GBA stuurt KB’s voor corona-app terug naar de tekentafel
De Gegevensbeschermingsautoriteit is niet tegen een app en database om coronabesmettingen op te sporen. Maar de twee voorontwerpen die op tafel liggen moeten duidelijker. Voor apps moet de broncode altijd op voorhand worden gepubliceerd.
De Gegevensbeschermingsautoriteit (GBA) werd met spoed geraadpleegd rond twee voorontwerpen van KB’s. Een rond opsporingsapplicaties en een rond een databank om verspreidingen te voorkomen.
In haar advies maakt de privacyregulator een aantal opmerkingen. Zo moet de noodzaak en proportionaliteit van dergelijke apps en een database worden aangetoond en kan het enkel als het het minst ingrijpende middel is om een verspreiding van covid-19 te beperken.
Maar de huidige teksten volstaan niet, ze moeten volgens de GBA verder verduidelijkt worden. Voor de databank moet er bijvoorbeeld meer helderheid komen rond de oorsprong van de verzamelde gegevens en wat derde partijen er mee mogen doen. Ook mogen de gegevens niet voor andere doeleinden worden gebruikt, of gekruisd worden met andere databanken. Of anders gezegd: Een databank met besmette personen mag niet worden gebruikt om na te gaan wie de regels overtrad, of om bijvoorbeeld verzekeringspremies te berekenen.
Broncode openbaar
Voor de applicaties is de Gegevensbeschermingsautoriteit streng. Ze moeten eerst en vooral voldoen aan de regels van het Europees Comité voor gegevensbescherming. Ook moet de app vrijwillig zijn en mag een burger die ze niet gebruikt daar geen nadeel van ondervinden door bijvoorbeeld geen toegang te krijgen tot een dienst of goed.
Elke app die wordt ingezet om contacten van besmette patiënten te traceren moet bovendien haar broncode op voorhand publiceren zodat deskundigen de werking kunnen controleren. Ook moeten ze een effectenbeoordeling ondergaan voor de lancering. Als daar verhoogde risico’s uit komen, dan moet de GBA om advies worden gevraagd.
Daarmee stuurt de Gegevensbeschermingsautoriteit de koninklijke besluiten terug naar de tekentafel. Ze moeten niet noodzakelijk vanaf nul beginnen, maar wel duidelijker worden geformuleerd met enkele aanpassingen.
De GBA merkt tot slot zelf op dat de volksgezondheid essentieel is. Maar dat het behoud daarvan niet onverenigbaar is met het recht op privacy.
“De regels inzake gegevensbescherming vormen in principe geen belemmering voor de totstandkoming van een kader dat het gebruik van een opsporingsapplicatie mogelijk maakt,” zegt Alexandra Jaspar, directeur van het Kenniscentrum van de GBA. “Dit kader moet echter wel een aantal bakens in acht nemen die zijn voorzien in de Algemene Verordening Gegevensbescherming en die nader zijn toegelicht door de verschillende Europese autoriteiten die deel uitmaken van het Europees Comité voor gegevensbescherming.”
Fout opgemerkt of meer nieuws? Meld het hier