Vorige week schreef ik al over de beruchte ‘corona-app’ en privacy. Mijn conclusie was in het kort: juridisch gezien kan alles, als je het maar goed inricht. Omdat er nog geen concrete app was om een ongezouten mening over te geven, moest ik helaas wat betreft het beoordelen van de ‘echte app’ op de vlakte blijven. Uiteraard kan ik vertellen wat de basisvereisten zijn op het gebied van privacy, maar zolang er niets concreets ligt kun je ook geen vernietigend oordeel geven. Nu heeft onze privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), gister haar oordeel gegeven over de zeven apps die momenteel in de running zijn om de enige echte ‘corona-app’ te worden.
Tromgeroffel… Ik citeer… ‘De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de 7 ‘corona-apps’die het ministerie van VWS heeft geselecteerd.’ Huh? Wat? Wacht. Waarom niet? Hier zaten we toch met z’n allen op te wachten? En is het niet heel erg makkelijk om te zeggen ‘we kunnen geen oordeel geven’?
Wat blijkt uit de reactie van de AP is de voorstellen die momenteel op de plank liggen voor de zeven apps nog niet concreet genoeg zijn. Ik begrijp wat dat betreft de reactie van de AP. Zoals ik in mijn vorige blog al aangaf, valt of staat alles met de inrichting van de app/het selecteren van de juiste maatregelen. Je kan namelijk prima een privacy proof corona-app maken, mits je de juiste maatregelen neemt. Maar als je niet weet wat die maatregelen zullen zijn, dan is het oordelen toch wel erg lastig. Een voorbeeld: als je weet welke informatie verzameld wordt, maar vervolgens niet weet waar die informatie exact voor wordt ingezet, hoe lang het bewaard wordt en met wie het gedeeld wordt, valt er ook nog geen oordeel te geven over de noodzakelijkheid van deze informatie.
Maar dit maakt het een soort kip-ei verhaal. De AP kan niet oordelen omdat de kaders onvoldoende zijn uitgewerkt door de app-bouwers. Voor de app-bouwers is het moeilijk de kaders uit te werken, als je niet goed weet wat de kaders moeten zijn. Ik kreeg n.a.v. mijn vorige blog ook veel de vraag: ‘Kan je niet gewoon antwoord geven of een dergelijke app wel of niet kan?’ Ja het kan, maar dat is dus wel afhankelijk van de uiteindelijke app. En dat is een antwoord wat ik haat om te geven, want het is geen échte ja of nee. En daar komt ook nog de vraag bij: wat willen we eigenlijk met de app bereiken? Want als we alleen maar willen bereiken dat mensen die met een besmet iemand in aanraking zijn geweest, vervolgens thuisblijven, dan hoef je alleen maar te weten dat je met iemand in aanraking bent geweest. Er hoeft ook niet bekend te zijn wie dat was, waar dat was of hoe laat dat was. Alleen maar dat het zo is. De overheid hoeft ook niet te weten wie, wat of waar, want dat is het doel niet. Locatiegegevens hoef je dan ook niet te verwerken, omdat die voor de verwerking niet onmisbaar zijn. Je moet dan een oplossing vinden om bijvoorbeeld bij enkel een match tussen een besmet en niet-besmet persoon een signaal af te geven. Maar als je een ander doel met de app hebt, dan wordt de toetsing ook weer heel anders. En met wie ga je in zee om deze app mogelijk te maken? Google, Apple? Oftewel: zonder concrete app, geen concreet oordeel.
Het vervolg? De AP heeft aangegeven opnieuw een oordeel af te willen geven indien de kaders duidelijker zijn. Dit houdt dus eigenlijk in dat je moet beslissen om voor een specifieke app te gaan, deze te ontwikkelen, en de gewenste stappen moet afstemmen om te weten of je de goede kant op gaat. Dit is niet iets wat de AP zal doen, daar kun je eerder een eindoordeel van verwachten. Om waar mogelijk hier toch meer duidelijkheid over te geven vanuit onze kant, zullen wij aan de hand van cases mogelijke kaders schetsen in een volgende blog.
Tot slot kreeg ik nog veel de vraag: kan de overheid een dergelijke app verplicht opleggen? Ik zie dat niet gebeuren. Afgezien van de afwezige haalbaarheid om dit verplicht te maken aangezien een groot gedeelte van de hoogste risicogroep niet in het bezit is van een smartphone, zul je een basis in de wet moeten hebben voor het opleggen van een dergelijke verplichting (denk dus aan een heuse corona-app-wet). Ook zal de afweging tussen de privacy van de burgers en het belang van de overheid afgewogen moeten worden, en het een app moeten zijn die dus wél groen licht heeft gekregen. Gezien het tijdsaspect wat bij deze app komt kijken om het zijn doel te laten bereiken, is dat zeker niet iets waar wij ons zorgen om moeten maken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.