Blog
Op 18 april en 19 april 2020 organiseerde het ministerie van Volksgezondheid, Welzijn en Sport (VWS) een Appathon om de werking van corona-apps te testen en te verbeteren. Het was de bedoeling dat deze apps zouden worden ingezet om nieuwe besmettingen te traceren en/of de gezondheidstoestand te rapporteren aan een arts in de regio. De Autoriteit Persoonsgegevens reageerde echter kritisch op de inzet van dergelijke apps en zou op 20 april 2020 beoordelen of de apps voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG).
Uiteindelijk heeft de autoriteit doorgegeven niet tot een inhoudelijke beoordeling over te kunnen gaan, omdat het ministerie de kaders voor de apps volgens haar niet duidelijk genoeg had geformuleerd. Vervolgens heeft de European Data Protection Board (het Europees Comité voor gegevensbescherming) op 21 april 2020 nieuwe richtsnoeren vastgesteld die ingaan op het gebruik van locatiegegevens voor contacttracering in het kader van de uitbraak van COVID-19.
Inmiddels werkt de overheid zelf aan een corona-app
Inmiddels wordt er vanuit de overheid zelf gewerkt aan een app die de GGD kan helpen bij het contactonderzoek. Dit is dus alleen de app om nieuwe besmettingen te traceren, en niet een app om de gezondheidstoestand te rapporten. Daarbij deelt de overheid de tussentijdse resultaten met alle burgers. Op deze manier kan iedereen meekijken en meewerken aan de app. Volgens de productdefinitie, die is geformuleerd door de overheid, is het de bedoeling dat via een Bluetooth Low Energy (BLE) verbinding wordt bijgehouden welke smartphones in de buurt zijn geweest. Wanneer een appgebruiker positief is getest op COVID-19, dan zullen andere appgebruikers die de afgelopen veertien dagen in de buurt van de smartphone van deze gebruiker zijn geweest, hierover worden geïnformeerd. De overheid heeft inmiddels doorgegeven begin juli te starten met het testen van de corona-app in de regio Twente.
Van tevoren is een Privacy Impact Assessment noodzakelijk vanwege privacyrisico’s
Wanneer (overheids)organisaties nieuwe technologieën willen gaan inzetten die kunnen leiden tot hoge privacyrisico’s, wordt van hen verlangd dat zij vooraf een ‘Privacy Impact Assessment’ (PIA) uitvoeren. Dit is met name het geval als op grote schaal bijzondere persoonsgegevens, zoals gezondheidsgegevens zullen worden verwerkt. Wanneer geen maatregelen worden genomen om het risico te beperken, moet zelfs de Autoriteit Persoonsgegevens hierover worden geraadpleegd. De inzet van corona-apps leidt tot dergelijke hoge privacyrisico’s. Het uitvoeren van een PIA is in dit geval dus verplicht.
Zonder geldige grondslag mogen geen persoonsgegevens worden verwerkt
Bij de uitvoering van een PIA zal onder andere moeten worden beoordeeld of er sprake is van een geldige grondslag voor de gegevensverwerking. Zonder grondslag mogen er namelijk überhaupt geen persoonsgegevens worden verwerkt. Daarbij komt dat via de corona-app naast gewone persoonsgegevens (o.a. locatiegegevens) ook bijzondere persoonsgegevens (o.a. gezondheidsgegevens) zullen worden verwerkt. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden. In beginsel, dus de AVG biedt wel mogelijkheden voor het verwerken van deze gegevens. Dit is het geval indien er sprake is van een dubbele grondslag.
Toestemming vragen kan natuurlijk altijd…
De grondslag waarop de gegevensverwerking kan plaatsvinden, is op basis van de dubbele grondslag ‘toestemming’ en ‘uitdrukkelijke toestemming’. Hieraan stelt de wet wel enkele eisen. Namelijk dat de toestemming vrijelijk wordt gegeven, voor specifiek geformuleerde doeleinden; dat de betrokkene vooraf wordt geïnformeerd over de wijze waarop de gegevens worden verwerkt en dat de toestemming ondubbelzinnig is gegeven. Dit betekent dat de gebruiker van de corona-app expliciet via een actieve handeling akkoord moet gaan voor de verwerking van zijn gezondheidsgegevens. Dit alles op basis van vrijwilligheid.
Ook wanneer het gebruik van de corona-app is vastgelegd in wetgeving, vindt het gebruik plaats op vrijwillige basis
Een andere grondslag die de AVG biedt, is om de corona-app in te zetten omdat dit noodzakelijk is voor de vervulling van een taak van algemeen belang. Meer in het bijzonder op het gebied van de volksgezondheid. Als voorbeeld noemt de AVG de bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid, oftewel de COVID-19-pandemie. In dit kader wordt ook wel gesproken over een nationale noodwet waarin dit wordt vastgelegd. Ook in deze situatie vindt het gebruik van de app plaats op vrijwillige basis. Kortom, het is nu afwachten wanneer de app is goedgekeurd en klaar is voor gebruik.
