Een gespannen verjaardag

Juridische Watch nr. 24 – Mei 2020

Een gespannen verjaardagDe AVG viert haar tweede verjaardag in een bijzonder turbulente context voor grondrechten.

Hoe veerkrachtig zal het Europese gegevensbeschermingssysteem zijn gezien de huidige uitdagingen op het gebied van gezondheidszorg?

Zijn de grondslagen van de rechten die burgers in Europa beschermen, nu al op de proef gesteld in de strijd tegen terrorisme, aangepast aan de ontwikkelingen die we vandaag de dag meemaken?

• Noodwetten en technologisch ‘solutionisme’

Noodwetten en technologische ontwikkelingen die het mogelijk maken het volgen van individuen vermenigvuldigen zich in Europa en de rest van de wereld.

Als je beter kijkt, zie je dat niet al deze initiatieven hetzelfde zijn.

Binnen de Europese Unie zelf zijn bijvoorbeeld de Franse en Hongaarse noodwetten zeer verschillend qua beperkingen en toepassingsgebied.

In Frankrijk is de regering verwikkeld in een verhit parlementair debat, met name over de tracering van besmette personen en de preventieve quarantaine van zieken. Sommige bepalingen zijn zelfs door de Constitutionele Raad gecensureerd.

Hongarije gaat nog een stap verder door de rol van het parlement in het algemeen te beperken en meer specifiek de bescherming die de AVG biedt met betrekking tot profilering, het recht van personen op toegang tot hun gegevens en het recht om vergeten te worden.

Ook zijn er grote verschillen als je de Duitse 'covid'-tracking-app, die gebaseerd is op een gedecentraliseerd systeem met minimale gegevensverzameling, vergelijkt met de Britse app, waarvan de (identificeerbare) gegevens twintig jaar lang door de overheid worden bewaard, zonder dat er vooraf een effectbeoordeling wordt uitgevoerd.

Het Bureau van de Europese Unie voor de grondrechten (FRA) heeft twee rapporten gepubliceerd waarin de impact van de maatregelen die Europese landen nemen op de grondrechten wordt beoordeeld.

Zij waarschuwt voor de ontwikkeling van indringende maatregelen en deverslaving aan deze nieuwe stand van zaken.

Hoewel individuen uiteraard moeten kunnen profiteren van de meest volledige informatie die mogelijk is, evenals van controlemiddelen (toestemming, recht van verzet en recht op verwijdering) in het kader van de implementatie van trackingsystemen, Gegevensbeschermingsautoriteiten wijzen erop dat de rechtmatigheid van deze systemen niet uitsluitend op de toestemming van de betrokkenen kan worden gebaseerd..

Zoals de CNIL in haar advies over de inmiddels operationele StopCovid-app opmerkt, "zal het werkelijke nut van het apparaat nauwkeuriger moeten worden onderzocht na de lancering ervan."

De duur van de implementatie van het systeem moet afhankelijk zijn van de resultaten van deze regelmatige evaluatie.”

Zijn dergelijke ex-postevaluaties voldoende? Een grondige beoordeling van het nut van nieuwe tracking-apparaten zou in principe vooraf moeten gaan aan de implementatie van de verwerking, zelfs (en vooral) in noodsituaties, wanneer gevoelige gegevens worden verwerkt.

• Institutionele waarborgen

Naast het Parlement en instellingen als de CNIL moeten ook Franse rechtbanken en gerechtshoven zich uitspreken over het verzamelen van gegevens.

Dit is het geval bij de Raad van State, die bij beschikking van 18 mei de Staat heeft bevolen alle maatregelen van dronebewaking om de opsluiting in Parijs te controleren.

Hetzelfde geldt voor het gerechtshof van Rennes, dat demet behulp van het ADOC-bestand (boetedossier) om te controleren op herhaaldelijke overtredingen van de opsluitingsregels.

Opgemerkt dient te worden dat deze recente beslissingen gebaseerd zijn op het al dan niet bestaan van een wettelijke basis, zonder dat hiermee op een meer fundamentele wijze de proportionaliteit van de dwangmaatregelen in twijfel wordt getrokken.

Hoe zit het dan met de proportionaliteit van deze maatregelen? Is er voldoende rekening gehouden met de ethische vragen die een mogelijke verschuiving in toezichtmethoden met zich meebrengt?

Recente aanbevelingen van de WHO met betrekking tot de ethiek van trackingtechnologieën wijzen op de dunne lijn tussen gezondheidstoezicht en bevolkingstoezicht, en de toegenomen risico's voor gemarginaliseerde mensen.

De WHO pleit voor effectief toezicht op publieke en private actoren die betrokken zijn bij het beheer van bevolkingsgegevens.

In het document worden de essentiële principes opgesomd die in de huidige context moeten worden gerespecteerd, en is een zeer nuttig overzicht opgenomen van recente mededelingen van overheidsinstanties en internationale organisaties (een uitgebreide compilatie is ook beschikbaar op de website van de Global Privacy Assembly).

• De essentiële rol van de actoren achter de behandelingen

Deze overwegingen benadrukken de noodzaak van een diepgaande reflectie op de verantwoordelijkheid van de actoren die betrokken zijn bij bewakingssystemen, op het niveau van overheidsinstanties maar ook van particuliere actoren.

Voordat we onszelf in ‘de wereld hierna’ projecteren, kijken we eerst naar de hulpmiddelen die we vandaag de dag tot onze beschikking hebben.

De originaliteit van de AVG ten opzichte van het vorige wettelijk kader schuilt met name in de verantwoordingsmaatregelen die het biedt.  De verwerkingsverantwoordelijke, ongeacht of dit een overheids- of een particulier bedrijf is, moet verantwoording afleggen.

Het is verantwoordelijk voor het evalueren van de ontwikkeling van hulpmiddelen voor gegevensbeheer, niet alleen in het licht van economische en politieke kwesties, maar ook van fundamentele rechten. Dit gebeurt met name door vooraf de impact van de verwerking op de rechten van individuen te analyseren.

En aan deze verplichting zijn boetes verbonden, zoals Finland Post onlangs moest ondergaan toen het bedrijf werd veroordeeld omdat het geen impactanalyse had uitgevoerd voordat het bedrijf de gegevensverwerking uitvoerde.

Het integreren van gegevensbescherming in het ontwerp van een verwerkingsapparaat en het configureren van het apparaat om de verzamelde gegevens te beperken, ook wel bekend als "privacy by design" en "privacy by default", vormen twee andere essentiële elementen om rekening te houden met de rechten van individuen voordat er met enige gegevensverwerking wordt begonnen.

Het is deze sleutelrol van de AVG die de voorzitter van het Europees Comité voor gegevensbescherming, Andrea Jelinek, in herinnering brengt in haar toespraak ter gelegenheid van de verjaardag van de verordening.

De AVG is aangepast aan de crises die we doormaken, maar het is niet alleen de verantwoordelijkheid van de toezichthoudende autoriteiten, maar ook en vooral van de verwerkingsverantwoordelijken. speel het spel.

DE respect voor fundamentele rechten is ongetwijfeld, vandaag de dag meer dan ooit, een essentiële stap om ervoor te zorgen dat vertrouwen en heeft hetaanvaarding door individuen van nieuwe technologische ontwikkelingen.

Zonder vertrouwen staat de effectiviteit van gezondheidsmaatregelen op het spel, en daarmee ook de uitkomst van de crisis die we doormaken. 

Anne Christine Lacoste

Als advocaat gespecialiseerd in gegevensrecht was zij Hoofd Internationale Betrekkingen bij de Europese Toezichthouder voor Gegevensbescherming en werkte zij aan de implementatie van de AVG in de Europese Unie.