Het aanpassen van een wet in een paar weken tijd is bijzonder en komt eigenlijk alleen voor in crisissituaties. Ik ben er wat huiverig voor, het betekent immers al snel dat bepaalde rechten aan de kant worden geschoven. Dat is in dit geval, waar het kabinet werkt aan een aanpassing van de Telecommunicatiewet, niet anders. Minister De Jonge presenteerde een wetsvoorstel, wat het mogelijk maakt om telecomgegevens te delen in verband met informatieverstrekking aan het RIVM. Maar wat betekent dit voor ons recht op privacy?
Het RIVM heeft als taak om epidemieën te bestrijden. Zodra telecomaanbieders verkeers- en/of locatiegegevens mogen verstrekken aan het RIVM, dan zou dat volgens het RIVM helpen bij de bestrijding van het coronavirus. Als telecomaanbieders onze verkeers- en/of locatiegegevens doorgeven aan het RIVM, dan maakt dat nogal een inbreuk op onze privacy. De Autoriteit Persoonsgegevens (AP) heeft dan ook een blik geworpen op het wetsvoorstel. Daarbij heeft de AP het wetsvoorstel gewogen tegen het belang dat burgers hebben bij de bescherming van hun persoonsgegevens in het algemeen, en gegevens over hun gebruik van telecommunicatiemiddelen in het bijzonder. Gelukkig is ook de AP kritisch in haar advies over het voorstel.
De AP begint met het belangrijkste punt: waarom is deze wetswijziging nou eigenlijk nodig? Het doel in de wettekst is nog onvoldoende duidelijk in de toelichting uitgewerkt. In de toelichting van de wet wordt gezegd dat het doel gevonden wordt in de waarborging ‘van de openbare veiligheid, daaronder begrepen de bestrijding van de epidemie van een infectieziekte.’ Maar dit komt niet overeen met wat er in de uitgevoerde DPIA staat. Daarin staat namelijk dat het nodig is om verkeers- en/of locatiegegevens door te geven aan het RIVM vanwege ‘de bestrijding van een epidemie van een infectieziekte, maar ook voor wetenschappelijk onderzoek in verband met die bestrijding en de volksgezondheid’.
Duidelijkheid over het doel is essentieel: alleen daarmee kan bepaald worden of het noodzakelijk is. Zeker wanneer een wijziging zo’n impact heeft op de privacy van velen (immers: maar weinig mensen hebben tegenwoordig géén telefoon), moet je dit goed kunnen uitleggen en kunnen aantonen dat het écht nodig is.
De noodzaak om verkeers- en/of locatiegegevens te delen met het RIVM vindt de AP dan ook op dit moment nog niet aanwezig. Het doel moet in verhouding staan (proportioneel zijn) met de mate van inbreuk op grondrechten: in dit geval natuurlijk ons recht op privacy. In de wetstoelichting wordt wel de informatiebehoefte van het RIVM benadrukt, alleen zonder dat voldoende duidelijk naar voren komt waar het RIVM deze gegevens precies voor nodig heeft en om welke specifieke gegevens het gaat. Ook uit oogpunt van subsidiariteit zijn er nog onduidelijkheden, zo vindt de AP het onduidelijk of er wel alternatieven zijn overwogen. Kan hetzelfde doel niet op een andere manier bereikt worden? Bijvoorbeeld door informatie uit het openbaar vervoer door te geven aan het RIVM.
Ondanks dat de AP begrip heeft voor het feit dat in deze korte tijd de wettekst nog in detail is uitgewerkt, geeft onze privacytoezichthouder wel aan dat er op essentiële punten echt nog te weinig duidelijkheid is. Zo is het van groot belang te weten hoe groot de gebieden zijn waarover informatie wordt geleverd. In de wetstoelichting wordt gesproken over ‘een telling, per uur, per gemeente, van het totaal aantal mobiele telefoons dat daar aanwezig is, verdeeld naar vermoedelijke herkomst.’ De wetstekst zelf spreekt echter alleen van ‘informatie op basis van verkeers- en locatiegegevens’. De AP vraagt zich dus af: wat is het precieze plan?
Ook speelt bij zo’n privacytoets altijd de vraag over wat voor tijdsperiode we het hebben. De periode wordt nu gekoppeld aan de ‘bestrijding van een epidemie van een infectieziekte’. Deze beperking wijst erop dat het gaat om een permanent karakter. Kan dan namelijk niet gewoon bij een volgende epidemie (mocht deze zich ooit voordoen) dezelfde systematiek worden toegepast? Het is volgens de AP verstandiger om de werking van de wet te beperken tot de huidige Covid -19 crisis.
Ook is er geen maximale bewaartermijn van de gegevens opgenomen voor de gegevens die het RIVM binnen krijgt. Een bewaarperiode biedt een bepaalde waarborg, die nu dus ontbreekt. En dat terwijl zo’n maximale bewaartermijn niet zo moeilijk moet zijn om vast te stellen, volgens de AP.
Al met al geeft de AP aardig wat commentaar. Het kabinet heeft het advies inmiddels ontvangen en zal spoedig met een nieuw voorstel komen. De vraag is natuurlijk of het doel dan wél noodzakelijk gaat worden bevonden, of dat de vereisten van proportionaliteit en subsidiariteit hier in de weg blijven staan. Het gaat immers nog altijd om al onze telefoondata. De telefoon die we tegenwoordig overal mee naar toenemen, waar we ook heen gaan. Dit is een enorme inbreuk is op ons recht op privacy. Daarnaast geldt wat mij betreft voor een wetsverandering als deze zeker: haastige spoed is zelden goed.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.