[ Origineel @ Gegevensbeschermingsautoriteit ]
Opsporingsapplicaties en COVID-19 databanken: voor de GBA moeten de voorontwerpen van koninklijke besluit worden herzien
De Gegevensbeschermingsautoriteit (GBA) is met spoed geraadpleegd om advies uit te brengen over twee voorontwerpen van koninklijke besluit betreffende respectievelijk het gebruik van opsporingsapplicaties en het oprichten van een databank “om de verspreiding van het coronavirus te voorkomen”. De bescherming van persoonsgegevens vormt geen belemmering voor het gebruik van technologische instrumenten in de strijd tegen de COVID-19-epidemie, zolang zij bepaalde fundamentele beginselen in acht nemen. De normatieve teksten die het gebruik van deze instrumenten voorzien en regelen, moeten nauwkeurig en volledig zijn om een optimale transparantie voor de burger te garanderen en de noodzaak om beroep te doen op een opsporingsapplicatie, moet worden aangetoond, aldus de GBA.
Bijkomende garanties voor de burger
Dit onderwerp heeft al veel inkt doen vloeien: in de strijd tegen de verspreiding van het coronavirus is het de bedoeling om de contacten op te sporen die een positief getest persoon kan hebben besmet. Deze opsporing zou kunnen gebeuren door te trachten de personen te onthouden wiens pad men heeft gekruist en bijkomend, via een applicatie (die zou werken op basis van digitale sleutels die de betrokken personen niet rechtstreeks identificeren).
Het Kenniscentrum van de GBA, dat bevoegd is om adviezen te formuleren over normatieve ontwerpen, is geraadpleegd over twee voorontwerpen van koninklijke besluit, die een kader bieden voor het gebruik van digitale contactopsporingsapplicaties en voor de oprichting van een databank door Sciensano. De adviezen over deze ontwerpen bevatten talrijke overwegingen die kunnen worden samengevat in twee essentiële punten:
- De noodzaak en de proportionaliteit van opsporingsapplicaties en het opzetten van een databank bij Sciensano, moet worden aangetoond :
- Ingrijpen in het privéleven van burgers, zoals mogelijk gemaakt door deze koninklijke besluiten, is alleen toegestaan als dit noodzakelijk is en in verhouding staat tot de verwezenlijking van het doeleinde van algemeen belang dat erin bestaat de verspreiding van het virus tegen te gaan.
- De invoering van een opsporingssysteem door middel van applicaties is alleen toegestaan als dit het minst ingrijpende middel is om het nagestreefde doel te bereiken en als er een juist evenwicht is tussen de betrokken belangen (proportionaliteit).
- De ontwerpen moeten de burgers extra garanties bieden :
- De teksten moeten verder worden verduidelijkt om te vermijden dat het zou mislopen. Het besluit betreffende de oprichting van een databank door Sciensano moet duidelijker zijn wat betreft de oorsprong van de verzamelde gegevens, de derden aan wie deze medische gegevens mogen worden doorgegeven en het gebruik dat zij ervan mogen maken.
- In de teksten moet ook worden bepaald dat er geen kruising mogelijk zal zijn tussen de verschillende databanken die in het kader van de bestrijding van de epidemie zijn opgezet (of met een andere databank), en ook dat de verzamelde gegevens niet voor andere doeleinden mogen worden hergebruikt.
De minimale vereisten voor een opsporingsapplicatie
Naast haar opmerkingen over de voorontwerpen herinnert de GBA eraan dat elke opsporingsapplicatie moet voldoen aan de regels en specificaties die zijn vastgesteld door het EDPB (Europees Comité voor gegevensbescherming waarin de GBA een actieve rol speelt), dat hierover onlangs richtsnoeren en een “toolbox” heeft gepubliceerd.
Zo moet er bijvoorbeeld voor worden gezorgd dat het downloaden en gebruiken van een opsporingsapplicatie echt vrijwillig is en dat geen enkele burger die weigert om er gebruik van te maken, nadeel kan ondervinden (zoals het feit dat hem de toegang tot een goed of dienst wordt ontzegd).
De broncode van elke applicatie zal ook op voorhand moeten worden gepubliceerd, zodat de deskundigen een redelijke termijn krijgen om de werking ervan te controleren. Elke applicatie moet ook worden onderworpen aan een effectbeoordeling voordat deze wordt gelanceerd en, indien uit deze beoordeling blijkt dat er verhoogde risico’s bestaan, moet deze voor advies worden voorgelegd aan het Algemeen Secretariaat van de GBA.
De volksgezondheid is essentieel voor de GBA
Voor de GBA is de volksgezondheid van het grootste belang en het behoud ervan is niet onverenigbaar met het recht op privacy.
David Stevens, Voorzitter van de GBA herhaalt: “Opsporing om de volksgezondheid te beschermen ligt ons zeer nauw aan het hart. Hier raken we aan twee belangrijke prioriteiten van de GBA: gevoelige (medische) gegevens enerzijds en de verwerking van gegevens door de overheid anderzijds.”
De GBA heeft sinds het begin van de coronacrisis hard gewerkt om oplossingen te helpen vinden die doeltreffend zijn tegen COVID-19, maar die tegelijk ook de persoonsgegevens van de burgers met respect behandelen. Naast de deelname aan de Europese reflectie over het onderwerp en het binnen zeer korte termijnen verstrekken van adviezen over ontwerpnormen of effectbeoordelingen, heeft de GBA op haar website ook een dossier gepubliceerd dat volledig gewijd is aan het coronavirus.
Alexandra Jaspar, Directeur van het Kenniscentrum van de GBA, besluit: “De regels inzake gegevensbescherming vormen in principe geen belemmering voor de totstandkoming van een kader dat het gebruik van een opsporingsapplicatie mogelijk maakt. Dit kader moet echter wel een aantal bakens in acht nemen die zijn voorzien in de Algemene Verordening Gegevensbescherming en die nader zijn toegelicht door de verschillende Europese autoriteiten die deel uitmaken van het Europees Comité voor gegevensbescherming.”