Noodzaak in crisistijd?

27/03/2020 - De Europese Commissie (EC) heeft verschillende telecomproviders in Europa gevraagd om ‘geanonimiseerde mobiele metadata’ aan haar te verstrekken. Door met behulp van de metadata mobiliteitspatronen van Europese burgers te analyseren wil de EC verspreiding van het virus op Europees niveau beter in kaart brengen en bestrijden. Een bijzonder verzoek in een bijzondere tijd. 

Nederlandse telecomproviders hebben aangegeven nog niet benaderd te zijn, maar in beginsel mee te willen werken aan een verzoek, mits de verstrekking en het gebruik van de gegevens in lijn met de (privacy)wetgeving is.

Begrijpelijke behoefte, maar mogelijke privacyrisico’s

Dat verregaande maatregelen nodig zijn in de bestrijding tegen het virus is duidelijk. Op dit moment is echter onvoldoende helder welke waarborgen getroffen worden om de privacy van Europese burgers te borgen bij het opvragen en inzetten van de metadata. Transparantie is belangrijk, omdat er mogelijke privacyrisico’s kleven aan het verzoek van de EC.

Zo is metadata een breed begrip, en is nog onduidelijk welke gegevens precies moeten worden verstrekt door de telecombedrijven. Gaat het alleen om locatiegegevens, of worden meer gegevens opgevraagd? Het is belangrijk om na te gaan of alle te verstrekken gegevens bijdragen aan het indammen en bestrijden van het virus. Metadata kunnen immers veel over iemand zeggen. Juist om die reden is het ook belangrijk dat een goede afweging gemaakt wordt tussen de privacyrisico’s enerzijds en de toegevoegde waarde die de inzet van de metadata zal hebben op de bestrijding van het coronavirus anderzijds.

Daarnaast zijn locatiegegevens lastig te anonimiseren zonder specifieke maatregelen, zoals een afgeschermde dataopslag en vergaande aggregatie. Locatiedata zijn immers al snel te herleiden naar een individuele persoon als deze worden bijgehouden over een langere periode. In Italië heeft de overheid locatiedata zelfs gebruikt voor het opleggen van een contactverbod in het kader van de ‘lockdown’, niet bepaald anoniem dus. De betreffende Eurocommissaris, Thierry Breton, heeft echter benadrukt dat de data het niet mogelijk zullen maken om individuele gebruikers te identificeren. Hoe anonimiteit zal worden bereikt, is echter niet bekendgemaakt.

Er wordt gezegd dat in het plan van de EC is vastgelegd dat het de EC is die bepaalt hoe de metadata zal worden gebruikt, en niet de telecomproviders. Aangezien de EC ook het doel van het gebruik van de gegevens bepaalt, namelijk het in kaart brengen van mobiliteitspatronen, trekt de EC hiermee verwerkingsverantwoordelijkheid naar zich toe. Althans, in het geval de gegevens onvoldoende worden geanonimiseerd en daardoor toch herleidbaar zijn tot individuele burgers. Gezien de schaal en de mogelijke gevoeligheid van de te verzamelen data is dit een flinke morele en juridische verantwoordelijkheid. Onduidelijk is waarom de EC de keuze om metadata al dan niet in te zetten niet bij de lidstaten laat, zoals op dit moment ook de andere maatregelen om het virus te bestrijden per lidstaat worden bepaald. 

Zorgen vanuit de politiek

In de Tweede Kamer is bezorgd gereageerd op het verzoek van de EC, te meer omdat de gegevens op Europees niveau worden opgeslagen, in plaats van door de lidstaten zelf.  Staatssecretaris Mona Keijzer van Economische Zaken heeft aangegeven de meerwaarde van een eventuele verstrekking door Nederlandse telecombedrijven te zullen onderzoeken.

Hoe nu verder?

Het is afwachten hoe een verantwoorde omgang met de te verstrekken gegevens wordt geborgd door de EC, zodat daadwerkelijk sprake is van geanonimiseerde mobiele metadata. De vraag is of de EC hier duidelijkheid over zal verschaffen. Het is op dit moment nog niet zeker dat Nederlandse telecombedrijven daadwerkelijk zullen overgaan tot verstrekking van metadata, indien zij hiertoe een verzoek krijgen. Wij hopen in ieder geval dat eventueel verstrekte metadata een positieve bijdrage zal leveren aan de bestrijding van het coronavirus, met daarbij geschikte waarborgen om de impact op de privacy van Nederlandse burgers te minimaliseren. De Autoriteit Persoonsgegevens stelt niet voor niets dat de crisis geen opmaat mag worden naar een big-brother maatschappij.

Sybren Spoelstra Legal Consultant

Privacy Spoedhulp

Heeft uw organisatie praktische vragen met betrekking tot de AVG en het coronavirus en wilt u borgen dat de privacy van uw medewerkers, klanten, of andere betrokkenen gewaarborgd blijft tijdens de crisis? 

Meer informatie Privacy Spoedhulp