Recht en Corona: data versus privacy
Vivian dank, 2 juli 2020
Om de coronacrisis te bestrijden, doen veel landen een beroep op data. Ook de Nederlandse overheid. Zo sprak onze minister van Volksgezondheid, Welzijn en Sport, Hugo de Jonge, al over een corona dashboard, een corona-app, en het delen van locatiegegevens van telecomproviders. De vraag naar data zorgt voor veel discussie en vragen over privacy. Zo ontstond er veel ophef over de zogenaamde corona traceer app, waarbij de meningen uiteenliepen van “ik heb toch niks te verbergen” tot “Big Brother overheid”. En in een groepsapp met vriendinnen brak paniek uit, omdat Google “zomaar zonder toestemming zo’n corona track en trace app op je telefoon heeft gezet, waarbij zij ongevraagd je Bluetooth en locatie aan kan zetten. Dat kan toch niet”. Wat houden al die plannen van de overheid in en hoe zit het nu eigenlijk met de privacy?
Algemene verordening gegevensbescherming (AVG)
In Europa geldt voor gegevensbescherming de Algemene verordening gegevensbescherming (AVG). Deze verordening is van toepassing als er gegevens die direct of indirect naar een individueel persoon herleidbaar zijn, worden verwerkt. Onder verwerken valt ontzettend veel, denk aan verzamelen, opslaan, structuren, bijwerken, en verwijderen van persoonsgegevens. Dat mag alleen onder bepaalde voorwaarden. Zo moet je een duidelijk doel hebben voor de verwerking, moet dat doel daadwerkelijk kunnen worden bereikt en mag er geen minder privacy-ingrijpende manier mogelijk zijn om dat doel te bereiken. Ook mogen er niet meer gegevens worden verzameld dan strikt noodzakelijk is om dat doel te kunnen bereiken, moet er een wettelijke grondslag zijn om de gegevens te verwerken, moeten de personen van wie de gegevens worden verwerkt worden geïnformeerd en moeten de gegevens goed beveilig zijn.[1] De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op naleving van de AVG.
Corona dashboard
Op de site van de Rijksoverheid is een corona dashboard te vinden.[2] Hier worden elke dag een aantal cijfers bijgehouden, die een beeld geven van de huidige coronasituatie in Nederland. Op dit dashboard staan o.a. het aantal intensive care-opnames en ziekhuisopnames per dag, het aantal positief geteste mensen, en het geschatte aantal besmettelijke mensen vermeld. De informatie komt onder andere van het RIVM, de GGD’en en de ziekenhuizen.Dit zijn statistische gegevens die niet naar een individueel persoon herleidbaar zijn. De privacy is hier nog niet in het geding. Wat wel opvalt, is dat de Rijksoverheid de gegevens wil gaan uitbreiden met o.a. verplaatsingsgegevens en een nalevingsmonitor. Welke informatie ze daarvoor wil gaan gebruiken en waar die informatie vandaan komt, wordt niet duidelijk gemaakt. Vermoedelijk gaat daarbij gebruik worden gemaakt van de locatiegegevens van telecomproviders. En dat kan wel een probleem vormen.
Delen van locatiegegevens van telecomproviders
Misschien besef je het niet helemaal, maar als je een telefoon op zak hebt, kan er 24 uur per dag bijgehouden worden waar je bent geweest. Dat kan helpen bij het bestrijden van de coronacrisis hebben veel overheden bedacht. Zo publiceerde de Europese Commissie op 24 maart een nieuwsbericht waarin ze telecomproviders oproept om telecomgegevens af te staan aan de lokale overheden.[3] In bijv. Duitsland, Oostenrijk en Italië doen providers dit al. Ook de Nederlandse overheid maakte in maart bekend dat het onderzoekt of telecomgegevens van mobiele telefoons kunnen helpen in de strijd tegen het coronavirus.[4]
Hoe werkt dat? Om een telefoongesprek of dataverbinding op te kunnen zetten, moet een telecomprovider weten via welke mast die telefoon bereikt kan worden. Iedere telefoon maakt dan ook contact met een zendmast. Op basis daarvan kan worden bepaald waar een telefoon zich bevindt. Ook als je je locatiegegevens aan hebt staan, is zichtbaar waar je telefoon zich bevindt. Op deze manieren kan worden geregistreerd hoeveel telefoons er op welk moment in welke omgeving zijn. Zo kan in kaart worden gebracht hoe groepen mensen zich buiten verplaatsen en waar het druk is. Dit kan inbreuk maken op je privacy. Aan de hand van je locatiegegevens kan bijvoorbeeld worden gezien waar je bent en hoelang, en dus of je naar een kerk, moskee of synagoge gaat, of je vaak (of juist nooit) naar de sportschool gaat, waar je waarschijnlijk werkt, etc.
Zowel volgens de AVG als de Telecommunicatiewet mogen telecomproviders niet zomaar gegevens van hun klanten delen met de overheid. Het kan, in het kader van de coronacrisis, op drie manieren: als er een wettelijke plicht is, als de klanten daar zelf, volledig vrijwillig, toestemming voor geven, of als de gegevens volledig anoniem zijn.[5] Een wettelijke plicht is er op dit moment nog niet. Toestemming vragen aan miljoenen telefoongebruiker is heel lastig. Dat is geen realistische optie. Als de gegevens volledig anoniem zijn, en dus niet herleidbaar naar een individueel persoon, wordt er geen inbreuk gemaakt op de privacy en geldt de AVG niet.
Minister de Jonge gaf aan dat er van de telecomproviders alleen geanonimiseerde (locatie)gegevens zouden worden gevraagd. Die gegevens zouden niet herleidbaar zijn naar individuele personen. De AP geeft echter aan dat deze gegevens naar de maatstaven van de AVG niet voldoende kunnen worden geanonimiseerd. “Het anoniem maken van dit soort gegevens kan niet, omdat dat nooit onomkeerbaar is. Wie weet waar iemand woont of werkt en die gegevens combineert met de 'geanonimiseerde' locatiegegevens van heel veel mensen, kan met die combinatie achterhalen wie bij welke locatiegegevens hoort.” Omdat de data op die manier tot een persoon herleidbaar is, gaat het om persoonsgegevens. Volgens de AP is er dan ook een wetswijziging nodig voordat telecomproviders verplicht kunnen worden om locatiegegevens van klanten te delen.[6]
Daarom heeft het kabinet op 29 mei een wetsvoorstel “noodwet wijziging Telecommunicatiewet” bij de Tweede Kamer ingediend.[7] Met deze wet kunnen telecomproviders worden verplicht om maximaal een jaar telecomdata (geanonimiseerd) te verzamelen. Er wordt geteld hoeveel telefoons per uur in een bepaald gebied aanwezig zijn en uit welke gemeente deze telefoons afkomstig zijn. Dat moet de telecomprovider baseren op informatie over waar de telefoon het grootste deel van de tijd is. Deze gegevens moeten worden doorgegeven aan het Centraal Bureau voor de Statistiek (CBS). Het CBS verwerkt die gegevens dan in rapporten die ze deelt met het RIVM. Het RIVM zal de gegevens gebruiken om de effectiviteit van coronamaatregelen te toetsen en een beter beeld te krijgen van hoe het virus zich tussen gemeenten verspreidt. Het idee hierachter is dat het RIVM met deze informatie de verspreiding van het virus kan monitoren en bij een toename van besmettingen in een bepaald gebied direct de regionale GGD kan waarschuwen. Met de informatie kunnen de coronamaatregelen dan op tijd worden bijgesteld. De data die via het CBS aan het RIVM beschikbaar wordt gesteld, zou volgens het kabinet niet herleidbaar zijn tot een individu.[8] Telecomproviders hebben aan de NOS laten weten dat zij bezorgd zijn over dit wetsvoorstel. Een van de zorgen is dat opsporingsdiensten bij de informatie kunnen komen die is opgeslagen bij providers.[9] Ook de AP heeft zich in een advies al kritisch uitgelaten over een eerste concept van het wetsvoorstel. Daarbij werd aangegeven dat de noodzaak nog onvoldoende was onderbouwd en belangrijke waarborgen zoals een specifiek doel, dataminimalisatie, en duidelijke bewaartermijnen ontbraken.[10] Na dit advies heeft het kabinet het wetsvoorstel aangepast. De AP heeft al aangekondigd deze nieuwe versie van het wetsvoorstel grondig te gaan bekijken.
Corona-app
Hugo de Jonge kondigde tijdens de persconferentie van 7 april aan dat de overheid nadacht over het inzetten van een app die kan waarschuwen wanneer je in de buurt bent geweest van een coronapatiënt. Allerlei partijen werden opgeroepen om ideeën in te sturen, waarvan er uiteindelijk zeven apps werden geselecteerd. Deskundigen uitten hun zorgen[11], Arjan Lubach maakte er een kritische uitzending over,[12] en de AP schreef een vernietigend rapport over deze apps.[13] Op basis daarvan heeft het ministerie met behulp van IT-experts een nieuwe versie van de app gemaakt. Deze is inmiddels getest door militairen in Vught en wordt in juli uitgebreid getest in Twente. Half juli wordt dan besloten of de app landelijk wordt ingevoerd.[14]
De app moet het bronnen- en contactonderzoek van de GGD aanvullen, omdat het sneller en makkelijker aangeeft met wie mensen allemaal in contact zijn gekomen.[15] Er is inmiddels iets meer duidelijkheid over de werking van de app. Klein voorbehoud: omdat de app nog wordt getest, is het niet zeker of de app ook daadwerkelijk zo zal gaan werken. De Nederlandse corona-app draait, net als de Duitse, op door Google en Apple gebouwde technologie. Via Bluetooth maakt je telefoon contact met andere telefoons die in je nabijheid zijn. De techniek houdt bij op welke afstand je van het andere apparaat bent en hoelang dat duurt. Ben je langer dan 10 minuten binnen een bepaalde afstand, dan slaat je app een anonieme code van de andere gebruiker op, die regelmatig wisselt. Als die andere gebruiker dan positief getest wordt op corona, krijgt hij een speciale code van de GGD waarmee hij in de app kan aangeven dat hij is besmet. Zo wordt voorkomen dat mensen zich “voor de grap” besmet melden. Als die andere gebruiker zijn besmetting in de app rapporteert, stuurt zijn app zijn anonieme codes van de afgelopen dagen naar een centrale server. Je eigen app controleert dagelijks op de centrale server of er anonieme codes op staan die de eigen app herkent, omdat er eerder contact is gemaakt. Als dat zo is, geeft je app je een melding dat je in contact bent geweest met een besmet persoon en krijg je advies over hoe je moet handelen. Volgens de ontwikkelaars van de app worden er geen persoonsgegevens en locatiegegevens opgeslagen en is het downloaden van de app vrijwillig.[16]
De ontwikkelaars hebben aangegeven dat het theoretisch mogelijk is dat een identificatienummer wordt herleid tot een concreet persoon, maar dat dat zeer complex en onwaarschijnlijk is.[17] Maar het feit dat het misschien mogelijk is, zorgt ervoor dat de AVG van toepassing is. Het gaat hier om gezondheidsgegevens waar volgens de AVG extra voorzichtig mee om moet worden gegaan. Zonder toestemming mogen deze gegevens alleen worden verwerkt als dit noodzakelijk is voor redenen van algemeen belang op basis van de volksgezondheid én wanneer dit is voorgeschreven in specifieke wet- en regelgeving. In Nederland geldt hiervoor de Wet publieke gezondheid, waaraan het coronavirus is toegevoegd.[18] Daardoor kunnen GGD’en bron- en contactonderzoek verrichten. Het biedt echter geen grondslag voor de corona-app. Zowel het gebruik van de app als het doorgeven van een besmetting via de app moet dan vrijwillig zijn. Hiervoor is het noodzakelijk dat de gebruikers van de app heel goed uitgelegd krijgen hoe de app werkt, zodat ze weten waarvoor ze toestemming geven.[19] De gegevens moeten uiteraard ook heel goed beveiligd zijn.[20]
Doordat de app gaat draaien op platformen van Google en Apple, kunnen de corona-apps van verschillende landen aan elkaar gekoppeld gaan worden. De Europese commissie pleit hiervoor. Ook dit kan alleen met de uitdrukkelijke toestemming van de gebruikers. De AP en de gezamenlijke Europese toezichthouders zijn hier uiterst kritisch over, omdat dit het risico met zich meebrengt dat er meer gegevens worden verzameld dan nodig is en er extra risico’s voor de gegevensbescherming ontstaan.[21] Er zijn ook nog veel vragen: hoelang worden de data bewaard? Wat is “vrijwillig”: andere personen, zoals horecaondernemers en werkgevers, mogen geen inzicht vragen in de app om bijv. toegang tot het pand te verlenen, maar wordt dat goed gewaarborgd? Wordt goed gewaarborgd dat Apple en Google geen inzicht hebben in de gegevens en wordt de centrale server goed beschermd? Bescherming is gezien de grote hoeveelheid datalekken bij de overheid nog een extra heikel punt. Zo zat er laatst nog een datalek in de infectieradar van het RIVM.[22]
Maar ook naast de privacy zijn er zorgen. Bluetooth is een techniek die veel verder rijkt dan 1,5 meter en niet precies kan meten hoe ver de apparaten uit elkaar zijn. Ook gaat het signaal door ramen en deuren heen. Krijg je dan ook een melding als je bovenbuurman is geïnfecteerd, of iemand in een passerende trein, en jij er geen persoonlijk contact mee hebt gehad? Want de exacte locatie van personen mag niet worden geregistreerd. Zo loop je het risico op valse positieve uitslagen. Helpt het wel voldoende? Want als je twee minuten heel intiem met iemand hebt staan zoenen of wanneer je in het voorbij lopen in je gezicht wordt gehoest, voldoe je wellicht niet aan de eis van 10 minuten en krijg je geen melding, terwijl je dan wel risico loopt. En gaat iemand die positief getest is wel daadwerkelijk zijn besmetting doorgeven via de app? En gaat een persoon die een melding heeft gekregen zich wel aan het advies houden en wat is dat advies dan precies? Onderzoekers van Fontys hebben op basis van een Technology Impact Cycle Tool al geconcludeerd dat de app daarom wellicht toch niet zo’n goed idee is.[23] De tool, inclusief de corona-app analyse, zijn per 3 juli beschikbaar via https://tict.io/.
Conclusie
Experts zijn van mening dat dataverzameling wellicht kan helpen om de coronacrisis te bestrijden. We moeten echter wel waken voor te veel techno-optimisme. Daarom moeten we onszelf telkens de vraag blijven stellen: wat willen we bereiken met de dataverzameling, gaat het daadwerkelijk het doel bereiken en kan het doel niet op een minder privacygevoelige manier worden bereikt?
O, en die “corona track en trace app” van Google waar mijn vrienden zich zo druk om maakten? Dat blijkt ‘slechts’ de ondersteuningslaag voor corona-apps te zijn. Daarvoor moet je nog wel eerst zelf een corona-app van de overheid downloaden en zelf je Bluetooth en locatiegegevens aanzetten.
[1] Artikel 5 AVG.
[2] https://coronadashboard.rijksoverheid.nl/
[3] Europese commissie, Daily news 24 maart 2020.
[4] ‘Overheid kijkt of smartphonedata kunnen helpen in strijd tegen coronavirus’, 27 maart 2020, nu.nl
[5] Artikel 5, 6 en 7 AVG, art. 11.5 en 11.5a Telecommunicatiewet.
[6] Autoriteit persoonsgegevens, ‘Gebruik telecomdata kan alléén met wet’, 1 april, autoriteitpersoonsgegevens.nl.
[7] Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19, Kamerstukken II 2019/20, 35479, 1.
[8] ‘Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19, Kamerstukken II 2019/20, 35479, 2. ‘Memorie van toelichting bij Tijdelijke wet informatieverstrekking RIVM i.v.m. Covid-19’, Kamerstukken II 2019/20, 35479, 3.
[9] N. Kasteleijn, ‘Zorgen bij telecomproviders over delen van reisgegevens met RIVM’, 24 juni, nos.nl.
[10] Autoriteit persoonsgegevens, ‘Advies over het concept voor wijziging van de Telecommunicatiewet in verband met informatieverstrekking aan het RIVM (Covid-19 crisis)’, 19 mei 2020.
[11] https://www.veiligtegencorona.nl/, Open brief aan Minister president Rutte en Minister De Jonge, Van Rijn, Grappershaus en Sijbesma inzake Covid-19 tracking en tracing apps.
[12] Zondag met Lubach https://www.youtube.com/watch?v=S2g0GiCHyJE
[13] Autoriteit persoonsgegevens, ‘AP: privacy corona-apps niet aangetoond’, 20 april 2020, autoriteitpersoonsgegevens.nl.
[14] Rijksoverheid, ‘Coronavirus-app test in Twente’, 25 juni 2020, rijksoverheid.nl.
[15] Rijksoverheid, ‘Waarom een corona-app’, rijksoverheid.nl
[16] Rijksoverheid, ‘coronavirus-app’, rijksoverheid.nl; N. van Bemmel, ‘Zo werkt de Nederlandse corona-app, die nu echt bijna klaar lijkt te zijn, 25 juni 2020, Volkskrant.nl.
[17] N. van Bemmel, ‘Zo werkt de Nederlandse corona-app, die nu echt bijna klaar lijkt te zijn, 25 juni 2020, Volkskrant.nl.
[18] Wijziging van de Wet publieke gezondheid tot incorporatie van de Regeling 2019-nCoV (Corona-virus), Kamerstukken II 2019/20, 35401.
[19] Artikel 7 en 9 AVG.
[20] Artikel 32 AVG.
[21] Autoriteit persoonsgegevens, ‘EDPB: Grenzen EU weer open tijdens corona? Let op privacy!’, 17 juni 2020, autoriteitpersoonsgegevens.nl.
[22] ‘Datalek in infectieradar RIVM: gegevens van gebruikers in te zien’, 6 juni 2020, nu.nl.
[23] P. Merkx, ‘Om meer dan privacy-redenen is corona-app geen goed idee’, 22 april 2020, Bron.fontys.nl.