Uw toestemming in tijden van Corona

De COVID-19 pandemie houdt ons al weken in haar greep.

Een vraag die ons allemaal bezighoudt, is hoe we een uitweg kunnen vinden uit de lockdown zonder de gezondheidszorg te overbelasten. Massaal testen in combinatie met waarschuwings- en traceringsapplicaties, die aangeven of je in contact bent gekomen met besmette personen, wordt vaak als een deel van de oplossing naar voor geschoven. Naast de vele ethische, medische, technische, politieke en sociologische vragen werpt het gebruik van zulke applicaties ook juridische vragen op. Zo zal een traceringsapplicatie onder meer de General Data Protection Regulation (“GDPR”) moeten naleven.

Vooraleer we van start gaan, willen we benadrukken dat de GDPR niet gelijkgeschakeld kan worden met het veel ruimere recht op eerbiediging van het privéleven. De bescherming van de grondrechten en de fundamentele vrijheden (waaronder, onder meer, het recht op privéleven) is één van de van de doelstellingen van de GDPR. De focus ligt echter in het bijzonder op het recht op bescherming van persoonsgegevens. Zo is het veelzeggend dat het woord ‘privéleven’ slechts één keer voorkomt in de bijna honderd bladzijden lange tekst en dan nog in een weinigzeggende inleidende bepaling.

De GDPR schrijft een heel aantal beginselen en juridisch-technische regels voor die gevolgd moeten worden wanneer persoonsgegevens verwerkt worden maar biedt geen waterdichte garanties tegen inbreuken op ons privéleven. Het is dus belangrijk om te beseffen dat het loutere feit dat een traceringsapplicatie volledig in overeenstemming met GDPR beweerd te zijn, op zichzelf beschouwd geen afdoende garanties biedt op het gebied van andere grondrechten, zoals het recht op privéleven.

De analyse hieronder gaat louter over één technisch-juridische vraag op het gebied van gegevensbeschermingsrecht, namelijk: moeten traceringsapps krachtens de GDPR steeds de toestemming vragen van de betrokken personen?

Bezint eer ge begint

Een veelgehoorde misvatting is dat het verkrijgen van toestemming de enige manier is om te voldoen aan de GDPR. Niets is echter minder waar.

De GDPR voorziet maar liefst tien mogelijk gronden voor de verwerking van ‘bijzondere’ persoonsgegevens (waaronder ook gegevens m.b.t. de gezondheid vallen). De uitdrukkelijke toestemming van de betrokkene is slechts één van deze gronden.

De keuze voor de meest geschikte rechtsgrond is een belangrijke afweging die vóór de start van de verwerkingsactiviteiten gemaakt moet worden. Het klopt dat in bepaalde gevallen de uitdrukkelijke toestemming van de betrokkenen als best practice beschouwd wordt. Deze verwerkingsbasis biedt de betrokkenen immers de meeste controle over hun gegevens.

Het is echter niet aangewezen om zomaar automatisch terug te grijpen naar de toestemming. In bepaalde gevallen zijn andere grondslagen zelfs geschikter. Bovendien is de keuze definitief. Zo is het niet toegestaan om en cours de route nog van grondslag te veranderen, bv. indien de eerder verkregen toestemming niet geldig zou blijken of indien de betrokkene zijn/haar toestemming zou intrekken.

Het is m.a.w. aangewezen om vooraf steeds goed te onderzoeken welke verwerkingsgrond het meest geschikt is voor elk van de vooropgestelde doeleinden.

Noodzaak voor de volksgezondheid

Bijzonder relevant in het kader van traceringsapps is het feit dat een verwerking van gezondheidsgegevens gerechtvaardigd kan zijn indien de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid. Deze rechtsgrond vereist wel bijkomende wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene.

De GDPR vermeldt in deze context uitdrukkelijk “het monitoren van een epidemie en de verspreiding daarvan” als een mogelijke verwerkingsactiviteit in haar inleidende overwegingen. Ook de European Data Protection Board, waarin vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van alle EU-lidstaten vertegenwoordigd zijn, pleitte deze week voor het gebruik van deze rechtsgrond.

We wensen te benadrukken dat we geenszins een pleidooi houden voor de verplichte installatie of het verplicht gebruik van zulke applicaties. Indien de applicatie verplicht zou worden (hetgeen ons om verschillende redenen problematisch lijkt), dan zou het erg cynisch zijn om alsnog de toestemming te vragen van de betrokkenen. Zulke toestemming zou ook niet voldoen aan de vereisten die de GDPR aan een geldige toestemming stelt.

Indien de gebruikers wel op vrijwillige basis kunnen beslissen om de applicatie te installeren (en, indien gewenst, opnieuw te verwijderen) dan stelt zich nog steeds de vraag op welke rechtsgrond de verwerkingen via deze applicatie zullen plaatsvinden. Het feit dat gebruikers vrijwillig een applicatie downloaden en gebruiken, zegt op zichzelf niets over de rechtsgrond op basis waarvan de applicatie gegevens mag verzamelen en verwerken. Indien de ‘noodzaak voor de volksgezondheid’ gekozen zou worden als grondslag voor de verwerkingen, dan zou het overbodig en eigenlijk zelfs onwettig zijn om toch bijkomend de toestemming van de betrokkenen te vragen.

Vanzelfsprekend dient de gebruiker ook in dit scenario nog steeds transparant en volledig geïnformeerd te worden over de wijze waarop de applicatie omgaat met zijn persoonsgegevens.

Indien traceringsapps bijkomende functionaliteiten zouden aanbieden, zoals bijvoorbeeld de mogelijkheid om opgebeld te worden door een dokter, dan zal ook hiervoor een geschikte verwerkingsgrond gevonden moeten worden. De uitdrukkelijke toestemming van de betrokkene zou hier wel eens als meest geschikte kandidaat uit de bus kunnen komen.

Tot slot, merken we op dat de GDPR naast een legitieme verwerkingsgrond en transparante informatieverschaffing nog tal van andere verplichtingen oplegt: gaande van het uitvoeren van een grondige gegevensbeschermingseffectbeoordeling, tot het naleven van de dataminimalisatie-, privacy by design en privacy by default-beginselen, het pseudonimiseren of anonimiseren van gegevens waar mogelijk, het tijdig verwijderen van bewaarde gegevens, het implementeren van geschikte veiligheidsmaatregelen, de betrokkenen toestaan hun rechten uit te oefenen, …

Voor de geïnteresseerden hebben we hieronder alvast een aantal links opgenomen naar recente aanbevelingen van verschillende EU-instanties waarin bovenstaande en andere aspecten nader toegelicht worden:

 

 

 

 

Auteurs: Mathieu Le Boudec & Jakob Vanhooren