benadrukking die de Gegevensautoriteit zelf in haar advies hanteerde.

[9] Wetsvoorstel tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19, Parl.St. Kamer 2019-20, K55-1249/001.

[10] Advies nr. 42/2020 van de Gegevensbeschermingsautoriteit van 25 mei 2020, adviesaanvraag betreffende een wetsvoorstel tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19.

[11] Op 5 juni 2020 sprak de Gegevensbeschermingsautoriteit zich uit over de ingediende amendementen, zie Advies nr. 44/2020 van de Gegevensbeschermingsautoriteit van 5 juni 2020, adviesaanvraag betreffende amendementen geformuleerd bij een wetsvoorstel tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19; zie ook advies nr. 46/2020 van de Gegevensbeschermingsautoriteit van 5 juni 2020, adviesaanvraag betreffende een amendement op een wetsvoorstel tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19.

[12] Zie voetnoot 4.

[13] Wetsvoorstel betreffende het gebruik van digitale contactopsporingsapplicaties ter voorkoming van de verdere verspreiding van het coronavirus COVID-19 onder de bevolking, Parl.St. Kamer 2019-2020, K55-1251/001.

[14] Advies nr. 43/2020 van de Gegevensbeschermingsautoriteit van 26 mei 2020, adviesaanvraag betreffende een wetsvoorstel betreffende het gebruik van digitale contactopsporingsapplicaties ter voorkming van de verdere verspreiding van het coronavirus COVID-19 onder de bevolking.

[15] Decreet van 8 mei 2020 tot organisatie van contactonderzoek in het kader van COVID-19, BS 8 mei 2020.

[16] Decreet van 29 mei 202 tot organisatie van de meldingsplicht en het contactonderzoek in het kader van COVID-19, BS 2 juni 2020.

[17] Het advies is enkel in het Frans beschikbaar. Het ontwerp van samenwerkingsakkoord was niet beschikbaar.

[18] Dit werd toegelicht tijdens een webinar: https://www.vvsg.be/kennisitem/vvsg/contactonderzoek-met-sterke-lokale-inbedding-bekijk-het-webinar meer informatie in het algemeen zie: https://www.zorg-en-gezondheid.be/lokale-initiatieven-voor-bron-en-contactonderzoek-webinar-lokale-besturen