“Tijdelijk minder privacy” in de strijd tegen het virus of een permanente inbreuk op onze privacy?

Het is u wellicht niet ontgaan dat steeds meer overheden wereldwijd technologische hulpmiddelen, zoals gezichtsherkenningstechnieken en cameratoezicht inzetten om verdere verspreiding van het coronavirus in te dammen. De vraag is of deze verregaande maatregelen in deze bijzondere omstandigheden een permanente inbreuk vormen op de fundamentele rechten en vrijheden van de burger?

Om antwoord te kunnen geven op deze vraag volgen een aantal actuele voorbeelden:

Moskou. De autoriteiten hebben een app ontwikkeld om de zelfisolatie van coronapatiënten te controleren, waarbij direct toegang tot persoonsgegevens van de coronapatiënten, zoals gesprekgeschiedenis, locatiegegevens en camera en netwerkgegevens worden verschaft.

Duitsland. Het Duitse Heinrich Hertz Instituut (HHI) werkt momenteel aan een bluetooth traceer-app tegen corona die na onderkende besmetting een ID zal delen met de autoriteiten om tracering te bespoedigen. Hoe deze applicatie er precies uit komt te zien is nog onduidelijk.

Europese Commissie (EC) vraagt telecomproviders om “geanonimiseerde” metadata aan te leveren om verdere verspreiding van het coronavirus in te dammen. De vraag hierbij is wat deze metadata omvat en of deze echt onomkeerbaar is en zodoende niet te herleiden naar personen.

Amsterdam. De gemeente Amsterdam zet tijdelijk cameratoezicht in om de coronamaatregelen te kunnen handhaven. Het besluit wordt onmiddellijk ingetrokken, indien blijkt dat de camera’s niet meer nodig zijn voor het handhaven van de openbare orde. Daarnaast heeft de burgemeester duidelijk aangegeven dat er een belangenafweging heeft plaatsgevonden tussen het algemeen belang om de verstoring van de openbare orde te herstellen en de gevolgen voor de rechten en vrijheden van de betrokkenen.

Wat vinden de EDPB (Europa) en AP (Nederland)?

De Europese toezichthouders stellen dat ook in deze bijzondere omstandigheden een gegevensverwerking noodzakelijk en proportioneel dient te zijn. De privacywetgeving mag geen belemmering vormen voor het inzetten van nieuwe technieken en technologische hulpmiddelen. Echter blijven de Europese toezichthouders benadrukken dat de strenge privacyregels ook in deze uitzonderlijke omstandigheden blijven gelden.

Ook de Autoriteit Persoonsgegevens benadrukt dat privacy zelfs in deze uitzonderlijke omstandigheden belangrijk blijft en de AP als hoeder blijft ingrijpen: “De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij”. Verder heeft de AP het standpunt ingenomen dat het gebruik van locatiegegevens in strijd tegen het coronavirus niet volledig onmogelijk is, maar niet zonder nieuwe parlementaire wetgeving. Daarnaast benadrukt zij dat het niet mogelijk is om locatiegegevens te anonimiseren en dat het verkrijgen van toestemming te omslachtig is.

Hoe bescherm je privacy?

Opmerkelijk is dat uit de voorbeelden duidelijk blijkt dat er in Europa een strenge privacywetgeving geldt en dat marktpartijen eerder op zoek zullen gaan naar privacy vriendelijke alternatieven voor het verwerken van persoonsgegevens, maar dat zelfs in Europa het recht op privacy in deze tijd terzijde wordt geschoven door het algemeen belang. Vooropgesteld kan worden dat inzet van technologische hulpmiddelen noodzakelijk is om het coronavirus verder in te dammen. Wanneer de wens voor een technologisch hulpmiddel opsteekt, adviseren wij daarom het volgende stappenplan te hanteren om de privacy zoveel als mogelijk te waarborgen:

• Beschrijf de waarde van de beoogde verwerking van persoonsgegevens. Stel de vraag of deze rechtvaardig en noodzakelijk is.
• Beoordeel de doelbinding, proportionaliteit en subsidiariteit. Stel de vraag of hetzelfde doel op een andere manier of met verwerking van minder persoonsgegevens ook zou kunnen worden bereikt (dataminimalisatie).
• Beschrijf de organisatiebelangen en burgerbelangen op het gebied van privacy. Stel een afweging op.
• Beschrijf de processen en of en hoe er toestemming wordt gevraagd aan betrokkene. Beschrijf de wijze van opslag en verwijdering, de rechten van betrokkenen en hoe juistheid van gegevens wordt geborgd.
• Voer intern een DPIA uit of laat deze, net als vele anderen, door Capgemini uitvoeren.
• Ontwikkel of laat ontwikkelen uitsluitend op basis Privacy by Design en Privacy by Default. Of nog beter, volgens het door Capgemini effectief bewezen Digital Trust by Design principe waarin naast privacy ook nog security (bijvoorbeeld informatiebeveiliging voor data in transit en in rest, versleuteling, logging, multifactor-authenticatie login) wordt meegenomen.
• Documenteer alle stappen en overwegingen, evalueer herhaaldelijk, regel beheer in op de documenten en processen en wees zo transparant als mogelijk naar de betrokkenen. Pas de (specifieke) privacyverklaring en privacybeleidsstukken aan.

Bovenstaande stappen geven een goed beeld om ervoor te zorgen dat privacy een kerncomponent wordt bij het ontwikkelen en inzetten van (nieuwe) technologische hulpmiddelen. Uiteraard vergt dit tijd, kosten en inzet naast de benodigde kennis. Of deze stappen daadwerkelijk worden genomen in alle initiatieven die er door deze pandemie zijn ontstaan is de vraag. Of deze initiatieven het recht op privacy blijvend beschadigen is grotendeels afhankelijk van het politiek stelsel en de lokale wet- en regelgeving, maar ook zeker van de organisaties en burgers die hier onderdeel in zijn. Deze fundamentele rechten mogen niet, zelfs in deze tijd, zomaar van tafel worden geveegd en vragen constant om belangenafwegingen. Het is van belang om ons hiervoor in te blijven zetten, dit doen wij via publicaties, seminars en ten alle tijden in alle landen, organisaties en projecten waarin wij actief zijn.

Wij bieden ondersteuning in elk van bovenstaande stappen door advies te geven, DPO-as-a-service of support aan te bieden. Verder voeren wij audits, assessments en analyses uit en borgen wij in ontwikkelteams de Privacy by Design dan wel Digital Trust by Design of ontwikkelen en beheren wij complete applicaties conform deze principes.

Heeft u als organisatie ideeën voor nieuwe applicaties of heeft u deze juist nodig? Heeft u baat bij het toetsen van de privacyvereisten aan uw processen of systemen of wilt u een applicatie conform Privacy by Design opstellen? Loopt u vast bij één van de stappen of heeft u privacy advies nodig? Neem dan vrijblijvend contact met ons op via de mail, telefoon of skype. Wij bespreken graag de situatie onder een virtuele koffie en zorgen er samen voor dat deze fundamentele rechten zo goed als mogelijk geborgd worden en blijven.

Wilt u meer informatie? Neem contact op met de auteurs via Samantha Anroedh en Damy Broeshart.