N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
De corona app
Nieuwsberichten over de corona app, waarmee minister Hugo de Jonge het testbeleid omtrent het coronavirus wil ondersteunen, kunnen ons niet zijn ontgaan. Een aantal partijen is uitgenodigd om in het weekend van 18 en 19 april, in een een appathon, voorstellen voor een app te presenteren. Van deze zeven voorgestelde apps voldeed volgens de Autoriteit Persoonsgegevens, de landsadvocaat en verschillende privacyorganisaties geen enkele aan de privacy eisen. De korte voorbereidingstijd en onduidelijkheid over de voorwaarden zijn hier deels een oorzaak van. Maar mag de overheid dit wel zomaar doen? En kan een dergelijke app überhaupt voldoen aan privacywetgeving?
Inzoomend op de Algemene verordening gegevensbescherming, valt op dat een beoordeling van de rechtmatigheid van de app uiteen valt in twee stappen. Ten eerste de vraag naar de rechtmatige grondslag ervan. Dit gaat over de bevoegdheidsgrondslag om persoonsgegevens te verwerken. De tweede stap is die van de materiële rechtmatigheid van de app; voldoet de app aan de inhoudelijke beginselen van gegevensverwerking.
Voor de eerste stap, de rechtmatige grondslag, bepaalt de Algemene verordening gegevensbescherming dat het gebruiken van persoonsgegevens alleen toegestaan is, als een van de in de AVG opgesomde grondslagen van toepassing is. Vaak wordt bij het gebruiken van apps gebruik gemaakt van toestemming, die de gebruiker geeft bij het installeren van de app. Het kenmerk van de corona app is echter dat deze app juist werkt door het bijhouden van bluetooth gegevens van iedereen die de gebruiker tegengekomen is. En deze mensen hebben mogelijk helemaal geen toestemming gegeven voor het opslaan van hun data op de telefoon van de gebruiker, of in een centrale database. Wil de app dan ook een rechtmatige grondslag hebben, dan moet daarvoor een andere grondslag gevonden worden. Er kan ook sprake zijn van een rechtmatige grondslag uit de AVG als sprake is van een wettelijke verplichting, of als de app nodig is om een taak van algemeen belang te behartigen.
Wat de grondslag van een wettelijke verplichting betreft kunnen we vooropstellen dat de overheid veel mag. Een gebrek aan wettelijke grondslag is immers op te lossen door een wet voor te stellen en deze aangenomen te zien worden. Op dit moment is er echter geen wet die voorziet in een specifieke wettelijke verplichting om gebruik te maken van een corona app. Het is echter duidelijk dat de bestrijding van besmettelijke infectieziekten een zwaarwegende taak van algemeen belang is. Dit kan ook een grondslag vormen voor gebruik van data. De AVG vereist dat als deze grondslag toegepast wordt, de taak van algemeen belang in een wet is vastgelegd. Zo’n wet hebben we. In de Wet publieke gezondheid wordt de minister van Volksgezondheid, Welzijn en Sport opgedragen om de kwaliteit en doelmatigheid van de publieke gezondheidszorg te bevorderen, en zorg te dragen voor de instandhouding en verbetering van de landelijke ondersteuningsstructuur ervan. Dit is heel breed geformuleerd en er kan veel onder vallen, maar we kunnen ons voorstellen dat een app hierbij inderdaad kan helpen, en hiermee is de rechtmatige grondslag gevonden. Daarbij voorziet de AVG ook speciale uitzonderingen voor het gebruiken van gezondheidsgegevens met als doel de preventie of bestrijding van overdraagbare ziekten, dus dat dit een doel is waarvoor persoonsgegevens verwerkt kunnen worden is duidelijk.
Maar verder vereist de AVG dat de verwerking ook noodzakelijk moet zijn om dit doel van algemeen belang te bereiken. Dat is een lastigere vraag, want een antwoord hierop vergt een specifieke belangenafweging. We willen de ondersteuningsstructuur van de publieke gezondheidszorg in stand houden en verbeteren, meer specifiek door het ondersteunen van het testbeleid en daardoor een afname van het risico op besmettingen. Dit belang wordt afgewogen tegen de inbreuk die de app maakt op de persoonlijke levenssfeer van mensen. In die afweging spelen een aantal vragen een rol. Bijvoorbeeld de vraag of de app het enige geschikte middel is. Kan het doel ook op een andere wijze bereikt worden? Is deze inbreuk strikt noodzakelijk om het doel te bereiken? En als we gebruik gaan maken van de app, is de inbreuk op de persoonlijke levenssfeer die de app maakt, dan zo klein mogelijk? Hierbij spelen de wijze waarop de app werkt en de technische specificaties ervan een grote rol.
Ten tweede moet de app ook aan de meer materiële normen uit de AVG voldoen. Dat betekent dat er niet meer gegevens dan nodig mogen worden verzameld, dat de gegevens niet voor een ander doel gebruikt mogen worden, dat de gegevens juist moeten zijn en heel goed beveiligd moeten worden. De AVG geeft hiervoor niet strikte en duidelijke regels en dat maakt het beoordelen van de rechtmatigheid van de corona app niet eenvoudig. Een antwoord hangt af van veel factoren, als hoe de app is ingericht, welke data verzameld worden, wie toegang krijgt tot de data. Maar als we nu al weten dat de app te weinig gebruikt zal worden om effectief te zijn, of dat andere, minder privacyschendende maatregelen ook goed werken, dan kunnen we vaststellen dat de app niet noodzakelijk is om het doel te bereiken. Daarbij geldt ook dat we zeker moeten weten dat er voldoende testcapaciteit moet zijn. Bij onvoldoende testen leidt het gebruiken van de app ook niet tot het bereiken van het doel. En als we met het gebruiken van de app het doel niet bereiken, is de app daardoor ook onrechtmatig. Een opdracht geven tot snel een app ontwerpen leidt daarom tot het ontwerpen van een app die niet aan de eisen voldoet.
Aline Klingenberg is Universitair Hoofddocent IT-recht aan de Rijksuniversiteit Groningen.