Het is crisis. En bij crisis horen maatregelen. Super maatregelen, intelligente maatregelen zoals 'wij' dat in Nederland doen. Wij, Nederlanders, die ons niet gek laten maken door wat andere landen doen, maar gewoon pragmatisch blijven en voor de intelligente lockdown kiezen. En ons daar ook aan houden. Zo goed en kwaad als het gaat.
Er wordt ook gekeken naar hoe we deze intelligente lockdown nog intelligenter kunnen maken. En willen 'onze' Mark en Hugo het virus indammen door het controleren en sturen van gedrag door middel van mobiele applicaties. Het gaat om twee applicaties: de eerste vertelt je of je in de buurt bent geweest van een met Corona besmet persoon en via de tweede geef je mogelijke symptomen door aan een dokter in de buurt.
De introductie van deze applicaties kan gigantische gevolgen hebben voor de privacy van burgers. Maar is eeninbreuk op de bescherming van persoonsgegevens hier per definitie aan de hand? Niet per se.
De ministers geven aan dat de bescherming van persoonsgegevens een belangrijk aspect is van het introduceren van deze applicaties. Privacy zal in acht worden genomen. Ook de Autoriteit Persoonsgegevens (AP) is betrokken bij de mogelijke uitvoering van de voorgenomen plannen. De AP stelt dat mogelijk een noodwet is vereist om dergelijke applicaties in werking te kunnen stellen.
Maar is dat zo? Kijkend naar het verleden wordt een noodwet niet meer afgeschaft wanneer de noodsituatie voorbij is. De vraag is dus of een noodwet wel proportioneel is voor het te dienen doel. Er wordt wel heel snel over de Algemene verordening gegevensbescherming (AVG) heen gestapt: biedt deze wet op zichzelf al niet voldoende waarborgen voor de bescherming van persoonsgegevens? Naast de juiste grondslag voor verwerking, vereist de AVG dat een mobiele applicatie gebouwd is met inachtneming van de privacy van de gebruiker en dat er technische en organisatorische maatregelen genomen zijn die de persoonsgegevens beschermen tegen onrechtvaardige inbreuken.
Tevens wordt toestemming als grond voor het verwerken van data genoemd. Daar wringt de schoen voor de tweede maal. Kan de burger zien dat privacy versus gezondheid een valse tegenstelling is? Is zij wel in staat deze beoordeling zelf te maken, of dient zij hier door zowel de overheid als de AP in beschermd te worden?
Ik pleit opnieuw voor het gerechtvaardigd belang als grond voor de verwerking: op die manier wordt de verantwoordelijkheid voor het privacyvriendelijk inregelen van de apps bij de overheid gelegd, met de AP als controlerend orgaan.
Verwerking op basis van gerechtvaardigd belang houdt in dat de overheid verplicht is een belangenafweging te maken tussen de inbreuk op de privacy van de gebruiker en het belang van de overheid om de apps te introduceren aan de Nederlandse burger. Deze afweging dient inzichtelijk te worden gemaakt. Dat betekent dat zij zal moeten aantonen dat de algemene gezondheid gediend is bij het in gebruik nemen van deze apps. Dat gebruik van deze apps een dusdanig snelle of grote indamming van het virus betekent, dat inbreuk op privacy gerechtvaardigd is. Zij zal moeten kunnen stellen dat door het gebruik van deze technologie de verspreiding van het virus sneller in zal dammen dan minder vergaande maatregelen zoals de intelligente lockdown zoals we die nu hanteren. Dat de intelligente lockdown niet genoeg is en het gevaar voor de volksgezondheid inbreuk op de privacy van (bijna alle) burgers rechtvaardigt. De AP zal deze belangenafweging moeten toetsen.
De Europese Data Protection Board (EDPB) pleit voor een gezamenlijke Europese aanpak en geeft aan dat de AVG wel degelijk voldoende waarborgen biedt om technologieën die verdere verspreiding voorkomen in te zetten. Ook de European Data Protection Supervisor (EDPS) onderschrijft die zienswijze.
Daarbij de oproep de AVG vooral niet in de weg te laten staan van een oplossing: “The GDPR clearly states that the processing of personal data should be designed to serve mankind”.
Ook roept de EDPS in herinnering dat het privacyrecht geen absoluut recht is en altijd een belangenafweging vraagt:
“The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality.”
Uiterlijk 15 april brengt de EDPB een toolbox met richtsnoeren uit om de crisis te bestrijden en de privacyrechten te waarborgen. Ik ben benieuwd voor welke grondslag zij opteert.
Dit artikel is ook te vinden in de dossiers AVG en Coronavirus