JavaScript is required for this website to work.
Binnenland

Is privacy een killervirus ?

Nood aan pragmatische aanpak voor contact tracing

Ronny Vidts26/7/2020Leestijd 5 minuten
Voor het hele contact tracing app-verhaal is er nog heel wat werk aan de
(wetgevende) winkel. Als men het beoogde doel kan bereiken met
bluetoothtechnologie, dan hoeft men niet iedereen systematisch 24/7 te gaan
achtervolgen met GPS-technologie.

Voor het hele contact tracing app-verhaal is er nog heel wat werk aan de (wetgevende) winkel. Als men het beoogde doel kan bereiken met bluetoothtechnologie, dan hoeft men niet iedereen systematisch 24/7 te gaan achtervolgen met GPS-technologie.

foto © Flickr / Marco Verch / CC 2.0 Generic (CC BY 2.0)

We geven hier meer achtergrond over de oorzaak van falende ‘contact tracing’ en de toename van coronabesmettingen, nl. privacy en de GDPR.

Aangeboden door de abonnees van Doorbraak

Dit gratis artikel wordt u aangeboden door onze betalende abonnees. Als abonnee kan u ook alle plus-artikelen lezen. Doorbreek de bubbel vanaf €4.99/maand.

Ik neem ook een abonnement

De voorbije weken kregen we steeds te horen dat we corona maar niet onder controle krijgen omdat de zogenaamde ‘contact tracing’ voor geen meter werkt. Die contact tracing werd maanden geleden in het leven geroepen. Het doel is in kaart te brengen met wie een covid-19-patiënt in contact is gekomen. En wie hij of zij dus mogelijk heeft besmet.

Contact tracers van de ziekenfondsen?

Bij aanvang berichtte onder andere De Standaard erover dat de overheid, na eerdere gesprekken met commerciële partners, besliste het lucratieve monstercontract voor contact tracing aan de ziekenfondsen te gunnen. Deze hadden naar eigen zeggen namelijk ervaring en beschikten over patiëntgegevens.

De ziekenfondsen waren merkelijk duurder dan de kandidaat-partners uit de privésector. Desondanks werd ook in Vlaanderen (onder druk van Wallonië en Brussel) gekozen voor het financieel in de watten leggen van de ziekenfondsen. Voor Vlaanderen alleen al zou het om 1.200 contact tracers gaan. Initieel rekenden de ziekenfondsen € 526,27 per contact tracer per dag. Die prijzen zijn later weliswaar wat naar beneden onderhandeld. Als we Marc Van Ranst mogen geloven, zitten die contact tracers heel de werkdag duimendraaiend Netflix te kijken.

Gevoelige gegevens

Om zo efficiënt mogelijk te kunnen werken, wil men al deze informatie centraliseren in een databank. Het spreekt voor zich dat de verzamelde informatie heel wat gevoelige informatie bevat, zoals medische gegevens. Al snel bleek echter dat de ziekenfondsen niet over de vereiste rechten en toestemmingen beschikken om die patiëntgegevens te gebruiken of te verwerken.

Het is duidelijk dat ze voor hun beurt gesproken hebben toen ze zich sterk maakten over die medische gegevens te kunnen beschikken. Net die gegevens maken immers het voorwerp uit van bijzondere bescherming en specifieke toestemming. Daarbij botsten ze onmiddellijk op de General Data Protection Regulation (GDPR). De vraag rees of alles daar wel mee in overeenstemming gebeurde.

Doodt GDPR de contact tracing?

Op Europees niveau was men van mening dat de privacywetgeving in alle Europese lidstaten geharmoniseerd diende te worden. Daartoe vaardigden het Europees Parlement en de Raad Verordening (EU) 2016/679 van 27 april 2016 uit. Die regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In België zou de Gegevensbeschermingsautoriteit (GBA), opgericht door de wet van 3 december 2017, daarop toezien.

Tot op heden heeft die hele GDPR echter vooral haar nut bewezen als geldkoe voor de IT-industrie die menig bedrijf op kosten heeft gejaagd. Je kan het enkel vergelijken met de zogenaamde ‘millenniumbug‘ in aanloop naar het jaar 2000. In navolging van de inwerkingtreding van de nieuwe privacyregels, hebben gelukkig ook heel wat ondernemingen bijkomende technische beveiligingsmaatregelen genomen om hun gegevens en netwerk beter te beschermen.

Plots activisme bij de Gegevensbeschermingsautoriteit

Na een valse start wegens (politieke) benoemingsproblemen en een sluimerend ontwaken, heeft die GBA zich sedert de coronacrisis overigens van haar meest actieve kant laten zien. Zij heeft beslissingen ten gronde genomen in hangende dossiers. De meest opvallende daarbij zijn de veroordelingen van DKV en Proximus, beiden tot betaling van een geldboete van € 50.000.

DKV werd veroordeeld voor een gebrek aan transparantie in de privacyverklaring. De verwerking van medische gegevens is namelijk onderworpen aan zeer strikte regelgeving. Het gaat immers om een bijzondere categorie van persoonsgegevens. Proximus daarentegen kreeg een boete vanwege het gebrek aan onafhankelijkheid van de DPO (functionaris voor gegevensverwerking). Die mag de job niet cumuleren met de functie van interne auditor.

Als klap op de vuurpijl heeft de GBA Google Belgium deze maand een boete van € 600.000 opgelegd. Dit voor het niet naleven van het recht van een Franstalige landgenoot om vergeten te worden. Google had namelijk zijn verzoek afgewezen om verouderde artikelen die zijn reputatie schaadden, uit de zoekresultaten te verwijderen. Tot op vandaag is dit de hoogste boete die de GBA ooit heeft opgelegd.

Contact tracing app voldoet niet aan voorwaarden

Zeer recent heeft de GBA een vernietigend advies gegeven over het wetsvoorstel dat het juridisch kader schept inzake contact tracing. Zij stelt dat het wetsvoorstel vaag en slecht leesbaar is. Dat er te veel en overbodige data worden verzameld. Dat er aan artsen gevraagd wordt hun beroepsgeheim te schenden. En vooral dat het onvoldoende formuleert waarom het nodig is bijzonder privacygevoelige persoonlijke data in een grote gecentraliseerde databank te verzamelen.

Ongeveer gelijktijdig oordeelde de Raad van State dat ook het wetsvoorstel voor de invoering en het gebruik van een contact tracing app allesbehalve voldeed.

Voor het hele contact tracing app-verhaal is er dus ook nog heel wat werk aan de (wetgevende) winkel. Als men het beoogde doel kan bereiken met bluetoothtechnologie (waarbij de contacten tussen de toestellen van betrokkenen worden opgeslagen), dan hoeft men niet iedereen systematisch 24/7 te gaan achtervolgen met GPS-technologie (via satelliet).

Het geheim zit in de proportionaliteit

Het klopt dat de call center managers en de informatici van de ziekenfondsen het gewoon zijn om scripts te volgen en regels rigoureus na te leven. Wanneer die mensen dan te horen krijgen dat ze geen medische gegevens mogen opvragen omwille van GDPR, klappen ze dicht, natuurlijk. Nochtans heeft de GBA nergens gesteld dat contact tracing niet kan. Ze hebben hoogstens wat meer onduidelijkheid gecreëerd. Iets waar menig in tijdsnood verkerende verantwoordelijke maar al te dankbaar gebruik van maakt om z’n eigen vertraging te maskeren. Een GBA dient te stellen dat de verantwoordelijke steeds moet kiezen voor de minst invasieve weg. Namelijk de manier van data-opsporing en -verwerking die het minst impact heeft op de privacy van de betrokkenen.

Het is dan net de taak van de overheid om voldoende sturing te geven. Om duidelijk aan te geven dat de GDPR slechts een instrument is in de bestaande regelgeving. En dat men telkens een belangenafweging moet maken. Wat is het belangrijkste: de volksgezondheid of de individuele bescherming van medische gegevens? Zolang er voldoende garanties worden ingebouwd om te beletten dat die gegevens verspreid worden of langer dan nodig bewaard, dienen ze uiteraard opgevraagd en verwerkt te worden. Een afweging die, toegegeven, in terrorismedossiers soms ook mank loopt. Wanneer het erop aankomt de bevolking te beschermen tegen gevaarlijke terroristen. Vaak blijken hun individuele rechten zwaarder door te wegen dan de veiligheid van de omwonenden. Een gerechtvaardigd belang kan zijn: de volksgezondheid, de economie, de veiligheid…

Corona, terrorisme en (drugs)criminaliteit

Ook hier zien we dat overdreven ‘regulitis’, politieke correctheid en gebrek aan politieke moed eerder de oplossing van de problemen in de weg staan dan daadwerkelijk een verbetering van de situatie van de slachtoffers te betekenen. Hoe kan men een dader efficiënt opsporen als de politie of de pers de achtergrond, religieuze opvattingen, huidskleur… van de dader niet mag mededelen? Zelfs niet in een opsporingsbericht? Het siert Bart De Wever dan ook dat hij niet bezwijkt voor politieke vooroordelen. Dat hij de politieke moed toont om, inspelend op lokale noden, potentiële coronabroeihaarden zoals de waterpijp te verbieden.

De wetgeving juist interpreteren en problemen correct benoemen. Ook in BLM-tijden. Dat zal een grotere stap zijn naar de bescherming van de volksgezondheid dan de amateuristische contact tracing. Natuurlijk hebben we te maken met ongekende problemen en onvoorziene toestanden. Uiteraard is er nog geen wet die voorschrijft hoe en in welke gevallen een café-uitbater een aanwezigheidsregister mag bijhouden. Wie dat nodig vindt, zal gedoemd zijn om eeuwig mijlenver achter de feiten te blijven aanhollen. Uiteraard is het makkelijker om steeds te zeggen: Dat zal snel door de Raad van State vernietigd worden, dat zal de toets van de GBA niet doorstaan…

Een specialist in dergelijke houding is federaal minister Denis Ducarme (MR). Die vond het destijds ook nodig de noodzakelijke aanpak van fraude met sociale woningen in Antwerpen in de voet te schieten door te verwijzen naar privacyregels.

Om deze problemen het hoofd te bieden is het dus aangewezen om pragmatische mensen in te zetten die vanuit een correcte interpretatie van de wetgeving onverwijld in staat zijn een belangenafweging te maken om een oplossing uit te werken voor een onverwacht probleem. Heb ik iets gemist of is het niet net daarvoor dat er ministers zijn ?

Ronny Vidts (1972) is master in de rechten en internationaal actief als freelance consultant en manager voor innovatieve bedrijven.

Meer van Ronny Vidts
Commentaren en reacties