Datum: 30 maart 2020
Gewijzigd 14 november 2023
Geschreven door: Annemarie van Woudenberg
Leestijd: +/- 2 minuten
Momenteel wordt ieders leven beheerst door het corona-virus. Afgelopen week kondigde de regering opnieuw maatregelen aan in een poging de verspreiding van het corona-virus in te dammen en inmiddels wordt van verschillende kanten het idee opgeworpen om telecomgegevens te gaan verzamelen.
Deze roep komt voort uit het succesvolle beleid van onder andere Taiwan, Singapore en Hong Kong. Zij hebben, met beperktere maatregelen dan bijvoorbeeld China, de verspreiding van het virus weten te bedwingen. Zo hebben ze vroegtijdig medische grenscontroles uitgevoerd voor vluchten die uit besmette gebieden kwamen en houden ze koortscontroles bij de ingang van publieke gebouwen. Daarnaast verzamelen ze big data waarmee ze op individueel niveau besmette personen kunnen volgen en zo de gebieden waar zij geweest zijn in kaart kunnen brengen.
Aziatische landen zijn echter niet de enige die gebruik maken van telefoongegevens in een poging het corona-virus te bestrijden. Ook in Europa wordt hier gebruik van gemaakt. Zo meldde Reuters dat Italië, Duitsland en Oostenrijk deze gegevens samen met locatiegegevens van gebruikers doorgeven aan volksgezondheidsfunctionarissen. Ondertussen hebben de Europese Commissie en de European Data Protection Supervisor (de Europese toezichthouder voor gegevensbescherming) grote Europese telecombedrijven opgeroepen ook dergelijke data te delen met overheden, zodat de verspreiding van het virus en plaatsen waar massa’s bijeen komen in kaart kunnen worden gebracht.
De Autoriteit Persoonsgegevens heeft laten weten nog geen verzoeken tot het delen van telecomgegevens te hebben ontvangen. Het is echter denkbaar dat dit niet lang meer op zich laat wachten. Stel dat zij een verzoek ontvangt, is het dan wettelijk geoorloofd dit verzoek te honoreren?
In Europa geldt de e-Privacy Richtlijn die in Nederland omgezet is in de Telecommunicatiewet (hierna: Tw). Hierin is onder andere geregeld wanneer en onder welke voorwaarden elektronische persoonsgegevens mogen worden verwerkt.
De bedoeling van de Europese Commissie is dat locatiegegevens verzameld worden. Met locatiegegevens wordt bedoeld gegevens die worden verwerkt in een openbaar communicatienetwerk waarmee de geografische positie van de apparatuur wordt aangegeven.[1] Over deze locatiegegevens bepaalt de Tw dat het verboden is deze te verwerken, tenzij de gegevens zijn geanonimiseerd of de betreffende gebruiker toestemming heeft gegeven voor de verwerking van de gegevens ten behoeve van de levering van een dienst met toegevoegde waarde.[2]
Hiernaast regelt de Tw een uitzondering op het verwerkingsverbod wanneer de verwerking noodzakelijk is in het belang van de nationale veiligheid of ter voorkoming, opsporing en vervolging van strafbare feiten.[3]
In principe geldt dus een verwerkingsverbod voor locatiegegevens, tenzij sprake is van een van de genoemde uitzonderingen in de Tw. Op de eerste plaats is in het geval van het corona-virus natuurlijk geen sprake van een dienst met toegevoegde waarde die geleverd wordt. Ook gaat het niet om de voorkoming, opsporing of vervolging van strafbare feiten.
Hoewel op het eerste gezicht de uitzondering ten behoeve van de nationale veiligheid een grondslag lijkt te bieden, is ook dit vermoedelijk niet het geval. Met nationale veiligheid wordt namelijk niet gedoeld op de volksgezondheid, maar op sectoren als energie, drinkwater en de openbare orde.
Er rest daardoor slechts één mogelijke grondslag: de anonimisering van de locatiegegevens.
Brussel is ervan overtuigd dat het verwerken van locatiegegevens geen probleem oplevert met de privacy van gebruikers, omdat de gegevens geaggregeerd zijn. Dit wil zeggen dat gegevens bij elkaar geteld worden en niet gekeken wordt naar de data van individuen. Het idee is dat gemonitord kan worden op welke plaatsen massa’s mensen bij elkaar komen, zodat dit aangepakt kan worden en het verspreidingsrisico beperkt wordt. De vraag is alleen of dit doel de middelen heiligt.
Er zijn zeker voordelen te bedenken voor het verzamelen van deze data. Het perfecte voorbeeld is Taiwan. Daar is op grote schaal gegevens verzameld en het heeft gewerkt: er zijn bijna geen besmettingen met het virus. Toch ben ik sceptisch over het toepassen van deze maatregel. Ondanks dat Brussel ervan overtuigd is dat de data geaggregeerd is en niet herleidbaar is tot individuen, kan ik me dat moeilijk voorstellen. Het lijkt mij dat alle gebruikers op een zekere, wellicht minimale, manier gevolgd moeten worden om te kunnen constateren dat ergens veel personen bij elkaar komen. Op die manier wordt het uiteindelijk toch vrij makkelijk de gegevens te herleiden naar individuele personen. Aan de hand van routes die een bepaald apparaat regelmatig aflegt of locaties waarop een apparaat zich op bepaalde tijden bevindt, kan met gemak een individu aangewezen worden. Mocht het daadwerkelijk mogelijk zijn deze locatiegegevens volledig te anonimiseren en écht niet te herleiden zijn op wie de gegevens betrekking hebben, dan kun je je alsnog afvragen of het gewenst en noodzakelijk is om deze gegevens te verwerken.
Het risico bestaat dat als deze maatregel wordt ingevoerd, deze niet spoedig teruggedraaid zal worden wanneer de crisis voorbij is. Als eenmaal deze privacy-grens overschreden is, wordt het makkelijker deze maatregel in stand te houden of later opnieuw, voor kleinere problemen, deze grens te overschrijden.
Als laatste vraag ik mij af in hoeverre het verzamelen van deze gegevens noodzakelijk is en daadwerkelijk gaat helpen in de strijd tegen het corona-virus. In de genoemde Aziatische landen was deze methode succesvol, omdat het op individueel niveau werd toegepast. Er werd precies bekeken wie, waar, wanneer is geweest. Wanneer iemand in een besmet gebied was geweest, werd deze persoon de volgende dagen in de gaten gehouden voor het geval hij ziek werd. Daarnaast werden mensen die in zelfquarantaine zaten, gecontroleerd aan de hand van een app. Zo werd direct opgemerkt of iemand zich niet aan de quarantaine hield en naar buiten ging. Deze intense controle van besmette individuen heeft er in Azië dus toe geleid dat het virus zich niet veel heeft kunnen verspreiden.
Het probleem is echter, dat in Nederland en de rest van Europa het virus zich al goed verspreid heeft. Er is dus in die zin geen sprake meer van een mogelijkheid om het virus in te dammen, zoals onder andere Taiwan dat heeft gedaan. De vraag is dus of de European Data Protection Supervisor niet te laat is met het voorstel om locatiegegevens te verwerken in de strijd tegen het corona-virus. Het enige wat aan de hand van de locatiegegevens in Nederland nog gedaan zou kunnen worden, is vaststellen waar op welke tijden zich massa’s mensen bevinden. Toegegeven, dit is het doel dat Brussel erbij heeft, maar is het daarvoor nodig om locatiegegevens te verzamelen en dus een inbreuk te maken op de privacy? Volgens mij zijn er andere manieren om vast te stellen op welke plaatsen zich massa’s personen bevinden. Dat dit kan, is vorig weekend bewezen toen werd vastgesteld dat veel te veel mensen naar het strand en het bos trokken. Afgelopen weekend kwam de update dat het op die plekken aanzienlijk rustiger was dan het weekend daarvoor.
Concluderend biedt de Tw dus de mogelijkheid geanonimiseerde locatiegegevens te verwerken in de strijd tegen het corona-virus en zou de Autoriteit Persoonsgegevens een verzoek tot delen van deze gegevens mogen honoreren. We moeten onszelf echter afvragen in hoeverre dit daadwerkelijk geanonimiseerd kan worden en gaat bijdragen aan het beperken van de verspreiding van het virus. Wat mij betreft, lijkt het niet gewenst of noodzakelijk om deze gegevens te verwerken en kan de overheid beter op zoek gaan naar andere maatregelen die geen inbreuk maken op de privacy.
[1] Artikel 11.1 sub d Tw.
[2] Artikel 11.5a lid 1 Tw.
[3] Artikel 11.13 lid 1 Tw.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.