Nogal wat innovatieve oplossingen voor de aanpak van het coronavirus hebben gevolgen voor onze privacy. Technologie maakt veel mogelijk, maar willen we dat ten koste van die privacy? Juridisch privacy-expert Jeroen Terstegge, partner bij Privacy Management Partners, reageert op vijf issues die nu spelen.
Een app die helpt ‘coronaverkeer’ te traceren is in het nieuws. Gaat de regering daar goed mee om?
“De focus van de discussie ligt op privacy en dan vooral je locatiegegevens en security. Maar privacy is niet het grootste probleem van zo’n app. Bescherming van persoonsgegevens gaat over veel meer.
In het geval van de corona-app zijn stigmatisering en discriminatie een groter risico. Zo’n app dreigt het vertrouwen in elkaar te ondermijnen. Durven wij elkaars nabijheid nog wel te vertrouwen of willen we eerst de appstatus van de ander zien? Hoe gaan wij in de anderhalve-meter-economie om met mensen die volgens hun app een contactrisico vormen en niet in zelfisolatie zijn gegaan? Of met mensen die hun status niet willen laten zien of de app niet op hun telefoon hebben? En met de ruim een miljoen Nederlanders zonder smartphone?
Corona dreigt behalve een medisch probleem ook een maatschappelijk probleem te worden. Stigmatisering en discriminatie van mensen met een ‘vlekje’ zouden weer het nieuwe normaal kunnen worden, zoals eerder bij AIDS, de pest en lepra.
Ik zei al eerder dat onze grootste uitdaging rondom persoonsgegevens is dat wij steeds meer gegevens over onszelf gaan verzamelen. Die app is daar een goed voorbeeld van. De AVG is niet van toepassing op persoonlijk gebruik van persoonsgegevens, zoals je privélijst met telefoonnummers in je telefoon. Een groot deel van de gegevensverwerking in je telefoon door die app zal om diezelfde reden waarschijnlijk niet onder de AVG vallen. En dat betekent dus ook geen toezicht door de Autoriteit Persoonsgegevens.”
Is het niet een kwestie van afwegen: dan maar een onsje minder privacy in ruil voor een onsje meer gezondheid?
Onze grondrechten gelden altijd, zeker ook in tijden van crisis. Zoals de ‘uitvinder van het privacyrecht’ Louis Brandeis in 1928 al zei: ‘We moeten het meest op onze hoede zijn voor aantasting van onze vrijheid als de bedoelingen van de overheid goed zijn’. In tijden van crisis mag de overheid, onder strenge voorwaarden, immers vergaande beperkingen aanbrengen op onze grondrechten.
Hoe groter de crisis, hoe ingrijpender de beperking mag zijn. Dat geldt dus ook voor onze privacy. Maar dan moet de overheid wel aan die strenge voorwaarden voldoen. Zo moet het optreden van de overheid legitiem zijn, al dan niet via een noodwet. Het middel moet effectief en proportioneel zijn. En de maatregelen en hun effecten moeten voorzienbaar zijn voor de burger.
Er is dus geen sprake van privacy óf volksgezondheid. Het is wel ‘bescherming van de volksgezondheid met inachtneming van de regels over inperking van privacy’. Als de overheid onvoldoende oog heeft voor die regels, dan loop je de kans dat de rechter een streep door een maatregel zet. Zoals dat onlangs gebeurde met Syri, een systeem voor het opsporen van fraude.
Over die AVG gesproken, die gaat toch in principe over alle sectoren?
Wat die inperkende maatregelen mogen zijn, kan van sector tot sector en van onderwerp tot onderwerp verschillen. Neem bijvoorbeeld het voorstel van Minister De Jonge over toegang tot elektronische patiëntendossiers zonder expliciete voorafgaande toestemming van de patiënt. Ik heb niet zo’n moeite met dat voorstel. In het gezondheidsrecht kennen we al de figuur van de ‘veronderstelde toestemming’ als het gaat om het delen van medische gegevens met bijvoorbeeld de doktersassistente.
Maar die regel geldt momenteel niet bij het delen met andere artsen die niet bij een specifieke behandeling betrokken zijn. Daarom moet je toestemming geven als een arts in het ziekenhuis in het medische dossier van je huisarts wil kijken.
In dit vak hebben we het vaak over ‘contextuele integriteit’. Dat is een goede maatstaf om te kijken of een inbreuk aanvaardbaar is. Als artsen in tijden van een medische crisis zonder jouw voorafgaande toestemming jouw gegevens met elkaar uitwisselen om jou de beste medische behandeling te kunnen geven, blijft de contextuele integriteit intact. Het is allemaal nodig in het kader van jouw gezondheid.
Die privacyinbreuk is dus minder erg dan als overheden telecomdata gaan verzamelen om lockdowns te controleren. In dat geval wordt de contextuele integriteit immers geschonden. Maar dan moet zo’n regel na de crisis wel weer worden opgeheven. Of als nieuwe uitzondering, maar wel onder strenge voorwaarden, in de wet worden verankerd voor de volgende crisis.
Thuiswerken is aan een enorme opmars bezig. Hoe zit dat met de werkgever die per cameraverbinding een medewerker goed in de gaten wil houden?
Hier heb je weer zo’n voorbeeld dat je vaak niet alleen met de AVG te maken hebt. Zo spelen in dit geval het huisrecht en het arbeidsrecht een deuntje mee. De werkgever is bijvoorbeeld verantwoordelijk voor goede arbeidsomstandigheden, dus ook voor een goede stoel om thuis te werken. Of dat je regelmatig pauze neemt als je met een beeldscherm werkt.
Maar een werkgever mag vanwege het huisrecht niet even bij je langs gaan om te controleren of je die regels wel naleeft. Je thuiswerkende werknemer vragen om de hele dag de webcam aan te zetten kan gewoon niet. Ik krijg nu ook vragen van scholen of ze van studenten mogen eisen om de webcam aan te zetten bij een examen. Dat kan denk ik weer wel.
De onderwijswetgeving lijkt in ieder geval aanknopingspunten te bieden om dit te mogen eisen. Vanwege de transparantie-eis moet dit wel netjes geregeld worden in het examenreglement.
Er zijn meer voorbeelden van wat technisch mogelijk is wat kan botsen met privacywetgeving. Zo is de vraag naar thermische camera’s om de temperatuur van werknemers of bezoekers van een gebouw te registreren naar verluid flink gestegen. Mijn eerste reactie is dan: „Is die camera technisch wel geschikt om waar te nemen dat iemands temperatuur een paar tienden van een graad verhoogd is?”
Qua privacy moet het middel immers geschikt zijn om het doel te bereiken. En kan het doel niet worden bereikt op een manier waarmee de privacyinbreuk kleiner is, zoals mensen zelf hun temperatuur laten meten. Juist bij biometrische systemen, zoals thermische camera’s, moet je van de AVG eerst die vragen stellen.
Het videobellen en -vergaderen middels Zoom roept vragen op. Terecht?
Op papier lijkt Zoom zijn zaakjes qua AVG goed voor elkaar te hebben. Het heeft een standaard verwerkersovereenkomst voor hun zakelijke gebruikers en een, inmiddels flink aangepaste, privacyverklaring. Ook zijn ze geregistreerd onder PrivacyShield voor de gegevensdoorgifte naar de Verenigde Staten.
Maar ook als iets op papier goed is geregeld, dan wil dat niet zeggen dat het in feite ook veilig is. Het ene na het andere privacy- en beveiligingsprobleem kwam afgelopen weken aan het licht. Zo was er een koppeling met Facebook, konden leidinggevenden via Attention Tracking zien of de deelnemers aan de vergadering een ander scherm hadden open staan, hadden gebruikers last van Zoombombing (inbreken op Zoomsessies), bleek de encryptie toch niet end-to-end te zijn, enzovoorts.
Op zich goed dat ze die problemen onmiddellijk oplossen. Maar de hoeveelheid problemen laat zien dat privacy en security bij Zoom niet in hun DNA zit. Voor werkgevers betekent het dat die de apps en apparatuur waar medewerkers mee werken eerst door en door checkt op privacy en security voordat het gebruik ervan wordt toegestaan en in normale omstandigheden gebeurt dat meestal ook. Maar met deze coronacrisis, waar iedereen snel moest schakelen, bleek dat dat soort regels toch als eerste te sneuvelen. De AVG blijft ook in deze crisis onverkort van toepassing.