31 maart 2020 in ICT & Privacy door Mr. Drs. J.C. (Jan-Kees) Karels

Een onsje minder AVG tijdens pandemie?

ICT & Privacy

Nu er veel mensenlevens op het spel staan, rijst de vraag of de geldende privacyregels tijdelijk tussen haakjes mogen worden gezet. Gezondheid is toch belangrijker dan de bescherming van persoonsgegevens? Nood breekt privacywet!

Tijdens de Coronacrisis komt de spanning tussen levens redden en de bescherming van privacy nadrukkelijk naar voren. Bedrijven vragen zich af hoe ze een veilige werkomgeving kunnen garanderen. Mag je een werknemer testen op Covid-19? Het massale thuiswerken roept privacyvragen op. Zijn de laptops thuis wel voldoende beveiligd? Overheden in Europa kondigen aan dat ze locatiegegevens van burgers gaan verzamelen in de strijd tegen Corona. De voorbeelden zijn uit te breiden.

In deze weblog wil ik de juridische mogelijkheden bekijken om maatregelen te nemen tijdens de huidige pandemie. Toegespitst op twee onderwerpen: Mag de overheid locatiegegevens van mobiele telefoons gebruiken om groepsvorming te checken? En mag een werkgever een werknemer testen op het Corona-virus? Wat zeggen de regels hierover?

Persoonsgegevens: het vertrekpunt

Als bedrijf of overheid mag je persoonsgegevens verwerken als je daarvoor een geldige reden hebt. Artikel 6 van de Algemene Verordening Gegevensbescherming (AVG) noemt zes ‘’grondslagen’’ als geldige reden.

Het maakt daarbij nogal uit met wat voor soort persoonsgegevens je te maken hebt. Gaat het over gewone persoonsgegevens zoals naam, adres of telefoonnummer, dan gelden minder strenge regels dan bij de zogeheten bijzondere persoonsgegevens.

Medische gegevens, zoals het feit of je besmet bent met het Coronavirus of niet, horen tot die laatste groep. Bijzondere persoonsgegevens mogen in principe niet worden verwerkt, zegt artikel 9 AVG, tenzij aan een van de in dat artikel genoemde uitzonderingen is voldaan.

AVG en epidemie

Eén van de uitzonderingen die artikel 9.2 noemt is een verwerking die nodig is ‘’om redenen van algemeen belang op het gebied van de volksgezondheid’’. Expliciet noemt de AVG de ‘’bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen’’. In overweging 46 bij de AVG wordt in dit kader ook het ‘’monitoren van een epidemie en de verspreiding daarvan’’ genoemd. De Europese privacywet voorziet dus in mogelijkheden voor overheden om maatregelen ter bescherming van de volksgezondheid te nemen. Ook de uitzonderingen van artikel 9.2 onder c (vitale belangen van de betrokkene) en h (o.a. de doeleinden van preventieve of arbeidsgeneeskunde en de beoordeling van de arbeidsgeschiktheid van de werknemer) zijn in de huidige pandemie actueel.

Locatiegegevens van burgers gebruiken?

Vraag is vervolgens wel hoe ver de te nemen maatregelen reiken. Zo kondigde de Europese Commissie aan locatiegegevens van smartphones te gaan gebruiken in de strijd tegen het Coronavirus. Daarmee kunnen overheden zien hoe burgers zich verplaatsen en hoe het virus zich verspreidt.

De EU-privacywaakhond European Data Protection Board (EDPB) adviseerde in een verklaring van 19 maart 2020 overheden die deze maatregelen willen toepassen om de locatiegegevens anoniem te verwerken. In dat geval is namelijk de privacywetgeving niet van toepassing omdat er geen sprake is van persoonsgegevens: de data zijn niet herleidbaar tot een specifiek persoon.

Opvallend is dat de EDPB ook niet-anonieme verwerking níet op voorhand uitsloot. Onder verwijzing naar artikel 15 van de ePrivacy Directive vindt de Europese toezichthouder het mogelijk dat er wettelijke maatregelen worden geïntroduceerd om de publieke veiligheid te waarborgen. Hoewel in dit artikel de volksgezondheid niet expliciet wordt genoemd, mag ze wel tot de ‘’publieke veiligheid’’ worden gerekend, meent de Europese privacywaakhond in een eerdere verklaring van 16 maart 2020.

Wel dienen bij niet-geanonimiseerde verwerkingen voldoende waarborgen te worden gegeven. Zo moet gekozen worden voor de minst vergaande maatregel, dient het gekozen doel specifiek  en niet algemeen te zijn en moet de maatregel ook in verhouding staan tot de schending van de privacy. Om een voorbeeld te noemen: het tien jaar lang bewaren van de locatiegegevens van een hele bevolking staat niet in verhouding tot het bestrijden van een virus met een incubatietijd van twee weken, zoals Bruce Schneier terecht opmerkt.

Daarnaast is het van belang dat maatregelen die nu worden getroffen met de Coronacrisis als argument, na afloop van de crisis weer worden teruggedraaid. Dat is bijvoorbeeld het geval bij de zogenoemde Corona opt-in voor het delen van medische gegevens. Ongeveer 8 miljoen Nederlanders hebben ooit toestemming gegeven om actuele medische gegevens van hun huisarts te delen op de Huisartsenpost. Een kleine groep heeft geen toestemming gegeven, maar een grote groep heeft nog geen keuze gemaakt. Op verzoek van de zorgkoepels en de Patiëntenfederatie wordt nu gekeken naar de mogelijkheden uit te gaan van een tijdelijke veronderstelde toestemming (Corona opt-in) voor mensen die nog geen toestemming hebben gegeven voor het delen van hun gegevens. De mogelijkheid van opt-out blijft bestaan, en na de crisis worden deze Corona opt-ins weer ongedaan gemaakt, aldus de betreffende brief van de minister.

Privacy op de werkvloer: wat mag een werkgever?

Bij bedrijven kan de behoefte ontstaan om informatie te verzamelen over de verspreiding van het Coronavirus: is deze werknemer besmet of niet? En zo ja, hoe kunnen andere werknemers beschermd worden?

De Autoriteit Persoonsgegevens in Nederland heeft over deze en andere vragen een pagina op haar website ingericht: Corona op de werkvloer.

Ook tijdens de huidige crisis blijft het uitgangspunt dat werkgevers geen medische gegevens van hun personeel mogen verwerken. Wat in andere landen misschien heel normaal is, blijft in Nederland verboden: een bedrijf mag werknemers niet testen op Corona. En dus ook geen lichaamstemperatuur meten. Alleen een (bedrijfs)arts mag werknemers op de ziekte controleren. Stelt de arts de ziekte vast, dan deelt hij die informatie met de werknemer. De arts is verder verplicht de vaststelling meteen te melden aan de GGD. Sinds januari dit jaar is Corona als infectieziekte toegevoegd aan groep A van de Wet publieke gezondheid (Wpg). Naast de meldplicht heeft de arts ook de bevoegdheid om geïnfecteerde of vermoedelijk geïnfecteerde personen te isoleren. Is daarvan sprake, dan zal de GGD in overleg met de werkgever maatregelen treffen voor op de werkvloer.

Overigens mag een werkgever een werknemer met verkoudheids- en/of griepverschijnselen wel naar huis sturen. De AP geeft aan dat dit ‘’in deze uitzonderlijke tijd’’ is toegestaan, en dat een werknemer dan moet meewerken. Ook mag een werkgever een werknemer vragen contact op te nemen met een bedrijfsarts, arbodienst of huisarts voor controle.

Tot slot

Een pandemie als de Coronacrisis is een uitzonderlijke situatie. De AVG biedt regels om in tijden van grensoverschrijdende epidemieën bijzondere maatregelen te nemen. Er wordt dan een grotere inbreuk op privacy gemaakt dan in normale tijden. Maar ook als deze inbreuk wordt gemaakt, blijven de uitgangspunten van de privacyregelgeving van kracht: een inbreuk moet gerechtvaardigd zijn, het doel waarvoor dient specifiek te worden omschreven. Er moet steeds gekeken worden of er niet minder ingrijpende maatregelen te bedenken zijn die misschien ook effectief zijn, en of de maatregel in verhouding staat tot het doel dat men wil bereiken.

Daarmee zijn we terug bij de uitgangspunten van de AVG. Zo bezien hoeft nood hoeft geen wet te breken als die wet zelf de mogelijkheden opent om passende maatregelen te nemen.

Een onsje minder AVG tijdens pandemie?

Mr. Drs. J.C. (Jan-Kees) Karels
Advocaat


Stuur een mail 0342 491 028