Op 29 mei is het voorstel voor de tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19 openbaar gemaakt. 1 De adviezen van de Autoriteit Persoonsgegevens (AP) en de Raad van Staten (RvS) zijn hierin meegenomen. Het wetsvoorstel behelst de mogelijk van het RIVM om via het CBS gebruik te maken van informatie over locatiegegevens voor de bestrijding van Covid-19. Dit moet een van de instrumenten zijn die het RIVM tot haar beschikking heeft om deze pandemie te bedwingen.
Nut en noodzaak
Het is nog niet volledig duidelijk of het gebruik van deze gegevens nut heeft voor de bestrijding van Covid-19. Het nut hoeft natuurlijk niet 100% wetenschappelijk bewezen te zijn, maar er moet wel blijk zijn van een redelijke mate van nut en noodzaak.
Het nut zal blijken uit de mogelijkheden om te reageren op potentiële brandhaarden. Indien het RIVM weet dat er veel mensen uit een bepaalde gemeente in een andere gemeenten zijn geweest, zal dit inzicht de verspreiding kunnen beperken. De GGD’s kunnen hier dan lokale maatregelen voor treffen.
In het eerste voorstel van deze wet was er geen onderbouwing voor de nut en noodzaak van de maatregelen, maar na kritiek van de AP is deze onderbouwing er wel. Gezien de mate van onzekerheid van nut – dit moet immers nog blijken – lijkt de onderbouwing voldoende te zijn en ligt het in de lijn van verwachting dat het gebruik van deze gegevens bruikbare informatie oplevert in de strijd tegen het coronavirus.
Anonieme gegevens en de AVG
In het wetsvoorstel wordt niet gesproken over het aanleveren van locatiegegevens, maar van informatie over locatiegegevens. Het is de bedoeling dat telecomaanbieders via het CBS informatie aan het RIVM leveren over hoeveel mensen uit gemeente A op een bepaald uur in gemeente B aanwezig waren. Dit zijn dus niet de precieze locatiegegevens telefoonnummer X op een bepaald tijdstip op de precieze locatie Y bevindt, maar geaggregeerde gegevens. Ook EMEI-nummers, telefoonnummers of MAC-adressen worden dus niet naar het CBS of het RIVM verstuurd. Het bepalen van de woongemeente wordt gedaan door te kijken waar diegene zich het meest bevindt in de afgelopen 30 dagen.
Deze afgeleide informatie kan volgens het wetsvoorstel en de RvS niet worden aangemerkt als persoonsgegevens. De AVG zou dan ook niet van toepassing zijn op deze informatie. Zoals het wetsvoorstel ook aanhaalt, is de AVG natuurlijk wel van toepassing op het afleiden van deze informatie uit de locatiegegevens. Deze verwerking zal door de telecomaanbieders moeten worden uitgevoerd. Hierdoor verkrijgt noch het RIVM noch het CBS persoonsgegevens.
Er is gekozen voor een minimum van 15 personen uit dezelfde gemeente dat per uur in een andere gemeente aanwezig moet zijn voordat deze wordt meegenomen. Dit getal is gebaseerd op een ervaringscijfer van het CBS. Zij hebben de afgelopen 30 jaar als drempelwaarde tenminste 10 eenheden per datapunt gehanteerd en dit heeft al die tijd niet geleid tot onthullingen van gegevens over een individu, aldus het voorstel. Doordat locatiegegevens naar hun aard sneller herleidbaar zijn, is gekozen voor een extra zorgvuldige drempelwaarde van 15.
Naast de bovenstaande ondergrens kon echter voor nog een andere ondergrens worden gekozen, namelijk die van het minimaal aantal inwoners van een woongemeente. De kleinste gemeente in Nederland is Schiermonnikoog, dat 946 inwoners heeft. Op de tiende plek staat Noord-Beveland met 7386 inwoners. Dit betekent dat in het geval van Schiermonnikoog minimaal 1.6% van de inwoners in dezelfde andere gemeente (bijvoorbeeld Amsterdam) en binnen hetzelfde uur op bezoek moet gaan, voordat hun locatiegegevens worden meegenomen in de aggregatie. Waarom niet onderzocht is of het nodig is om ook deze ondergrens te gebruiken is echter niet benoemd.
Er wordt verder gesteld dat het onwaarschijnlijk is dat met deze informatie personen kunnen worden geïdentificeerd. Hierbij wordt vermeld dat er studies zijn die aantonen dat er een theoretische mogelijkheid bestaat om geaggregeerde locatiegegevens terug te herleiden naar een individu. Het zou de regering sieren om ook studies aan te halen die hun conclusie onderbouwen, namelijk dat er redelijkerwijs sprake is van anonimiteit. Dit temeer gezien de maatschappelijke kritiek ten opzichte van dit wetsvoorstel.
Hoewel op eerste oogopslag het er inderdaad op lijkt dat er een zeer kleine kans is dat de geaggregeerde gegevens tot identificatie kunnen leiden, is hier echter geen directe onderbouwing voor te vinden, maar juist het tegenovergestelde. Indien – zoals naar het schijnt – de gegevens daadwerkelijk als geanonimiseerd kunnen worden aangemerkt, is de AVG niet van toepassing op de handelingen die het CBS en het RIVM uitvoeren. Dit moet echter wel goed worden onderbouwd en dat mist in het huidige wetsvoorstel.
Proportionaliteit en subsidiariteit
Hoewel de AVG waarschijnlijk niet van toepassing is op de afgeleide gegevens, is artikel 8 EVRM, waarin het recht op eerbiediging van het privéleven is neergelegd, wel van toepassing. Op grond hiervan moet het doel van de maatregelen in verhouding staan tot de inbreuk op de privacy. Daarnaast moet het doel niet met minder ingrijpende middelen kunnen worden bereikt.
De gegevens mogen worden gebruikt zolang dit noodzakelijk is, maar tot maximaal een jaar na het verkrijgen van de gegevens. Deze laatste beperking is naar aanleiding van kritiek van de AP toegevoegd. Er is onderbouwd waarom gegevens moeten worden bewaard, namelijk om bijvoorbeeld te onderzoeken of bepaalde maatregelen meer effect hebben dan anderen. Er ontbreekt echter een directe onderbouwing voor de keuze van een bewaartermijn van een jaar en niet voor bijvoorbeeld zes maanden.
Ook is vastgelegd dat de informatie niet met partijen anders dan het RIVM en CBS mag worden gedeeld. Ook is er aandacht besteed aan alternatieven en onderbouwd waarom deze niet werkbaar zijn.
Hiermee lijkt het te voldoen aan de eisen van artikel 8 EVRM.
Verwerking door telecomaanbieders en de AVG
Zoals reeds kort aangehaald is de AVG natuurlijk wel van toepassing op het aggregeren van de locatiegegevens zelf door de telecomaanbieder. Locatiegegevens zijn immers vrijwel altijd aan te merken als persoonsgegevens.
Voor het verwerken van persoonsgegevens moet er sprake zijn van onder andere een grondslag en mogen de gegevens niet voor andere doeleinden worden verzameld dan waarvoor deze oorspronkelijk zijn verkregen.
Er wordt een nieuwe grondslag gecreëerd op grond van artikel 15 e-Privacyrichtlijn, waardoor de telecomaanbieders de gegevens mogen verzamelen en aggregeren voor het aanleveren aan het CBS en het RIVM.
In het voorgestelde artikel 14.7 lid 7 Telecommunicatiewet wordt een mogelijkheid gecreëerd om locatiegegevens van hiervoor te gebruiken vanaf 1 januari 2020 op te vragen. Deze gegevens zijn echter verzameld met een ander doel dan de bestrijding van het coronavirus. Deze zijn namelijk verzameld om enerzijds de feitelijke communicatie mogelijk te maken en anderzijds om deze door telecomaanbieders te laten gebruiken voor het factureren van hun klanten.2
Nu er geen direct verband is tussen beide doelen en gezien de gevoelige aard van locatiegegevens, lijkt deze wettelijke mogelijkheid in strijd met artikel 5 lid 1 sub b AVG (doelbinding).
Voor de rest lijkt het nieuwe voorstel goed de adviezen van de AP te hebben verwerkt.
Conclusie
Gezien de maatschappelijke kritiek op de idee om locatiegegevens te gaan gebruiken voor de bestrijding van het coronavirus, mist het voorstel de punten om deze kritiek volledig weg te wuiven. Er lijkt een potentiële strijdigheid te zitten in het voorstel met betrekking tot de doelbinding en de mate van anonimisatie van de locatiegegevens.
Om de puntjes op de i te zetten zal het tijdstip waarop de gegevens verzameld mogen worden moeten worden verplaatst naar het moment van inwerkingtreding van het wetsvoorstel. Ook zal de regering beter moeten onderbouwen waarom de gegevens als anoniem moeten worden aangemerkt.
Daarentegen zijn de adviezen van de AP en de RvS goed opgevolgd en biedt het voorstel wel de juiste bescherming voor de betrokkenen van wie de gegevens verzameld en verwerkt zullen worden.
Voetnoten
- https://www.rijksoverheid.nl/documenten/kamerstukken/2020/05/29/wetsvoorstel-telecommunicatiewet
- Artikel 11.5 lid 1 en 2 Tw.