Contact-tracerende apps:de brug tussen privacy en volksgezondheid
In de bestrijding van COVID-19 en met het oog op toekomstige pandemieën bieden contact-tracerende apps steeds meer stof tot nadenken. Deze mobiele applicaties voorzien overheidsinstellingen van realtime gezondheids- en locatiegegevens van burgers. Met behulp van bluetooth-technologie wordt geregistreerd met wie je in contact kwam op minder dan twee meter afstand. Vervolgens worden de gegevens versleuteld en opgeslagen op je smartphone. Singapore bijvoorbeeld heeft zo’n traceerapp geïnstalleerd om de verdere uitbreiding van COVID-19 in kaart te brengen en te voorkomen. Onlangs verklaarde onze federale minister van Telecommunicatie en Privacy dat ook de Belgische regering onderzoekt hoe ze zo’n app kan uitrollen. Deze applicaties balanceren echter op een dunne grens tussen gegevensbescherming en privacy aan de ene kant en effectieve maatregelen voor de bescherming van de volksgezondheid aan de andere kant.
Ongeacht de doeltreffendheid van deze apps in het tegengaan van verdere verspreiding van COVID-19, moet privacy ter discussie komen, vooral wanneer het gaat om de verwerking van gevoelige gezondheidsgegevens. In tijden van crisis wordt privacy, een fundamenteel mensenrecht volgens de Europese wetgeving, vaak aan de kant geschoven, zoals blijkt uit de gerichte monitoring van burgers over de hele wereld. Vooral op lange termijn roepen traceerapps veel vragen op rond anonimiteit, transparantie, correct gebruik en opslag van gegevens. Singapore heeft bijvoorbeeld een app gelanceerd die Bluetooth gebruikt om smartphones in de buurt te traceren en logs op smartphones zelf op te slaan. Die lokale logs kunnen worden geüpload naar het ministerie van Volksgezondheid wanneer de gebruiker daarvoor kiest, vermoedelijk na een positieve test. Hierdoor kan het ministerie contact opnemen met de volledige loglijst, waardoor iedereen die in de buurt van de smartphone van de nieuwe patiënt is geweest, wordt bereikt. Dichter bij huis zegt de Duitse bondskanselier Angela Merkel dat ze een enigszins vergelijkbaar, Europees initiatief omarmt dat wordt geleid door een coalitie van technische wetenschappers uit verschillende Europese landen. Deze app is privacy-vriendelijker door het anoniem gebruik van Bluetooth-technologie en slaat de locatiegegevens van de gebruikers niet op.
De Belgische Gegevensbeschermingsautoriteit (GBA) gaf al groen licht aan providers om hun geanonimiseerde telecomgegevens door te geven aan een externe partij, die zij vervolgens gebruiken om kaarten te maken waarmee we onder andere het percentage Belgen kunnen zien dat in de afgelopen weken binnen hun eigen postcode is gebleven. Een holistische aanpak – om de GBA, de gezondheidsautoriteiten, de Data Against Corona Task Force van de ministers en de ontwikkelaars van traceerapps op één lijn te krijgen – is echter aangeraden. Dat het Europees Comité voor gegevensbescherming (EDPB) waarschijnlijk pan-Europees advies zal geven over deze kwestie, is daarom goed nieuws.
Een dergelijk kader is immers om twee redenen noodzakelijk. Ten eerste moet de monitoring van burgers redelijk en binnen de perken blijven, waarbij de bescherming van de volksgezondheid en het recht op privacy elk worden gerespecteerd. Er moet een correcte definitie van het concept anonimiteit worden vastgelegd in deze corona-omstandigheden en er moeten richtlijnen worden opgesteld voor het beperken van gegevensopslag. Om transparantie te vrijwaren zijn technische en organisatorische maatregelen nodig om de toegang tot gegevens te versnipperen en te beperken. Op die manier kunnen bijvoorbeeld appontwikkelaars, telecombedrijven en overheidsinstellingen wanneer ze hun respectievelijke stukjes bij elkaar leggen, geen persoon en/of zijn of haar gezondheidstoestand identificeren. Alle gegevens moeten uiteraard ook achteraf worden vernietigd. Ten slotte moeten alle betrokken partijen via een specifieke regelgeving bewust worden gemaakt van hun verantwoordelijkheden, en hun acties documenteren en rapporteren.
Ten tweede zou een holistische benadering van de privacyproblematiek stigmatisering en sociale uitsluiting van burgers kunnen voorkomen. Traceerapps brengen immers het risico met zich mee dat personen die positief testen, worden ‘ontmaskerd’, wat kan leiden tot sociale uitsluiting. Net als online gegevens is gezondheid een zeer persoonlijk en gevoelig onderwerp. Daarom moeten gezondheidsgegevens alleen worden gedeeld en verwerkt in uitzonderlijke en strikt gecontroleerde, afgebakende omstandigheden.
Traceerapps kunnen een cruciale rol spelen bij het overwinnen van COVID-19, maar ze mogen niet het einddoel zijn; ze zijn een middel om een groter doel te bereiken en vormen een brug tussen twee fundamentele mensenrechten: het recht op bescherming van volksgezondheid en het recht op privacy. Het is echter belangrijk om in tijden van crisis het ene fundamentele mensenrecht niet te laten primeren op het andere. Laat ons pragmatisch en aan de hand van de GDPR-regelgeving een geïntegreerd kader ontwikkelen om virussen te bestrijden. Zo niet voor deze pandemie, dan voor de volgende.
Dit opiniestuk werd geschreven door Anna Pouliou, Partner Deloitte voor Data Protection.