Data in de strijd tegen corona – hoe zit het met de privacy?

26-03-2020

Vries, Eva de

Kennis is een machtig wapen. In de strijd tegen corona speelt data een belangrijke rol. Informatie over gezondheid en de wijze waarop mensen zich verplaatsen kunnen ons helpen om meer over het coronavirus te weten en interventies gericht in te zetten. Hoe landen data inzetten is in grote mate afhankelijk van de waarde die zij hechten aan rechten en vrijheden van inwoners, met name het recht op privacy. In China en Zuid-Korea worden inwoners op grote schaal gevolgd en in Israël en de Verenigde Staten worden voorbereidingen getroffen om data op grote schaal te analyseren. In Europa gelden strenge eisen voor de verwerking van gezondheidsgegevens en locatie data.

China: Vergaande monitoring van alle inwoners

De Chinese regering loopt op kop met de inzet van technologie in de strijd tegen het coronavirus. In China werd al in een vroeg stadium gebruikgemaakt van mobiele telefoon data, daarop volgden toepassingen die gebruik maakten van gezichtsherkenning en lichaamstemperatuur. In steeds meer Chinese steden wordt gebruikgemaakt van de Alipay Health Code,(1) een stoplicht-systeem dat de Chinese overheid heeft ontwikkeld samen met techgiganten Alibaba en Tencent (WeChat).

Met de Alipay Health Code krijgt iedere inwoner een gezondheidscertificaat met een unieke QR code. Aan dit gezondheidscertificaat is een kleurcode gekoppeld: rood, oranje of groen. Rood betekent besmet met het coronavirus en direct twee weken in quarantaine, oranje betekent een minder zwaar risico en een week in quarantaine en de groene kleurcode betekent dat er niets aan de hand is. Alleen de mensen met een groene code mogen boodschappen doen en naar hun werk. Op straat wordt de QR-code gescand om te controleren of daadwerkelijk alleen mensen met een groene code buiten komen.

Het toekennen van de kleurcode gebeurt op basis van zelf ingevoerde gegevens. Deze worden gecombineerd met gegevens die door derden worden gegenereerd. Welke gegevens dit precies zijn en waar deze van afkomstig zijn is niet precies duidelijk. Vermoedelijk worden gegevens verwerkt van de Alipay of WeChat accounts van inwoners die inzicht geven in waar en hoe lang zij ergens zijn geweest en met wie zij contact hebben gehad.

Hong Kong: Monitoring van mensen in thuisquarantaine

In Hong Kong wil de lokale overheid dat inwoners die besmet zijn met het coronavirus of die in thuisquarantaine zitten voortdurend een polsband dragen.(2) Deze polsband is gekoppeld aan hun mobiele telefoon waarvan de locatie wordt gedeeld. Wanneer zij de polsband af doen, de telefoon uitzetten of wanneer de telefoon en de polsband te ver van elkaar verwijderd zijn, wordt het ministerie van volksgezondheid ingeschakeld. Ook kan een boete worden opgelegd. Op dit moment worden meer geavanceerde polsbanden verspreid met een GPS tracker. Hiermee kan de locatie onafhankelijk van de telefoon worden gemonitord. Medewerkers van het ministerie van volksgezondheid kunnen bovendien steekproefsgewijs mensen in quarantaine bellen met ‘surprise video calls’(3).

Zuid-Korea: Vergaande analyse van gegevens en waarschuwing

In Zuid-Korea worden gegevens gecombineerd en geanalyseerd die afkomstig zijn van camerabeelden, banktransacties en mobiele telefoons. Deze gegevens geven een beeld van de bewegingen van mensen die besmet zijn, zodat mensen die bij hen in de buurt zijn geweest kunnen worden getest. Uit de media blijkt dat deze gegevens onder andere worden gebruikt om mensen per SMS te waarschuwen voor besmette personen die in hun buurt zijn geweest.(4) In theorie is dit anoniem, maar in de praktijk kunnen berichten ook worden herleid tot een individueel besmet persoon. Dit kan leiden tot stigmatisering en uitsluiting.

Ook in andere Aziatische landen wordt data ingezet om te controleren of een besmet persoon rondloopt. In Singapore wordt sinds 20 maart 2020 gebruik gemaakt van de app TraceTogether waarin mensen kunnen zien of er in het afgelopen half uur mensen met COVID-19 in de buurt zijn geweest.(5) Taiwan gebruikt locatiedata van mobiele telefoons van mensen die in thuisquarantaine zitten om te controleren of de quarantaine wordt verbroken.

Verenigde Staten: volgen van locatie wordt onderzocht

Het Witte Huis kondigde vorige week aan dat onderzocht wordt hoe de Amerikaanse regering samen met Facebook en Google locatiedata van telefoons kan inzetten in de strijd tegen het coronavirus.(6) Het zou gaan om geaggregeerde, anonieme data aan de hand waarvan kan worden onderzocht hoe het virus zich verspreidt. Facebook heeft aangegeven dat data wordt gebruikt van Facebookgebruikers die daarvoor toestemming hebben gegeven.

Critici vrezen dat uiteindelijk meer informatie zal worden verwerkt en dit een impact zal hebben op de privacy van de Amerikanen. Facebook en Google hebben immers aanzienlijk meer gegevens dan alleen mobiele telefoondata. Daarnaast bestaat de vrees dat een ‘tijdelijke noodmaatregel’ in de praktijk minder tijdelijk zal zijn dan nu wordt voorgehouden en dat gegevens ook voor andere doeleinden kunnen worden ingezet, zoals nationale veiligheid.

Israël: Noodmaatregel voor monitoring en waarschuwing

De Israëlische regering heeft vorige week noodmaatregelen goedgekeurd die het de binnenlandse inlichtingendienst mogelijk maakt om mensen die (mogelijk) besmet zijn met het coronavirus via hun mobiele telefoon te monitoren.(7) Net als in Zuid-Korea wil de overheid de gegevens gebruiken om mensen te waarschuwen die in de buurt zijn geweest van een (mogelijk) besmet persoon en hen op te roepen om zich te laten testen. Ook wil de regering de gegevens gebruiken om te kunnen controleren of inwoners zich houden aan de opgelegde quarantaine maatregelen.

Het besluit om deze monitoring in te zetten is genomen onder een noodregeling, waarbij instemming van het parlement niet nodig is. De Israëlische privacytoezichthouder vindt de maatregel extreem. De regering benadrukt dat de verzamelde gegevens beperkt blijven tot datgene wat strikt noodzakelijk is om de verspreiding van het coronavirus een halt toe te roepen. De monitoring zal in beginsel dertig dagen duren en wordt daarna geëvalueerd. Of het bij dertig dagen zal blijven is nog maar de vraag – bepaalde noodwetgeving van de onafhankelijkheidsoorlog in 1948 zijn op dit moment ook nog van kracht.(8)

Europa: Geaggregeerde verwerking locatiegegevens

In Europa kunnen gezondheidsgegevens op grond van de Algemene verordening gegevensbescherming (AVG) zonder toestemming van de betrokkenen worden verwerkt als dit noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid en wanneer dit is voorgeschreven in specifieke wet- en regelgeving. In Nederland geldt bijvoorbeeld de Wet publieke gezondheid als grondslag voor gegevensverwerkingen bij een bedreiging voor de volksgezondheid. Via een nieuwe ministeriele spoedregeling is het coronavirus hieraan toegevoegd.(9) Als gevolg hiervan kunnen artsen van de GGD contactonderzoek doen en kan het RIVM onderzoek doen. Dit biedt geen grondslag voor monitoring op basis van locatiegegevens.

Voor het gebruik van locatiegegevens van mobiele telefoons geldt naast de AVG de ePrivacy Richtlijn. De European Data Protection Board heeft onlangs in het kader van de uitbraak van het coronavirus benadrukt dat locatiegegevens moeten worden geanonimiseerd of dat voorafgaand toestemming moet worden verkregen.(10)

De Europese Commissie wil dat grote Europese telecomaanbieders metadata aanleveren van hun gebruikers om mobiliteitspatronen te analyseren.(11) Op dit moment worden in Italië, Oostenrijk, Duitsland en België al geaggregeerde locatiegegevens door telecomaanbieders gedeeld met de autoriteiten. Het Verenigd Koninkrijk wil ook gebruik maken van geaggregeerde locatiedata en is nog in gesprek met telecom bedrijven.(12) Polen pakt het anders aan, daar heeft de overheid een thuisquarantaine-applicatie in gebruik genomen.(13) Daarmee kunnen mensen die verplicht in quarantaine zitten een SMS krijgen waarin staat dat zij binnen 20 minuten een selfie moeten sturen met locatiegegevens.

Hoewel de Europese Commissie en de betreffende lidstaten benadrukken dat het gaat om geaggregeerde data, is het onwaarschijnlijk dat deze data volledig anoniem zullen zijn. Metadata zijn meestal eenvoudig te herleiden naar een individu. Locatiedata kunnen preciezer worden verwerkt via een app. In dat geval is het ook mogelijk om toestemming te vragen van de betrokkenen. In ieder geval zullen de Europese Commissie en de lidstaten ervoor moeten waken dat de maatregelen beperkt blijven in de duur en alleen gegevens worden verwerkt die écht noodzakelijk zijn.

Tenslotte

Technologie en data zijn cruciaal bij het onderzoek naar COVID-19 en de verspreiding van het coronavirus. Hoe data kan worden verwerkt en kan worden omgezet in waardevolle informatie is afhankelijk van het politieke systeem en lokale wet- en regelgeving. In de meeste landen wordt uitgegaan van een tijdelijke gegevensverwerking, maar hoe tijdelijk dit nu is, moet de toekomst nog uitwijzen. Tijdelijke surveillance wetten in Israel en in de Verenigde Staten (Patriot Act) hebben bewezen dat tijdelijk een rekbaar begrip is.

Europa kent strenge privacywetgeving, waardoor overheden en marktpartijen eerder op zoek zullen gaan naar privacy vriendelijke alternatieven. Denk hierbij bijvoorbeeld aan apps die werken op basis van toestemming en waarbij locatiedata direct wordt verwijderd nadat aan deze crisis een einde is gekomen. Aleid Wolfsen van de Autoriteit Persoonsgegevens heeft een duidelijk standpunt ingenomen: "De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brothermaatschappij."

Voetnoten

(1) www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html
(2) fortune.com/2020/03/19/coronavirus-hong-kong-quarantine-tracking/
(3) www.info.gov.hk/gia/general/202003/16/P2020031600759.htm
(4) www.theguardian.com/world/2020/mar/06/more-scary-than-coronavirus-south-koreas-health-alerts-expose-private-lives
(5) www.straitstimes.com/singapore/coronavirus-singapore-develops-smartphone-app-for-efficient-contact-tracing
(6) edition.cnn.com/2020/03/18/tech/us-government-location-data-coronavirus/index.html
(7) www.haaretz.com/israel-news/.premium-israeli-coronavirus-surveillance-who-s-tracking-you-and-what-happens-with-the-data-1.8685383
(8) amp-ft-com.cdn.ampproject.org/c/s/amp.ft.com/content/19d90308-6858-11ea-a3c9-1fe6fedcca75
(9) www.parlementairemonitor.nl/9353000/1/j9vvij5epmj1ey0/vl6fdc3qfbyr
(10) edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en
(11) www.politico.eu/article/european-commission-mobile-phone-data-thierry-breton-coronavirus-covid19/
(12) www.businessinsider.com/report-uk-government-google-networks-location-data-to-track-covid-19-2020-3?international=true&r=US&IR=T
(13) www.france24.com/en/20200320-selfie-app-to-keep-track-of-quarantined-poles


Meer artikelen van SOLV Advocaten

Dit artikel is ook te vinden in het dossier Coronavirus

Van onze partners

Privacy op de werkvloer

→ Lees meer

Masterclass Privacy: the next step

→ Lees meer

Checklist Privacy AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer