De afgelopen dagen zijn de discussies over het gebruik van gegevens voor de bestrijding van de coronapandemie toegenomen
Daarom hebben we een ad-hocdocument (PDF, Engels) geschreven over de naleving van de GDPR en willen we van de gelegenheid gebruik maken om een eerste overzicht van dit project te geven.
Overzicht van verschillende maatregelen en projecten
Er wordt veel gesproken over verschillende coronamaatregelen en projecten die de verspreiding van het virus moeten tegengaan door gebruik te maken van gegevens Dit zijn bijvoorbeeld:
- Informatieportalen (zoals informatie voor zelfdiagnose of kaarten van risicogebieden),
- anonieme gegevensanalyse (vooral van mobiele telefoonnetwerken),
- apps die proberen mogelijke infectiesituaties vast te leggen (contacttracering),
- apps om quarantainemaatregelen helemaal te controleren,
- pogingen om geïnfecteerde personen te traceren via verschillende gegevens zoals het traceren van mobiele telefoons of het gebruik van creditcardgegevens.
In een artikel over GDPRhub.eu, noyb heeft een eerste overzicht opgesteld van concrete apps en projecten in Europa en daarbuiten, om ook op dit punt enig licht te werpen.
De overgrote meerderheid van deze benaderingen zijn ver verwijderd van problematische vormen van massasurveillance of "Chinese benaderingen"
Met het BBPR kunnen gegevens worden gebruikt in het geval van een epidemie - de vraag is niet of, maar hoe.
In tegenstelling tot veel van de eerste berichten is er geen algemeen conflict tussen gegevensbescherming (met name de BBPR) en het gebruik van persoonsgegevens in de strijd tegen een epidemie. Verklaringen waarin wordt beweerd dat gegevensbescherming moet worden "afgezien", lijken gebaseerd te zijn op een verkeerd begrip van de wet.
Max Schrems, erevoorzitter van Noyb: "De GDPR voorziet expliciet in gegevensverwerking in de strijd tegen epidemieën. Wetgeving op het gebied van gegevensbescherming moet daarom niet worden 'kwijtgescholden', maar eenvoudigweg opgemerkt.”
Artikel 6, lid 1, onder d), en artikel 9, lid 2, onder i), van de BBPR staan volgens de overwegingen van de BBPR de verwerking van gegevens toe, bijvoorbeeld voor de bestrijding van "grensoverschrijdende bedreigingen van de gezondheid" of voor de bestrijding van "epidemieën"
De GDPR bevat echter ook regels om de inmenging in onze grondrechten tot een minimum te beperken, zelfs in de strijd tegen het coronavirus
Max Schrems: "De wetten voorzien in het gebruik van data in de strijd tegen corona, maar alleen op redelijke wijze. De wet beperkt het gebruik van gegevens tot wat absoluut noodzakelijk is. Samen met concepten als 'Privacy by Design' is het mogelijk om wettelijk verantwoorde apps en systemen te ontwikkelen die deze epidemie helpen bestrijden. De vraag is dus niet of het mogelijk is om persoonlijke gegevens te gebruiken, maar hoe dit op een goede manier te doen
Er is veel ruimte tussen overmatige massabewaking en het verzamelen en specifiek verwerken van bepaalde belangrijke informatie. Het gebruik van gegevens kan, wat de grondrechten betreft, ook de "minder belastende manier" zijn in vergelijking met de huidige beperkingen van het vrije verkeer of de vrijheid van ondernemerschap.
Schrems: "Vrijwillige apps die bijvoorbeeld gebaseerd zijn op lokaal opgeslagen en versleutelde self-tracking kunnen nuttig zijn. Als dergelijke gegevens alleen worden gedecodeerd in het geval van een positieve coronatest, kunnen dergelijke systemen de privacy van de gebruikers verifieerbaar beschermen. Dergelijke benaderingen lijken meer op het dragen van een privé lawinebaken - in tegenstelling tot een gecentraliseerd bewakingssysteem van de overheid. “
Om projecten te ondersteunen bij de implementatie van oplossingen die voldoen aan de eisen van gegevensbescherming, heeft noyb een ad-hocdocument gepubliceerd over apps voor het traceren van contacten.
Vertrouwen is noodzakelijk voor het succes van dergelijke systemen
De mensen moeten kunnen vertrouwen op de technologie in de strijd tegen het coronavirus, zodat er genoeg mensen meedoen. Dit kan worden bereikt door maatregelen als goede data-encryptie, opslag van gegevens binnen de telefoons van de gebruiker en de publicatie van de broncode ("open source").
Schrems: "Deze projecten werken alleen als een groot deel van de samenleving meedoet. Daarvoor hebben we systemen nodig die de gebruiker controle geven over zijn of haar gegevens. De broncode moet herzien kunnen worden. Als dit goed wordt gedaan, kunnen dergelijke systemen zeker worden aanbevolen."
Realistische kijk op technische mogelijkheden
Wat op dit moment verbazend is aan sommige uitspraken is het onwrikbare geloof in technologie. Meer complexe toepassingen, zoals "contact tracing" na een infectie, zijn niet haalbaar zonder zeer specifieke gegevens. Suggesties, zoals het berekenen van het risico op infectie tussen twee mensen die mobiele netwerkgegevens gebruiken, zijn meer wishful thinking dan een mogelijke technische realiteit.
Horst Kapfenberger, computerwetenschapper bij Noyb: "Door hun onnauwkeurigheid zijn de locatiegegevens van de mobiele telefoonaanbieders absoluut ongeschikt om bijvoorbeeld mogelijke infecties met het coronavirus vast te stellen. We kunnen geen zinvolle modellen bouwen met onnauwkeurige ruwe gegevens".
Bovendien zijn er nog steeds onzekerheden over de verspreiding van het coronavirus. Er is momenteel zeer uiteenlopende en vaak vage informatie beschikbaar over de manier waarop en het tijdschema voor de verspreiding van het virus. Hoe onduidelijker de parameters rond de verspreiding van het virus zijn, hoe minder specifieke risicocontacten kunnen worden berekend met behulp van technische oplossingen.
Het gevaar bestaat dat gebruikers verloren gaan in een lawine van irrelevante waarschuwingen en informatie ("information overload"). Het is daarom belangrijk om relevante gegevens te verzamelen met de nodige kwaliteit, om de doelstellingen van een project daadwerkelijk te bereiken.
Max Schrems: "Het is niet de bedoeling om te raden in welke advertenties we geïnteresseerd zijn, maar om de gezondheid van de bevolking te waarborgen. We hebben daarom behoefte aan specifieke, nauwkeurige en correcte informatie. Voor een statistiek zijn ruwe en anonieme gegevens vaak voldoende. Voor pogingen om infectieketens vast te leggen, heb je echter zeer nauwkeurige gegevens nodig - die lokaal kunnen worden opgeslagen en gecodeerd bij de gebruikers"