Privacy & informatieveiligheid tijdens de coronacrisis

Tijdens de coronacrisis ontstaan allerlei vraagstukken rondom privacy en het veilig delen van informatie. In een crisis geldt: Nood breekt wet.. Maar de beslissingen die nu genomen worden, kunnen verregaande gevolgen voor de toekomst hebben. Vanuit het SIGRA expertisecentrum Privacy & Informatieveiligheid volgen we de ontwikkelingen op de voet en houden deze bij op deze overzichtspagina.   

  • Beeldbellen en de privacy van het personeel 
    Het is mooi dat steeds meer cliënten aan het beeldbellen zijn en zij hierdoor ‘digitaal bezoek’ kunnen ontvangen. Om cliënten ook bewust te maken dat zij tijdens het beeldbellen rekening moeten houden met de privacy van anderen, is een voorzet gemaakt voor een folder. Met de folder "Pas op Privacy" hopen we dat deze gedragsregel algemeen bekend wordt: “Tijdens het beeldbellen houd ik rekening met de privacy van het personeel: ik zorg dat ze niet in beeld komen of hoorbaar zijn. Als ik een afspraak heb met een zorgverlener of deelneem aan een activiteit, dan ga ik niet beeldbellen.” Daarnaast is een advies opgesteld met gedragsregels, gebaseerd op wet en regelgeving, voor cliënten die beeldbellen.
      
  • VWS laat nieuwe corona-app ontwikkelen 
    Uit een voorselectie werden zeven mogelijke corona-apps afgelopen weekeinde via een ‘appathon’ voorgesteld aan het publiek en deskundigen. Na de presentaties mochten experts, van privacywatchers tot epidemiologen, gaten schieten in de voorstellen en de app-bouwers aansporen nog wat aan de privacywaarborgen en gebruikersvriendelijkheid te sleutelen. Zondag presenteerden de app-bouwers hun verbeterde apps en hoorden zij het eindoordeel van de experts. 

    De twaalf experts die door de Tweede Kamer zijn uitgenodigd om te praten over de corona-app zijn unaniem kritisch. Er wordt getwijfeld over de technische haalbaarheid en of de app effectief is in de strijd tegen het coronavirus. Eén van de belangrijkste kritiekpunten die werd aangestipt is het gebruik van bluetooth. KPMG heeft, in opdracht van het ministerie van VWS, onderzoek gedaan naar de technische veiligheid en betrouwbaarheid van de aangeboden corona-apps en achterliggende systemen. En heeft haar waarnemingen vastgelegd in haar eindrapportage Securitytest potentiele Corona-apps.

    Bovendien concludeert de Autoriteit Persoonsgegevens (AP) in haar onderzoeksrapportage bron- en contactopsporingsapps dat het waarborgen van de privacy niet wordt aangetoond. De AP vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de zeven app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.

    Op basis van conclusies van KPMG, de landsadvocaat, het College van de Rechten van de Mens en de Autoriteit Persoonsgegevens heeft de minister besloten nu geen opdracht te geven voor de inzet van een of meer specifieke oplossingen zoals die gedurende de appathon zijn ingediend. Dit schrijft de minister in een brief aan de Tweede Kamer. De overheid laat nu zelf een nieuwe app voor de bestrijding van het coronavirus ontwikkelen. Het gaat om een alternatief voor de zeven apps die afgelopen weekend meededen aan de ‘appathon’ van de overheid. Minister De Jonge wil over vier weken 'een vervolgbesluit' nemen over wat er met de apps moet gebeuren. Het is de bedoeling dat de nieuwe app in de steigers staat op 19 mei, het volgende moment dat de intelligente lockdown kan worden versoepeld.   

  • Gaat een app ons echt helpen tegen Corona?
    Minister Hugo de Jonge onderzoekt het gebruik van een app om de Coronacrisis te lijf te gaan.  Een dergelijke app zou mensen zelf meer verantwoordelijkheid geven bij het traceren van besmettingen en met wie iemand in contact is geweest zodat iemand op tijd gewaarschuwd kan worden en in quarantaine gaat. Ook kan je je gezondheidsklachten bijhouden. Dit zou het werk van de GGD ondersteunen en straks gerichtere maatregelen mogelijk maken, is het idee. Afgelopen twee weken is dit onderwerp volop in het nieuws geweest. Veel deskundigen waarschuwen middels een manifest ‘veilig tegen corona’ en een brief aan de kamer voor deze app. Want waarom zijn we bang voor zo’n Corona app?  Worden de verzamelde gegevens bv alleen gebruikt om de verdere verspreiding van Corona te voorkomen, of wordt de informatie in de toekomst ook voor een ander doel gebruikt? Feiten ontbreken hier, het zijn zorgen vanuit de redenatie ‘de data hebben is de data houden’. Ook de AP ziet er scherp op toe i.v.m. de gevaren van het tracken van mensen via een app.

    Vlak voor het Paasweekend kwam er een ‘bliksemtender’ vanuit VWS aan bedrijven en deskundigen, waarin ze de mogelijkheid kregen om tot dinsdag 14 april 12:00 een voorstel in te dienen m.b.t. zo’n app in de strijd tegen het coronavirus. Voorstellen moeten voldoen aan een reeks specifieke eisen. Zo mag de app persoonsgegevens niet centraal opslaan en mogen gegevens niet herleidbaar zijn tot individuen. Bovendien pleit coronagezant Feike Sijbesma onlangs in Buitenhof voor een Nederlands product. In de week voorafgaand aan 28 april moet bekend worden hoe die mogelijke apps eruit komen te zien. Dan beslist het kabinet op welke manier Nederland de maatregelen tegen de ongecontroleerde verspreiding van het coronavirus voortzet. 

    Maar, staat in deze tender nu het middel (een app ontwikkelen) centraal in plaats van het doel? Is een app eigenlijk wel de beste methode om bijvoorbeeld contactonderzoek uit te voeren? Zo ja, wat moet de app dan precies wel of niet kunnen. Om die vragen te beantwoorden is meer expertise nodig over hoe het virus zich gedraagt. Dat is nu onvoldoende verwerkt in de eisen, dus gaat een app ons dan wel goed genoeg helpen? Wij houden het in de gaten.

  • Hoe houdt je als werkgever grip op Corona onder je werknemers? 
    Als werkgever heeft u de plicht om voor een veilige werkomgeving te zorgen. Tijdens de coronacrisis wilt u natuurlijk voorkomen dat een werknemer met het coronavirus zijn of haar collega's besmet. Wellicht wilt u daarom uw medewerkers controleren op corona. Of wilt u de gegevens delen over besmetting onder collega’s. Maar mag u dit wel zelf doen? De Autoriteit Persoonsgegevens beantwoordt vragen over Corona op de werkvloer. Zie de site.  

  • Privacy in tijden van een epidemie
    In hoeverre heb je nog recht op privacy in het geval je besmet bent met het coronavirus, of er een vermoeden is dat je het virus hebt opgelopen? Eline Hangelbroek van ICTRecht schrijft over dit onderwerp en over grondslag en uitzonderingsgrond voor verwerking in haar blog ‘Privacy in tijden van epidemie’.

  • Meer regelruimte ten tijde van de Coronacrisis, maar geen excuus om de privacy over boord te gooien
    In lijn met het statement vanuit Europees Comité voor Gegevensbescherming in verband met het verwerken van data in relatie met de COVID-19 uitbraak, heeft de AP op 20 maart in een statement aangegeven organisaties nu ruimte te geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis. Maar hoe er soms met deze regelruimte wordt omgegaan doet menig privacybewaker de wenkbrouwen fronsen. Privacy expert Marietje Schaake in de Volkskrant van 3 april: ‘Wat nu cruciaal is: pas op dat er geen onomkeerbare stappen worden genomen. Bedrijven en overheden zijn altijd op zoek naar meer data, meer online macht, het veroveren van markten. Onder druk wordt alles vloeibaar, maar juist in een crisis moet de kern van rechten die ons beschermen overeind blijven.’ Ons advies vanuit het SIGRA regionaal expertisecentrum privacy & informatieveiligheid is in ieder geval om daar waar vanwege de Coronacrisis de autorisaties worden verruimd dit vooral tijdelijk te doen (bijvoorbeeld tot 28 april) en daarnaast ook extra scherpe controles te doen op de logging in deze periode. Iets meer regelruimte om een crisis te kunnen bestrijden is geen excuus om de privacy over boord de te gooien. De crisis mag geen opmaat worden naar een Big Brother maatschappij, benadrukt ook Aleid Wolfsen van de AP.

  • Brengt de huidige aanpak van de coronacrisis in China en elders de digitale mensenrechten in gevaar? 
    COVID-19 is een digitale pandemie in zijn oorsprong. Maar ook in zijn effecten: over de hele wereld grijpen overheden naar digitale instrumenten om het virus te bestrijden. Fantastisch dat kunstmatige intelligentie en bigdata-analyse behulpzaam zijn, maar laten we oppassen voor mogelijk vergaande gevolgen voor de privacy van burgers. In crisis geldt: Nood breekt wet.. Het versoepelen van regels ter ondersteuning van de zorg tijdens de crisis en het voorkomen van verdere verspreiding moet vanzelfsprekend prioriteit hebben. Maar dit mag niet ten kosten gaan van onze belangrijke publieke waarden als gelijke behandeling, privacy, autonomie en menselijke waardigheid. Deze komen nu wel onder druk te staan. In het rapport Opwaarderen van het Rathenau Instituut uit 2017 wordt de "Blinde vlekken in het governancelandschap" al beschreven. De nieuwe digitaliseringsgolf brengt nieuwe ethische en maatschappelijke uitdagingen met zich mee. Hierbij zijn belangrijke publieke waarden in het geding die nauw verwant zijn aan grond- en mensenrechten. Dat roept de vraag op of onze huidige wettelijke kaders en toezichtsarrangementen voldoende zijn toegerust om deze fundamentele rechten adequaat te beschermen. Vanuit het SIGRA expertisecentrum Privacy & Informatieveiligheid volgen we de ontwikkelingen, onder andere met betrekking tot het al dan niet verplicht inzetten van een contact-app, op de voet, waarover binnenkort meer.

    Meer info: 
    Volkskrant: ‘Opinie: Vergis je niet: coronacrisis is ook een digitale pandemie’ 
    Volkkrant: ‘Column: Straks sluipen we over straat, permanent bespioneerd door buren en drones – ‘om levens te redden’’ 
    Parool: ‘In de strijd tegen corona staat privacy op een zijspoor’ 
    Parool: ‘Plicht tot installeren corona-app ‘moeilijk voorstelbaar’