Na de mededeling gisteravond tijdens de persconferentie dat er gekeken wordt naar de mogelijkheden om een Corona-app in te zetten, kon deze blog natuurlijk niet achterblijven. Superhandig zo’n app waarmee je kan zien of je in de buurt bent geweest van iemand die Corona heeft. Toch een extra bevestiging, naast enkel alert te blijven op de signalen zoals hoestende mensen om je heen. We leven immers in een digitaal tijdperk.
Máár dan komt de hamvraag. Want we kennen ook zoiets als privacy. En kan dit dan allemaal wel op het gebied van privacy?! Ik heb altijd één motto wat betreft privacy, en dat is: alles kan, als je het maar goed regelt. En mijn motto geldt ook voor deze beruchte Corona-app.
Dankzij onze privacywetgeving kan er niet zomaar een app in gebruik worden genomen door de overheid zonder aan verplichte waarborgen te voldoen. En de vraag of deze waarborgen bij een dergelijke app worden genomen, zal verplicht getoetst moeten worden middels een Data Privacy Impact Assessment. Ik zal hieronder een aantal waarborgen uitwerken. Maar een definitief oordeel kan ik nog niet geven, omdat er nog geen definitieve app is die ik kan onderwerpen aan mijn ongezouten mening.
Aan welke waarborgen moeten we dan denken? Een eerste waarborg is het hebben van een zogeheten rechtsgeldige grondslag. Dat kan bijvoorbeeld het uitvoeren van een overheidstaak zijn (denk aan waarborgen van de zorg in Nederland), of een algemeen belang dat wij bij het gebruik van de app als samenleving hebben (bestrijden Corona). De Autoriteit Persoonsgegevens (onze privacytoezichthouder) spreekt over een spoedwet die opgesteld zou kunnen worden, dit zou dan een grondslag kunnen zijn voor het gebruik van de app.
Nou, dan hebben we de eerste stap genomen. Dan is de volgende vraag altijd: welke gegevens gebruiken we, en zijn al deze gegevens wel noodzakelijk? Met noodzakelijk bedoel ik dat gegevens onmisbaar moeten zijn voor het functioneren van de app. Alles wat wenselijk is faalt bij de noodzakelijkheidstoets, en kan dus niet gebruikt worden. Online heb ik al een aantal goede suggesties langs zien komen. Zo is het niet per definitie noodzakelijk dat jij weet wie van de personen met wie jij in aanraking bent geweest Corona heeft, maar puur het feit dat een van deze personen besmet is. Je hoeft dus geen data met naam en toenaam op te slaan.
Sterker nog, je kan met unieke ID’s werken waardoor een koppeling met een individu zo veel mogelijk uitgesloten wordt. Ook de overheid hoeft middels deze app tenslotte niet te weten wie er besmet is, aangezien dit niet het doel van de app is. Tenminste niet voor zover ik het nu uit de nieuwsberichten kan afleiden. Het doel is om mensen tijdig in quarantaine te laten gaan, en zo verdere besmetting te voorkomen.
Hetzelfde geldt voor het gebruik van locatiegegevens. Voor de app is het niet noodzakelijk om te weten waar je bent geweest. Wederom wil je puur het feit weten of je in aanraking met een besmet persoon bent geweest. Of dat in de supermarkt was, of op een drukbezette markt in Den Haag waar we arm in arm hebben gestaan, dat doet er niet toe. Ook deze gegevens hoeven dus niet gebruikt te worden.
Dan gaan we verder naar doelbinding. Dit hangt samen met de onmisbaarheid van de gegevens. Maar een belangrijk aspect daarvan is voornamelijk dat het niet de bedoeling (haha, doel) is dat de gegevens die middels de app verzameld worden, vervolgens voor iets anders ingezet worden. Bijvoorbeeld om een boete op te leggen omdat de app geconstateerd heeft dat je met wel heel veel mensen in aanraking bent geweest op een dag. Misschien buiten wel meer dan twee volwassenen in een ontmoeting, en dat mag niet hè.
Verder gelden er uiteraard nog de andere privacywaarborgen zoals het hanteren van strikte bewaartermijnen. Maar ook het toepassen van de ‘passende technische en organisatorische maatregelen’ is een zeer belangrijk onderdeel voor deze app. Dit hangt tenslotte samen met de beveiliging van een dergelijke app. Iets wat je snel uitrolt, moet net zo goed getest zijn als een app waar we jaren aan gewerkt hebben. Hier komen ook vragen naar boven als: waar wordt de data opgeslagen? Wie heeft toegang tot de data? En dit zijn zaken die heel kritisch beoordeeld moeten worden in de eerdergenoemde Data Privacy Impact Assessment. Maar waar ook heel veel mooie technieken voor zijn om dit praktisch op te lossen.
Uiteraard zal niet alleen ik mijn ongezouten mening geven wanneer de app er is, ook de Autoriteit Persoonsgegevens zal hier haar zegje over doen. Voor nu nog geen paniek dus. Onze wetgeving blijft er, ook in tijden van crisis. Gelukkig is de AVG immuun voor Corona, dus een dergelijke app kan alleen maar werken als alles tot in de puntjes is uitgewerkt op het gebied van privacy. En dat is mogelijk, het vergt alleen wat werk. To be continued...
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.