“Wij willen allemaal zo graag geloven in een privacybestendige manier om mogelijke coronabesmettingen in kaart te brengen, dat we de ogen dreigen te sluiten voor de werkelijkheid: zolang er geen duidelijk kader is, is er geen garantie voor een aanvaardbaar beschermingsniveau van onze privacy.” Advocaten, gespecialiseerd in mensenrechten, waarschuwen dat niet alleen een corona-app, maar ook handmatig contactonderzoek onze privacy kan schenden.
Opiniebijdrage van Johan Vande Lanotte, Yasmina El Kaddouri en Johan Heymans. Advocaten verbonden aan het kantoor Van Steenbrugge, gespecialiseerd in mensenrechten.
Contactonderzoek, een inbreuk op uw privacy?
De federale regering onderzocht of ze corona-apps kon gebruiken om de contacten van besmette personen op te sporen. Door talrijke ernstige privacybezwaren veranderde ze de afgelopen week het geweer van schouder en zette ze volop in op ‘coronaspeurders’ om besmettingen op te sporen. Weg dus met de technologie. Maar de privacyproblemen verdwijnen niet.
De Gegevensbeschermingsautoriteit, de toezichthouder op de bescherming van de persoonsgegevens in België, trok in spoedadviezen van 28 en 29 april aan de juridische alarmbel over de ‘contact-tracing’-apps. Zij hekelde in de eerste plaats de overhaaste en onduidelijke wijze waarop de regering zulke maatregelen probeerde uit te rollen. Zij maakte zich ook ernstige zorgen over de manier waarop de (delicate) informatie die apps vergaren, zou worden verkregen, beheerd, gedeeld met derden en gekruist met andere databanken.
Onze overheden lijken die zeer terechte bezorgdheden nu te willen ondervangen door de datavergaring in een nieuw jasje te stoppen en de apps in te ruilen voor interviewers. Maar die koerswijziging heeft veel weg van de nieuwe kleren van de keizer, uit het gelijknamige sprookje. Wij willen allemaal zo graag geloven in een privacybestendige manier om mogelijke coronabesmettingen in kaart te brengen, dat we de ogen dreigen te sluiten voor de werkelijkheid: zolang er geen duidelijk kader is, is er geen garantie voor een aanvaardbaar beschermingsniveau van onze privacy.
Te korte opleiding
Bovendien rijzen bijkomende problemen. Wouter Arrazola de Oñate, de longarts die betrokken is bij de opstelling van de vragenlijsten, gaf aan dat zulke bevragingen tot wel een uur kunnen duren en dat het belangrijk is dat ‘mensen met ervaring in beroepsgeheim en privacy’ ze afnemen, gezien het ingrijpende karakter van de vragen. Maar volgens mensen die nauw betrokken zijn bij het dossier, zou een opleiding voor de speurders maar een paar uur duren. Volgens de vacatures die de VDAB heeft gepubliceerd, vereist de functie geen enkele opleiding of zelfs kennis over privacy. Een middelbareschooldiploma volstaat.
De eerste conclusie is duidelijk: we begrijpen dat alles snel moet gaan, maar na de opstart moet er voldoende tijd worden genomen om iedereen grondig op te leiden – in het bijzonder rond privacybescherming.
Een consortium van verschillende callcenters, de consultancyfirma KPMG en vijf ziekenfondsen zullen de bevragingen organiseren. Maar die ziekenfondsen kwamen amper een halfjaar geleden, in oktober, zelf nog in opspraak, omdat zij manifest de privacyregels schonden (DS 10 oktober 2019). Ze deelden informatie over ons surfgedrag met adverteerders. Bij een vervolgonderzoek, twee maanden later, bleek uit een steekproef van de VRT dat die ziekenfondsen nog steeds niet in staat waren hun privacyverplichtingen na te komen.
De tweede conclusie is even duidelijk: de keuze om met externe partners te werken, is begrijpelijk, maar vormt eens te meer een reden om duidelijke regels vast te leggen die de privacy beschermen. Zeker wanneer het om commerciële partners gaat.
Paniekvoetbal
Als mensen niet zeker zijn dat hun privacy veilig is, zullen ze – zeker aan de telefoon – nooit de nodige informatie geven. Alleen met een stevige privacybescherming kan deze ingrijpende operatie een succes worden. Contact tracing mag dan wel dringend nodig zijn, er is eerst een helder kader nodig. Andere Europese landen, zoals Oostenrijk en Zwitserland, hebben dat al uitgewerkt.
De regering heeft alle mogelijkheden om zo’n kader vast te leggen via de uitgebreide volmachten. Het is aangewezen om het na enkele weken al grondig te evalueren, samen met de Gegevensbeschermingsautoriteit, en om uiteindelijk het parlement toe te laten een definitief wettelijk kader uit te werken. Anders krijgen we een soort van paniekvoetbal. Het doet denken aan hoe in 2016, vlak na de terroristische aanslagen in Brussel, eveneens gebrekkige regelgeving in ijltempo door het parlement is gejaagd. Jaren later blijven die regels grote problemen veroorzaken. Het besef daagt dat we in het heetst van de strijd wellicht te snel belangrijke mensenrechtelijke principes op de helling hebben gezet.
Ook vandaag dreigen we op het altaar van de pandemiebestrijding offers te brengen die niet weloverwogen zijn.