Op 25 mei 2018 is de Algemene verordening gegevensbescherming (hierna: 'AVG') in werking getreden. Vanaf dat moment is de rechtmatigheid van het verwerken van persoonsgegevens binnen de Europese Unie geharmoniseerd. Het recht op bescherming van persoonsgegevens, een belangrijk onderdeel van het mensenrecht op privacy, is daarmee een van de weinige mensenrechten dat ook Europeesrechtelijk is uitgewerkt. Het doel van de AVG is om iedere Unieburger een hoog en gelijkwaardig niveau van gegevensbescherming te bieden. De wirwar aan mobiele corona-apps die sinds maart 2020 als paddenstoelen uit de grond schieten laat echter zien dat Europese lidstaten niet altijd dezelfde betekenis van het begrip 'privacy' hanteren. Het is dus de vraag of de AVG – óók in tijden van de coronacrisis – in heel Europa een consistent beschermingsniveau kan waarborgen. Deze vraag zullen wij hieronder beantwoorden.
Het recht op privacy en gegevensbescherming is momenteel erg actueel. Zo oordeelde de Rechtbank Den Haag bijvoorbeeld recentelijk nog dat het 'fraudeopsporingssysteem' genaamd SyRI in strijd is met het Europees Verdrag voor de Rechten van de Mens (hierna: 'EVRM'), waarin het recht op privacy onder andere is vastgelegd.1 Allereerst is relevant dat uit de rechtspraak volgt dat de AVG in overeenstemming met artikel 8 EVRM dient te worden uitgelegd.2 In lijn met voornoemde uitspraak over SyRI zou in dat geval terughoudendheid van lidstaten worden verwacht bij een beroep van een lidstaat op een rechtvaardigingsgrond c.q. uitzonderingsgrond, ook onder de AVG. In coronatijd lijkt dat vooralsnog niet het geval en worden de bepalingen uit de AVG al snel door lidstaten terzijde geschoven. Door bepaalde lidstaten worden zelfs mobiele applicaties ontwikkeld die fors inbreuk maken op het recht van privacy van haar inwoners. Deze apps verschillen sterk per lidstaat en een geharmoniseerde aanpak op Europees niveau ontbreekt tot dusver.
Een voorbeeld van een Europese corona-app is de Poolse thuisquarantaine-app ‘Kwarantanna domowa’. Poolse burgers in verplichte thuisquarantaine (14 dagen, na thuiskomst uit het buitenland of na contact met een coronapatiënt) konden kiezen tussen het downloaden van deze app en onverwacht politiebezoek om te checken of ze inderdaad thuisbleven. De app vraagt op willekeurige momenten om een selfie. Deze selfie wordt gedeeld met de autoriteiten en vervolgens wordt door middel van facial recognition en locatiedata gecontroleerd of de gebruiker inderdaad thuis is. Als dit niet zo blijkt te zijn, of als de gebruiker niet binnen twintig minuten reageert, wordt de politie gealarmeerd.3 Het moge duidelijk zijn dat deze app grote impact heeft op de privacy van gebruikers.
Het is twijfelachtig of de Poolse app de toets van de AVG zou doorstaan. Hoewel de AVG voorziet in een uitzonderingsbepaling voor situaties zoals de coronacrisis, gelden de gegevensbeschermingsprincipes van de AVG onverkort. Ook in tijden van crisis moet voldaan zijn aan de eisen van proportionaliteit en subsidiariteit. Dit betekent onder meer dat alleen die persoonsgegevens verwerkt mogen worden die noodzakelijk zijn voor het bereiken van het doel, dat de gegevens niet onnodig lang bewaard mogen worden, en dat de beveiliging op orde moet zijn. De Poolse app verzamelt weliswaar informatie met het doel de quarantaine te waarborgen, de persoonsgegevens die zij hiervoor opvraagt (zoals selfies) gaan waarschijnlijk een stap te ver. De app lijkt kortom niet te voldoen aan de eisen van proportionaliteit en subsidiariteit.
Hoewel in het heetst van de coronastrijd in Nederland werd gesproken over het gebruiken van telecomdata en er met spoed een ‘appathon’ werd georganiseerd, zijn we in Nederland nog niet zo ver. Na veel kritiek op de veiligheid en het belang van privacy ontwikkelt de Nederlandse overheid momenteel zelf een corona-app, met nauwe betrokkenheid van de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens. Deze app wordt naar verwachting in de zomer – op vrijwillige basis – gelanceerd. Een dergelijke werkwijze komt vooralsnog zorgvuldig voor.
Nu de ergste crisis afgewend is, lijkt er ook inmiddels meer oog te zijn voor Europese samenwerking. Waar apps in het begin van de lockdown vooral werden ingezet om beperkende maatregelen te handhaven, ligt de nadruk nu op ‘trackingapps’. Deze apps brengen de contacten van besmette patiënten in kaart met behulp van bluetooth, GPS of smartphone-tracking. Verschillende lidstaten hebben nu hun eigen trackingapps uitgebracht. De Europese toezichthouder voor gegevensbescherming pleit echter voor één Europese Coronatrackingapp. De toezichthouder wijst hierbij op de risico’s die de grote verschillen tussen apps opleveren voor de privacyrechten. Coördinatie vanuit de EU, met voldoende oog voor de rechten uit de AVG en het EVRM, zou leiden tot betere privacybescherming in Europa.4
De coronacrisis leidt derhalve tot verschillende benaderingen van het recht op privacy en gegevensbescherming. Het verschil tussen nationale corona-apps laat zien dat bepaalde lidstaten privacy vergaand beperken. Het is maar de vraag of dit in alle gevallen proportioneel en subsidiair is. Dat was nou net niet de bedoeling van de AVG: die had dit recht gelijk moeten trekken in alle lidstaten. Een Europese aanpak in het ontwikkelen van coronatrackingapps is dan ook noodzakelijk. Een crisis mag geen vrijbrief zijn voor het negeren van Europese mensenrechten.
Hannah van Kolfschooten promoveert op patiëntenrechten en kunstmatige intelligentie in de zorg aan de Universiteit van Amsterdam. Bastiaan Wallage is advocaat en buitenpromovendus aan de Universiteit Leiden.
Afbeelding: www.pixabay.com
-
Rechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865.
-
Zie bijvoorbeeld: Rechtbank Amsterdam 21 maart 2019, ECLI:NL:RBAMS:2019:2166.
-
https://www.gov.pl/web/cyfryzacja/aplikacja-kwarantanna-domowa--ruszyl-proces-jej-udostepniania
-
https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf