De Europese Commissie (EC) heeft telecombedrijven gevraagd metadata van mobiele telefoons van miljoenen Europeanen te delen om corona beter te kunnen bestrijden. Ze wil de data gebruiken om de verspreiding van het virus te monitoren. Een opmerkelijke stap voor de Commissie, die nog geen twee jaar geleden van Europa een ‘privacyparadijs’ maakte. 

Het initiatief doet sterk denken aan de surveillancetechnologie in China. Chinese telecombedrijven volgen de beweging van hun mobiele klanten op de voet en apps bepalen of je gezond genoeg bent om publieke ruimtes te betreden. Europa en de Nederlandse overheid moeten terughoudend zijn met dit soort initiatieven. Privacy is een mensenrecht, óók in tijden van de coronacrisis.

Op grond van de metadata die de telecombedrijven moeten gaan leveren, kan een nationale lidstaat bijvoorbeeld bepalen of inwoners zich houden aan de opgelegde coronamaatregelen. Met de maatregelen die Nederland heeft genomen, zijn dergelijke data ook voor onze overheid relevant. Op dit moment worden in veel Europese lidstaten al locatiegegevens door telecomaanbieders gedeeld. Is dat ook in Nederland toegestaan?

Algemeen belang

Op grond van de Algemene Verordening Gegevensbescherming (AVG) geldt de hoofdregel dat geen (medische) gegevens van een inwoner mogen worden gedeeld zonder toestemming. Een uitzondering hierop is wanneer dit noodzakelijk is om redenen van algemeen belang, waaronder de volksgezondheid. Dit moet dan wel voorgeschreven zijn in specifieke wet- en regelgeving. 

In Nederland geldt bijvoorbeeld de Wet publieke gezondheid als grondslag voor gegevensverwerking bij een crisissituatie, zoals de coronacrisis. Recentelijk heeft de wetgever hieraan een spoedregeling toegevoegd waardoor artsen van de GGD en het RIVM (contact)onderzoek kunnen doen. Deze wetgeving biedt echter geen grondslag voor monitoring door de overheid op basis van locatiegegevens.

Voor het gebruik van locatiegegevens van mobiele telefoons is naast de AVG ook de ePrivacy-richtlijn van belang. De Europese toezichthouder op persoonsgegevens EDPB heeft recentelijk met het oog op de coronacrisis benadrukt dat locatiegegevens alleen met toestemming van een betrokkene of geanonimiseerd mogen worden gedeeld. 

Hoewel de EC benadrukt dat het in haar voorstel gaat om geanonimiseerde metadata, wordt hieraan door deskundigen getwijfeld. In dat geval kunnen telecomaanbieders alleen meewerken aan het verzoek van de EC als zij uitdrukkelijk toestemming hebben gekregen van hun klanten.

Los van deze juridische aspecten, is er ook het risico op beveiligingslekken waardoor kwetsbare informatie op straat komt te liggen. Zo kan bijvoorbeeld bekend worden wie besmet is, wat kan leiden tot stigmatisering en discriminatie. Ook accepteren inwoners vrijheidsbeperkingen sneller in tijden van crisis. Zelfs privacyactivisten vinden ‘tijdelijk minder privacy’ niet altijd erg. Maar is het wel tijdelijk? Crises uit het verleden laten zien dat de overheid verworvensurveillancebevoegdheden na afloop van de crisis niet snel zal loslaten.

Proportioneel

Het recht op privacy is niet absoluut en mag beperkt worden, zeker in tijden van gezondheidscrises. De AVG en de Wet publieke gezondheid bieden hierook de mogelijkheid toe. Dat betekent echter niet dat we het mensenrecht opprivacy volledig uit het oog mogen verliezen. Als Nederland ingaat op het verzoek van de EC moeten er daarom voldoende privacywaarborgeningebouwd worden.

Dat betekent in ieder geval dat er een duidelijke wettelijke basis moet zijn enhet tijdelijke karakter van de maatregelen moeten worden gewaarborgd.Daarnaast moet er een bewezen noodzaak voor de bescherming van de volksgezondheid aanwezig zijn. Dat laatste betekent ook dat de dataverzameling proportioneel moet zijn, het moet in verhouding staan tot het doel.

Wanneer is het inperken van privacy proportioneel aan de bescherming vande volksgezondheid? Dat is moeilijk te zeggen: de (Europese) rechter heeftzich hier nooit over uitgesproken. Wél zijn er talloze voorbeelden vanongerechtvaardigde privacybeperkingen in het licht van nationale veiligheid en terrorisme. Hieruit blijkt: in het geval van privacy breekt nood lang niet altijd wet.

Er is altijd een grondslag vereist en mensenrechtenwaarborgen gelden ook voor (potentiële) terroristen. Dat betekent onder meer het informeren vanbetrokkenen over verwerking van hun gegevens en procedures voorrectificatie of verwijdering van persoonsgegevens. Maar ook beperkte bewaartermijnen, expliciete doelbinding en goede beveiliging. Overheid, ga niet zomaar over tot massasurveillance van potentiële zieken, maar bescherm ieders privacy.

Bekijk het hele artikel in het FD