Kan het gebruik van een corona-app worden verplicht?

Op zaterdag 18 april en zondag 19 april 2020 organiseerde het ministerie van Volksgezondheid, Welzijn en Sport (VWS) een Appathon om de werking van Corona-apps te testen en te verbeteren.

Het is de bedoeling dat deze apps worden ingezet om nieuwe besmettingen te traceren en/of de gezondheidstoestand te rapporteren aan een arts in de regio. ​De Autoriteit Persoonsgegevens reageerde echter kritisch op de inzet van dergelijke apps en zou afgelopen maandag 20 april beoordelen of de apps voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Uiteindelijk heeft de autoriteit doorgegeven niet tot een inhoudelijke beoordeling over te kunnen gaan, omdat het ministerie de kaders voor de apps volgens haar niet duidelijk genoeg had geformuleerd.

Van tevoren is een Privacy Impact Assessment noodzakelijk vanwege privacy risico’s

Wanneer (overheids)organisaties nieuwe technologieën willen gaan inzetten die kunnen leiden tot hoge privacy risico's, wordt van hen verlangd dat zij vooraf een "Privacy Impact Assessment" (PIA) uitvoeren. Dit is met name het geval als op grote schaal bijzondere persoonsgegevens (zoals gezondheidsgegevens) zullen worden verwerkt. Wanneer geen maatregelen worden genomen om het risico te beperken, moet zelfs de Autoriteit Persoonsgegevens hierover worden geraadpleegd. De inzet van corona-apps leidt tot dergelijke hoge privacy risico's. Het uitvoeren van een PIA is in dit geval dus verplicht.

Zonder geldige grondslag mogen geen persoonsgegevens worden verwerkt

Bij de uitvoering van een PIA zal onder andere moeten worden beoordeeld of er sprake is van een geldige grondslag voor de gegevensverwerking. Zonder grondslag mogen er namelijk überhaupt geen persoonsgegevens worden verwerkt. Daarbij komt dat via de corona-app naast gewone persoonsgegevens (o.a. locatiegegevens) ook bijzondere persoonsgegevens (o.a. gezondheidsgegevens) zullen worden verwerkt. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden. In beginsel, dus de AVG biedt wel mogelijkheden voor het verwerken van deze gegevens. Dit is het geval indien er sprake is van een dubbele grondslag.

Toestemming vragen kan natuurlijk altijd...

De grondslag waarop de gegevensverwerking kan plaatsvinden, is op basis van de dubbele grondslag 'toestemming' en 'uitdrukkelijke toestemming'. Hieraan stelt de wet wel enkele eisen. Namelijk dat de toestemming vrijelijk wordt gegeven, voor specifiek geformuleerde doeleinden; dat de betrokkene vooraf wordt geïnformeerd over de wijze waarop de gegevens worden verwerkt en dat de toestemming ondubbelzinnig is gegeven. Dit betekent dat de gebruiker van de corona-app expliciet via een actieve handeling akkoord moet gaan voor de verwerking van zijn gezondheidsgegevens. Dit alles op basis van vrijwilligheid.

Wetgeving noodzakelijk voor verplicht gebruik corona-app zonder toestemming

Een andere grondslag die de AVG biedt, is om de corona-app in te zetten omdat dit noodzakelijk is voor de vervulling van een taak van algemeen belang. Meer in het bijzonder op het gebied van de volksgezondheid. Als voorbeeld noemt de AVG de bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid, oftewel de COVID-19 pandemie. In dit geval zal in een wet moeten worden vastgelegd dat iedereen (verplicht) gebruik moet maken van de corona-app. Toestemming van de betrokkene is in dit geval niet nodig. In dit kader wordt ook wel gesproken over een nationale noodwet waarin dit wordt vastgelegd. De Europese privacytoezichthouder (EDPS) zou daarentegen graag zien dat de inzet van een dergelijke corona-app op Europees niveau wordt geregeld. Kortom, het is nog onduidelijk of het gebruik van een corona-app verplicht wordt gesteld en hoe deze uiteindelijk zal worden ingezet.
_________________
Dit is een artikel van mr. Jessica Hof. Zij is als docent verbonden aan de Hanzehogeschool Groningen en expert op het gebied van Recht & ICT. Verder maakt Jessica deel uit van het lectoraat Juridische Aspecten van Ondernemerschap waar zij participeert in het project Cybersecurity Noord-Nederland. Jessica heeft niet alleen ervaring als onderzoeker bij de Hanzehogeschool Groningen en de Rijksuniversiteit Groningen, maar ook als juridisch adviseur voor overheidsorganisaties en het bedrijfsleven. Door haar veelzijdige ervaring als privacy- en ICT-jurist ligt de nadruk van haar trainingen op de praktische toepassing van het rechtsgebied, waarbij de inhoudelijke diepgang niet uit het oog wordt verloren.

In mei 2020 biedt de Hanzehogeschool Groningen online kennissessies Recht & ICT aan, verzorgd door mr. Jessica Hof. In deze kennissessies leer je de basiskennis over de juridische aspecten binnen ICT. Kijk voor meer informatie op de website van HanzePro.

{{'ShareCounter_Share_Label' | i18n}}:
{{'LastModified_Dateformat' | i18n}} {{vm.newsItem.ModifiedDate | date:'longDate'}}

{{'AttachmentsWidget_Title' | i18n}}