Covid-19: Europese Commissie geeft richtlijnen over privacy- en gegevensbescherming van corona-apps

Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie

Heel wat Europese landen – ook België – zien heil in zogenaamde corona-apps om hun exit strategie te ondersteunen. Maar de invoering ervan roept heel wat vragen op over privacy en gegevensbescherming. De Europese Commissie heeft daarom een aantal richtsnoeren opgesteld om lidstaten en appontwikkelaars een houvast te geven. Ze geeft een concreet antwoord op de vraag aan welke kenmerken en vereisten de apps moeten voldoen om conform te zijn met de Europese de GDPR-reglementering en e-Privacyrichtlijn. Maar let op: de richtlijnen zijn niet juridisch bindend: ‘ze laten de rol van het Europees Hof van Justitie, de enige instelling die bindende uitlegging van het EU-recht kan geven, onverlet’.

De richtsnoeren hebben alleen betrekking op vrijwillige apps die bijdragen aan de bestrijding van de Covid-19-pandemie. Met andere woorden: apps die vrijwillig door mensen worden gedownload, geïnstalleerd en gebruikt worden met één of meer van deze functionaliteiten:
  • het verstrekken van nauwkeurige informatie over de coronapandemie
  • het verstrekken van vragenlijsten voor zelfbeoordeling en begeleiding van personen (symtoomcontrolefunctionaliteit)
  • het waarschuwen van personen die gedurende een bepaalde tijd in de buurt van een besmette persoon zijn geweest, om informatie te geven over de vraag of men in zelfquarantaine moet en waar men zich kan laten testen (contacttracerings- en waarschuwingsfunctionaliteit)
  • het bieden van een communicatieforum tussen patiënten en artsen in geval van zelfisolatie of wanneer verder advies over diagnose en behandeling wordt gegeven (telegeneeskunde).

Elementen voor een betrouwbaar en verantwoord gebruik van de corona-apps
  • verwerkingsverantwoordelijke aanduiden: het is van cruciaal belang dat wordt bepaald wie beslist over de middelen en de doelen van de gegevensverwerking zodat kan worden vastgesteld wie verantwoordelijk is voor de naleving van de EU-regels m.b.t. de bescherming van persoonsgegevens. Idealiter worden de nationale gezondheidsinstanties of de entiteiten die taken van algemeen belang op gezondheidsgebied verrichten aangewezen als verwerkingsverantwoordelijken
  • gebruikers houden zeggenschap over hun persoonsgegevens: de installatie van de apps moet vrijwillig zijn, er mogen geen negatieve consequenties zijn voor wie de app download of gebruikt, gebruikers moeten over iedere appfunctionaliteit toestemming kunnen geven, nabijheidsgegevens moeten worden opgeslagen op het toestel van de gebruiker, de gebruiker moet zijn GDPR-rechten kunnen uitoefenen
  • apps moeten gedeactiveerd worden als de pandemie onder controle is: de deactivering mag niet afhangen van de verwijdering ervan door de gebruiker
  • rechtsgrondslag voor de verwerking van persoonsgegevens: elke nationale wetgeving moet voorzien in specifieke en passende maatregelen ter bescherming van de rechten en vrijheden van de betrokkenen
  • de gegevens die via toestellen worden geproduceerd of die erop worden opgeslagen, moet afdoende worden beschermd
  • er gelden beperkingen op de openbaarmaking van en de toegang tot de gegevens en de gegevensopslag
  • de doeleinden van de verwerking moeten in een rechtsgrondslag zijn vastgesteld
  • er moeten waarborgen zijn voor gegevensbeveiliging en de juistheid van de verwerkte persoonsgegevens
  • de gegevensbeschermingsautoriteiten moeten volledig worden betrokken bij de ontwikkeling van de apps en daarover worden geraadpleegd. Ze moeten ook de uitrol ervan toetsen.

Laure Lemmens
Wolters Kluwer
  324