>>>Een track-and-trace app als wapen tegen de COVID-19 pandemie of het einde van onze privacy? (VDV Advocaten)

Een track-and-trace app als wapen tegen de COVID-19 pandemie of het einde van onze privacy? (VDV Advocaten)

Auteur: Maarten Verhaghe (VDV Advocaten)

Publicatiedatum: 26/04/2020

Een korte analyse aan de hand van de privacywetgeving.

“Het is duidelijk dat dergelijk initiatief niet zomaar kan worden doorgevoerd en bijkomend onder gerechtelijk toezicht zal staan van het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens. “

Het coronavirus of COVID-19, het is deze dagen niet uit de nieuwsberichten en huishoudens weg te slaan.

Onze volledige maatschappij wordt op haar kop geplaatst, gaat een diepgaande transformatie door (massaal telewerk, social distance, … ), onze rechten worden door het ministerieel besluit van 18 maart 2020 enorm beperkt en misschien niet onbelangrijk gaan er stemmen op bij zowel wetenschappers als politici om een app in te schakelen met als doel de COVID-19-epidemie te bestrijden.

Menig burger ziet er geen graten in en vindt het waarschijnlijk wel handig om een sms te ontvangen wanneer hij of zij risico loopt om met COVID-19 besmet te worden.

Maar is dit wel zo? Gaat dat zomaar? En binnen welk wetgevend kader?

Iedereen voelt aan dat er zich pertinente opmerkingen zich opdringen inzake privacy en de bescherming van onze persoonlijke levenssfeer.

1. Functionaliteiten en persoonsgegevens?

Vooreerst is het belangrijk te duiden dat de app, die in de maak is, verschillende functies zal hebben.

De overheid zou in staat zijn om:

  • Te controleren of de burger zich (minder) verplaatst en vaststellen naar waar deze verplaatsingen gebeuren;
  • Te zien waar besmette personen zich bevinden;
  • Te achterhalen met wie een besmet persoon contact heeft gehad;
  • Een sms te sturen naar personen die mogelijk een risico op besmetting hebben.

Om deze functionaliteiten in een app in te bouwen, dient men over een enorme hoeveelheid data te beschikken, meer bepaald persoonsgegevens (zoals naam, adres, telefoonnummer, …), bijzondere categorieën van persoonsgegevens (zoals gezondheidsgegevens, …) en de locatiegegevens van de betrokkene.

2. Wetgeving en rechtsgronden?

GDPR

“Belangrijk hierbij is dat deze verwerking niet enkel noodzakelijk moet zijn om de volksgezondheid te beschermen, maar tevens gebaseerd moet zijn op wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de burgers.”

Gelet dat de app een verwerking van persoonsgegevens betreft, is de GDPR of AVG zonder enige twijfel van toepassing, waardoor iedere verwerkingsverantwoordelijke (i.c.: de beheerder of verantwoordelijke van de app – de overheid) de verwerking van deze gegevens zal moeten baseren op een rechtsgrond.

Gezien de actuele gezondheidscrisis heeft de overheid de mogelijkheid om de verwerking te baseren op de uitvoering van haar wettelijke verplichting namelijk het beschermen van de volksgezondheid of op grond van de bescherming van de vitale belangen van een natuurlijk persoon.

De GDPR voorziet in deze laatste mogelijkheid uitdrukkelijk in haar overwegingen waar er specifiek naar het uitbreken van een epidemie wordt verwezen.

Het baseren van de verwerking op één van voormelde verwerkingsgronden is niet voldoende.

Immers verwerkt de app ook gezondheidsgegevens van natuurlijke personen en dergelijke verwerking is verboden, behoudens de uitdrukkelijke toestemming van de betrokkene.

Maar ook hier wordt in de GDPR expliciet de mogelijkheid voorzien om van de toestemming af te wijken wanneer dit noodzakelijk is voor redenen van algemeen belang op het gebied van de volksgezondheid.

Belangrijk hierbij is dat deze verwerking niet enkel noodzakelijk moet zijn om de volksgezondheid te beschermen, maar tevens gebaseerd moet zijn op wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de burgers.

ePrivacyrichtlijn

“De enige afwijking die hierop voorzien wordt is de invoering van wetgeving betreffende de bescherming van de openbare veiligheid.”

Voor wat betreft de locatiegegevens, als deze verkregen worden via de telecomoperatoren aan de hand van de SIM kaart van het telefoontoestel, is de ePrivacyrichtijn van toepassing, dit binnen het kader van elektronische communicatie.

De ePrivacyrichtijn stelt dat locatiegegevens van de betrokkene slechts mogen worden gebruikt door de telecomoperatoren indien ze anoniem gemaakt zijn of enkel met de uitdrukkelijke geïnformeerde toestemming van de betrokkene.

De enige afwijking die hierop voorzien wordt is de invoering van wetgeving betreffende de bescherming van de openbare veiligheid.

Deze uitzondering, is net als de uitzondering onder de GDPR, slechts mogelijk bij tussenkomst van wetgevend initiatief waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden.

3. Conclusie verwerking en toestemming

De overheid zal als verwerkingsverantwoordelijke, zowel binnen het uitzonderingskader van de GDPR als de ePrivacyrichtlijn, enorm goed moeten motiveren waarom een afwijking noodzakelijk is en dit duiden in de parlementaire voorbereiding van de tussenkomende wetgeving die op haar beurt dient te voorzien in de passende en adequate maatregelen ter bescherming van de rechten en vrijheden van de betrokkenen.

Het is duidelijk dat dergelijk initiatief niet zomaar kan worden doorgevoerd en bijkomend onder gerechtelijk toezicht zal staan van het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens.

4. Verwerkingsverantwoordelijke of verwerker

“Dit kan van belang zijn wanneer een klacht bij GBA wordt neergelegd, gezien de Belgische wetgever niet altijd de adviezen van de Gegevensbeschermingsautoriteit thans de Privacy Commissie nauwlettend heeft gevolgd.”

Wanneer het nodige wetgevend kader is gecreëerd, moet natuurlijk de app gemaakt, uitgerold en onderhouden te worden. Hiervoor zal de overheid naar alle waarschijnlijkheid de app uitbesteden aan of samenwerken met een private technologieonderneming.

Ook in deze fase dienen verschillende hindernissen genomen te worden:

  • Vooreerst de kwalificatie van de private technologieonderneming Betreft dit een verwerkingsverantwoordelijke, gezamenlijk verantwoordelijke of een verwerker?

Afhankelijk van de kwalificatie zal een verwerkingsovereenkomst of een protocol met de overheid dienen worden afgesloten.

  • De technologieonderneming zal een Data Protection Officer moeten aanstellen.

Een belangrijke kanttekening bij de verwerking, is dat de verwerkingsverantwoordelijke (lees de overheid) op grond van de Belgische Privacywet van 2018 uitgesloten is van de administratieve sancties zoals opgelegd door de GDPR en deze uitsluiting niet geldt voor een andere verwerkingsverantwoordelijke of verwerker.

Dit kan van belang zijn wanneer een klacht bij GBA wordt neergelegd, gezien de Belgische wetgever niet altijd de adviezen van de Gegevensbeschermingsautoriteit thans de Privacy Commissie, in het verleden, nauwlettend heeft gevolgd.

 

2020-04-25T12:22:47+00:00 26 april 2020|Categories: Privacy recht|Tags: , , , , , |