STOPCOVID: De reis van een controversiële applicatie

STOPCOVID: De reis van een controversiële applicatieEr gaat geen dag voorbij zonder dat in Frankrijk, net als elders, de vraag naar het "opheffen van de lockdown" van de bevolking ter sprake komt. Dit in verband met het traceren van het virus en de personen die het overdragen.

Recente ontwikkelingen maken melding van het aanleggen van een bestand om besmette personen op te sporen. De details hiervan worden ter beoordeling voorgelegd aan de CNIL.

De media berichtten ook over een patstelling tussen GAFAM en de overheid over de implementatie van de meest effectieve 'stopCovid'-applicatie.

Kunnen we, nu de parlementaire debatten over deze aanvraag zijn opgeschort, een duidelijk beeld krijgen van de problemen en gevolgen van dergelijke digitale monitoring?

Is het een kwestie van nationale soevereiniteit, een kwestie van gegevenscontrole of, prozaïscher gezegd, een kwestie van ‘eenvoudige’ technische keuzes?

De vraag is belangrijk omdat het niet alleen Frankrijk aangaat, maar ook de meeste Europese landen en andere staten die de pandemie proberen te beheersen.

Protocollen en hun impact op de gegevensverwerking

Het PEPP-PT-project (Privacy Preserving Proximity Tracing) was oorspronkelijk bedoeld om de ontwikkeling van applicaties in Europa op een geharmoniseerde basis mogelijk te maken, in overeenstemming met de wetgeving.

Het doel is om een persoon te informeren dat hij/zij in contact is geweest met een besmet persoon, via de Bluetooth-technologie van zijn/haar smartphone, zonder dat de locatie van die persoon hoeft te worden bepaald.

Hoewel PEPP-PT aanvankelijk op steun leek te rekenen, namen enkele honderden wetenschappers er afstand van en namen in een open brief stelling tegen een protocol dat is gebaseerd op een gedecentraliseerde aanpak zoals DP-3T (decentralized privacy preserving proximity tracing), waarbij de gegevens lokaal opgeslagen blijven. Dit zou betere garanties bieden op het gebied van gegevensbeveiliging en met betrekking tot de risico's van misbruik van gegevens door derden of gebruik voor andere doeleinden.

Laten we niet vergeten dat het bewaren van gegevens op lokaal niveau een evenredigheidsbeginsel en een beginsel van Privacy by Design is dat ook in andere contexten wordt toegepast, zoals bij de verwerking van biometrische gegevens.

De CNIL neemt hierover een duidelijk standpunt in, dat met name tot uiting komt in haar mededeling over het gebruik van biometrische gegevens via smartphones of op de werkplek. 

De door Google en Apple geïmplementeerde tools zijn (met name) ontwikkeld met dit lokale opslagperspectief dat wordt aanbevolen in het DP-3T-protocol, om een al te intrusief gebruik van gegevens van de laptops van gebruikers te voorkomen.

Het probleem ontstaat wanneer Frankrijk (en aanvankelijk Duitsland, dat inmiddels van gedachten is veranderd) een applicatie ontwikkelt op basis van het Robert-protocol (voor ROBust en privacy-beschermende proximity Tracing), die niet kan werken op basis van de functionaliteiten die Apple en Google voorstellen, en die specifieke vereisten stelt op het gebied van Bluetooth en datacentralisatie (de details worden hier helder uitgelegd).

Dit betekent op zichzelf niet dat de Franse aanvraag de beginselen inzake gegevensbescherming schendt: er zijn garanties gegeven (met name op het gebied van pseudonimisering) en de CNIL heeft, afgezien van enkele opmerkingen, een positief advies gegeven.

Maar als Frankrijk voorzorgsmaatregelen neemt, hoeveel andere min of meer democratische landen zouden dan misbruik maken van de "à la carte"-functies die Apple en Google bieden om hun bevolking veel ingrijpender te bewaken?

Dit verklaart – deels – de terughoudendheid van de webgiganten en de huidige impasse in de situatie.

Het voorzitterschap van de Europese Raad heeft dit onderwerp op de agenda gezet voor zijn bijeenkomst op 5 mei. Tijdens die bijeenkomst zullen de EU-ministers van telecommunicatie proberen een gemeenschappelijke aanpak te hanteren.

Het juridisch kader

Naast deze technische aspecten brengt het beheer van contactgegevens via dit soort applicaties gemeenschappelijke vragen met zich mee op juridisch vlak: laten we van meet af aan benadrukken dat de gegevens niet anoniem maar gepseudonimiseerd zijn, hetgeen van toepassing is op de AVG en de beginselen voor de bescherming van telecommunicatiegegevens.

Naast het vrijwillige karakter van het gebruik van de applicatie, mag de overheid dit soort gevoelige gegevens alleen verwerken als zij daartoe bevoegd is op basis van een specifieke wettelijke basis.

Bovendien moet de transparantie van de verwerking worden gewaarborgd, moeten de gegevens worden beveiligd en moet de verwijdering ervan binnen strikte termijnen worden gepland.

Of het nu gaat om de CNIL, de EDPB (groep van Europese "CNIL's"), de Europese Toezichthouder voor gegevensbescherming (EDPS) tijdens zijn hoorzitting in de Senaat op 27 april of de Raad van Europa, de toezichthoudende autoriteiten benadrukken dat geen enkel systeem volledig kwetsbaarheden en risico's van heridentificatie kan vermijden, ongeacht of het een gecentraliseerd of gedecentraliseerd systeem betreft.

Ze zijn het eens over de voorzorgsmaatregelen die moeten worden genomen bij het ontwerp en het gebruik van applicaties, maar ze benadrukken vooral het niet-triviale karakter van dit soort tools. Ze wijzen op het risico dat noodsituaties langer duren en dat de bevolking gewend raakt aan latente surveillance. 

In dezelfde trant kunnen we studenten noemen die er vandaag de dag aan moeten wennen dat hun docent regelmatig screenshots van hun terminal maakt wanneer ze een examen op afstand afleggen, en die dit soort inbreuk in andere contexten uiteindelijk normaal zouden kunnen vinden.

Het gaat er dus vooral om de fundamentele vraag naar de noodzakelijkheid van de maatregel, de impact ervan en de evenredigheid ervan ten opzichte van de gevolgen voor de grondrechten van individuen, niet uit de weg te gaan.

En ook:

• In Frankrijk:

Naast een aanzienlijk aantal praktische bladen met betrekking tot pandemiebeheer in het kader van wetenschappelijk onderzoek, arbeidsverhoudingen en het opsporen van individuen heeft de CNIL zojuist een publieke raadpleging over de rechten van minderjarigen in de digitale omgeving. Deze is open tot 1 juni 2020.

• Europa en internationaal:

Het Europees Comité voor gegevensbescherming (EDPB)) heeft verschillende documenten aangenomen die erop gericht zijn overheidsinstanties en bedrijven te begeleiden bij het beheer van gegevens in het kader van de pandemie. Deze documenten richten zich met name op de voorwaarden voor de verwerking van gegevens voor medische onderzoeksdoeleinden, op de internationale overdracht van deze gegevens en op de tracking en lokalisatie via mobiele terminals.

Op internationaal niveau zijn documenten van alle autoriteiten beschikbaar op de website van de Global Privacy Assembly.

BEUC (Europese Consumentenorganisatie) Op 21 april werd gecommuniceerd over een gezamenlijke actie met meer dan 40 organisaties voor consumentenrechten en -vrijheden met betrekking tot wijdverbreide surveillance door de adtech-industrie en digitale tracking.

België :De Autoriteit Persoonsgegevens heeft een Boete van € 50.000 voor schending van het onafhankelijkheidsbeginsel van de DPO : de geschillenkamer was derhalve van oordeel dat de cumulatie van deze functie met die van directeur van de afdelingen risicobeheer, audit en compliance een belangenconflict opleverde.

Nederland : Eind april heeft de Nederlandse toezichthouder haar hoogste boete opgelegd, namelijk 725 000 €, tegen een bedrijf dat vingerafdrukken van haar werknemers zonder echte rechtvaardiging op het gebied van veiligheid.

Anne Christine Lacoste

Als advocaat gespecialiseerd in gegevensrecht was zij Hoofd Internationale Betrekkingen bij de Europese Toezichthouder voor Gegevensbescherming en werkte zij aan de implementatie van de AVG in de Europese Unie.

In het kader van de uitbreiding van thuiswerken heeft de autoriteit ook een zeer gedetailleerde vergelijking gemaakt van de belangrijkste videoconferentiesystemen met betrekking tot gegevensbescherming. Alleen de Nederlandse versie is online beschikbaar, daarom voegen we de volledige onofficiële Engelse vertaling bij (met dank aan Christopher Schmidt). Aan deze lijst kunnen we ook de Tixeo-oplossing toevoegen, die door de CNIL wordt genoemd in haar aanbevelingen over videoconferenties en die gecertificeerd is door ANSSI.