De EU trekt ten aanval tegen Covid-19 met een pan-Europese toolbox en richtsnoeren

In de strijd tegen het Covid-19-virus werden al (drastische) maatregelen genomen. Recent zorgt vooral de mogelijke ontwikkeling van zogenaamde Covid-19-gezondheidsapps die gebruik maken van allerlei soorten (persoons)gegevens voor veel discussie, hoewel er nog een gebrek is aan een werkelijk grondig publiek debat. Een belangrijke speler die op het eerste zicht wat lijkt te ontbreken in de strijd tegen de pandemie is de Europese Unie. Er heerst bij velen dan ook een gevoel dat de EU onvoldoende zichtbaar was/is en haar rol niet waarmaakt.

Een survey van het Kenniscentrum Data en Maatschappij toonde alvast aan dat 51% van de respondenten onder strikte voorwaarden een corona- app zou aanvaarden. Het vertrouwen van de respondenten in het delen van hun gegevens verschilt enigszins naargelang ze worden gedeeld met de overheid (50 procent heeft vertrouwen) of met een ziekenhuis (63 procent). Een groep wetenschappers uit 26 landen riep overheden ondertussen op om een decentrale ‘privacy-by-design‘ oplossing te gebruiken voor dergelijke apps. De Belgische Gegevensbeschermingsautoriteit (GBA) herhaalde in dit kader ook al een aantal van haar uitgangspunten. Zo mogen persoonsgegevens enkel verwerkt worden indien dit noodzakelijk is voor het nuttig gebruik van de app. Zo niet, dan mogen aan de gebruiker geen rechtstreeks identificerende gegevens worden gevraagd zoals de naam en voornaam, het e-mailadres, het rijksregisternummer of het gsm-nummer.

En de EU? Guy Verhofstadt riep de Europese Commissie in een vurig betoog op om dringend werk te maken van een herstelplan: ‘What is the European Commission waiting for?‘, klonk het. Toch werden op Europees niveau recent al een aantal maatregelen aangenomen.

De Europese Commissie coördineert bijvoorbeeld de gezamenlijke Europese respons op de uitbraak van de pandemie. Zo beveelt ze een aantal maatregelen aan om tot een gecoördineerde pan-Europese aanpak te komen voor het gebruik van mobiele applicaties en data in de strijd tegen het virus. De Commissie wil samen met de lidstaten een toolbox ontwikkelen om het gebruik van traceringsapps gecoördineerd en in overeenstemming met de regels inzake gegevensbescherming en privacy aan te pakken. Daarom worden ook het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) nauw bij het proces betrokken.

De toolbox is ook bestemd voor het uitstippelen van een gemeenschappelijke aanpak voor het modelleren en voorspellen van de ontwikkeling van het virus door middel van geanonimiseerde en geaggregeerde mobiele locatiegegevens.

Al op 15 april 2020 publiceerde het eHealth Network met steun van de Europese Commissie de toolbox voor het gebruik van mobiele waarschuwings- en traceringapps. De toolbox maakt deel uit van de lopende samenwerking waarbij de lidstaten de komende weken en maanden het gebruik van deze en andere praktische hulpmiddelen willen ontwikkelen. De toolbox biedt een eerste praktische leidraad die de essentiële vereisten voor deze apps bepaalt. Zo moeten ze:

• voldoen aan de EU-regels voor gegevensbescherming en privacy;

• worden ontwikkeld in samenwerking met de nationale gezondheidsinstanties en pas na hun goedkeuring worden geïmplementeerd;

• vrijwillig door gebruikers worden geïnstalleerd en buiten werking worden gesteld zodra ze niet meer nodig zijn;

• gebruikmaken van de meest recente privacy-bevorderende technologie;

• op geanonimiseerde gegevens gebaseerd zijn, dus zonder de identiteit van de besmette personen te onthullen;

• in de hele EU bruikbaar zijn;

• uitgaan van aanvaarde epidemiologische kennis en de best practices op het gebied van cyberbeveiliging weergeven;

• veilig en doeltreffend zijn.

Samen met de toolbox werden op 16 april 2020 ook de richtsnoeren inzake gegevensbescherming voor mobiele gezondheidsapps door de Europese Commissie gepubliceerd. Die bevatten een aantal voorwaarden en vereisten die kunnen worden gebruikt bij de ontwikkeling van de apps, waaronder:

• De naleving van toepasselijke gegevensbeschermingsregels: nationale gezondheidsinstanties kunnen hier een belangrijke rol spelen gelet op de zeer gevoelige gegevens en het uiteindelijke doel van de apps. Deze instanties moeten ervoor zorgen dat bij de verwerking van de verzamelde gegevens de EU-regels voor gegevensbescherming en privacy worden nageleefd en dat gebruikers alle nodige informatie krijgen over de verwerking van hun data;

• Gebruikers behouden volledige zeggenschap over hun persoonsgegevens: installatie van apps moet vrijwillig zijn en de gebruiker moet voor elke afzonderlijke functionaliteit zijn/haar toestemming geven. Nabijheidsgegevens moeten op het toestel van de gebruiker worden bewaard en alleen met toestemming van de gebruiker worden gedeeld;

• Beperkt gebruik van persoonsgegevens: de verwerking van persoonsgegevens moet beperkt blijven tot relevante en voor het doel benodigde gegevens. De Commissie is daarbij van mening dat locatiegegevens niet noodzakelijk zijn voor de tracering van contacten en beveelt dan ook aan dergelijke gegevens in deze context niet te gebruiken;

• Strikte beperkingen voor gegevensopslag: persoonsgegevens mogen niet langer dan nodig worden bewaard. De termijnen moeten onder andere gebaseerd zijn op medische relevantie;

• Beveiliging van de gegevens: de gegevens moeten versleuteld op het toestel van de gebruiker worden opgeslagen;

• Nauwkeurigheid van de verwerkte gegevens: alle persoonsgegevens die worden verwerkt moeten volgens de toepasselijke regels nauwkeurig zijn. Om zo nauwkeurig mogelijke gegevens te verzamelen, moeten technologie zoals bluetooth worden gebruikt om de contacten tussen personen onderling in kaart te brengen;

• De nationale gegevensbeschermingsautoriteiten moeten ten volle worden betrokken bij de ontwikkeling van een app en moeten het gebruik ervan toetsen.

Hoewel de Europese Unie niet steeds zichtbaar is (geweest) in de strijd tegen de pandemie, is ze zich volgens professor Van Hecke aan het herpakken door in te zetten op coördinatie en duidelijke communicatie. Bovendien schetst ze met de richtsnoeren en de betrokkenheid van de EDPB en de EDPS een kader voor lidstaten voor de ontwikkeling van gezondheidsapps. Ook de komende weken en maanden kunnen we nog acties van de EU verwachten om de toolbox verder uit te breiden. De Commissie zal de geboekte vooruitgang vanaf juni 2020 beoordelen, op een periodieke basis verslagen publiceren en aanbevelingen doen voor maatregelen of voor de geleidelijke afschaffing van maatregelen die niet langer nodig zijn.