Aan online tracking, het volgen van online gedrag en browsinggeschiedenis, zijn we inmiddels wel gewend. We weten op welke manier een cookiebanner ingericht dient te worden en hebben creatieve manieren gevonden om websitebezoekers tóch te overtuigen om de juiste toestemming te geven. Mogelijk krijgen we binnenkort te maken met offline tracking: het volgen van gedrag en aanwezigheidsgeschiedenis in restaurants en uitgaansgelegenheden.
Steeds meer wordt er toegewerkt naar een Nederland waarin we sociale contacten kunnen onderhouden en leuke dingen kunnen ondernemen, mits op anderhalve meter afstand van elkaar. Elke nieuwe versoepelende maatregel is een maatregel in de richting van onzekerheid: wanneer en hoe slaat het coronavirus opnieuw toe? Minister de Jonge heeft in zijn brief aan de Tweede Kamer van 3 juni voorstellen gedaan om de impact van zo'n terugslag te verkleinen, bijvoorbeeld door verspreiding in een vroeg stadium te signaleren.
Een van die voorstellen ziet op het opsporen van de contacten van een geïnfecteerde persoon, waaronder zij die tijdens een gezellig avondje uit in hetzelfde restaurant gedineerd hebben. Zo wordt gekeken naar de mogelijkheid om de reserveringsgegevens van andere restaurantbezoekers die op hetzelfde moment een reservering hadden staan te indexeren en te delen met de GGD. Op die manier is volgens de Jonge sneller inzichtelijk wie besmet zou kunnen zijn, doordat er mogelijk contact is geweest in het betreffende restaurant of andere gelegenheid. Een nieuwe vorm van opsporing die mogelijk wordt gemaakt door de nieuwe verplichting te moeten reserveren voorafgaand aan een bezoek aan een restaurant.
Het verzamelen en doorgeven van deze gegevens aan de GGD vormt een inbreuk op de privacy van de persoon die een reservering heeft gemaakt. In feite betekent deze voorgestelde maatregel namelijk dat een geheime date met je minnaar er niet meer in zit, de GGD weet er dan immers van. De Jonge schrijft daarom dat toestemming voor deze verwerking noodzakelijk is. De toestemming moet door de restaurants of gelegenheden worden uitgevraagd en alleen de contactgegevens van de persoon die toestemming gaf mag dan doorgegeven worden aan de GGD.
Als iedereen 'vrij' is te bepalen of meegewerkt wordt aan dit contactonderzoek is er niks aan de hand, toch? Hoewel vrij gegeven toestemming op zichzelf autonomie zou moeten geven aan de restaurantbezoeker, zitten er aan deze toestemming wel wat haken en ogen. Allereerst is het maar de vraag in hoeverre die toestemming daadwerkelijk vrij gegeven kan worden. Voelt een twijfelende tafelgenoot zich wel daadwerkelijk vrij om 'nee' te zeggen wanneer de rest het wel oké vindt? En als je door het restaurant geweigerd mag worden, wanneer je hieraan niet mee wilt werken? En, wanneer is het coronavirus dusdanig uitgedoofd dat deze methodiek niet langer noodzakelijk is?
Zomaar wat interessante vragen die opkomen bij het inzetten van dit middel. Logischerwijs zullen er nog wat hordes genomen moeten worden voordat dit allemaal zo ver is. Daarbij mag een ingrijpende inbreukop de privacy alleen ingezet worden, als de verwerking proportioneel en evenredig is. Dat betekent dat geen persoonsgegevens verwerkt moeten worden, die niet strikt noodzakelijk zijn. Alleen maar handig is dus niet voldoende. Het vragen van toestemming en de mogelijkheid bieden om toestemming te weigeren, impliceert daarom mogelijk dat de noodzaak van het doorgeven van de gegevens niet sterk genoeg is. Immers, zou een andere grondslag niet passender zijn geweest als de noodzaak wel sterk genoeg was?
Voldoende zaken om over na te denken. Zoals genoemd zal het laatste hierover nog niet gezegd zijn en zullen privacy juristen bij het ministerie druk bezig zijn om een goede risicobeoordeling rond te krijgen. Tot die tijd kunnen we nog rustig een hapje eten buiten de deur zonder dat de GGD hiervan op de hoogte is.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.