De eerste piek van besmettingen met het nieuwe coronavirus (COVID-19) lijkt voorlopig voorbij. Veel organisaties werken aan een terugkeer naar het ‘normale’ leven, maar hoe kan dat op een veilige manier? Kan een corona-app hier dan bij helpen? Kan een corona-app een tweede piek vermijden? Wij lijsten de mogelijkheden en valkuilen op.
Er bestaat niet zoiets als “de corona-app”. Er bestaan immers verschillende soorten corona-apps. Een eerste belangrijk onderscheid dat moet worden gemaakt is of het initiatief wordt genomen door de overheid of door de private sector.
Een manier om de verspreiding van besmettelijke virussen, zoals het nieuwe coronavirus, af te remmen, is het contactonderzoek of het zogenaamde contact tracing. Bij het contactonderzoek gaan contact tracers na met wie een positief geteste persoon contact heeft gehad op het moment dat hij of zij besmettelijk was. Zo kunnen potentieel besmette personen worden geïdentificeerd en afgezonderd om de verspreiding van het virus te af te remmen.
Het contactonderzoek is niet nieuw. Het bestaat al langer, bijvoorbeeld voor besmettingen met tuberculose. Het nieuwe coronavirus blijkt echter zo besmettelijk te zijn, dat de capaciteit van het contactonderzoek onder druk komt te staan. Het contactonderzoek kost immers veel tijd en moeite.
De contact tracer zal een gesprek voeren met een positief geteste persoon. Zo’n gesprek kan al snel een uur duren, maar dit zou kunnen worden verkort als de contactpersonen automatisch in kaart kunnen worden gebracht, bijvoorbeeld door een corona-app.
Het ondersteunen van het contactonderzoek zou een doelstelling kunnen zijn van initiatieven genomen door de overheid.
Wat ook het doel van de corona-app zal zijn, er moeten een aantal vragen worden beantwoord.
In Singapore bestaat de TraceTogether-app. De voorbije weken en maanden hebben verschillende Europese lidstaten aan vergelijkbare apps gewerkt. Dat bleek echter niet altijd even eenvoudig. Door de openstaande vragen lijkt een corona-app er niet in elke lidstaat te komen.
Contactonderzoek komt toe aan de overheid, niet aan de private sector. De initiatieven genomen door de private organisaties, hebben dus een ander doel. Mogelijke doestellingen zouden kunnen zijn:
Zonder verder in te gaan op de juridische haalbaarheid van deze doelstellingen, moeten organisaties ervoor zorgen dat zij niet in één van de onderstaande valkuilen trappen.
Indien uw organisatie een corona-app ontwikkelt of gebruik wenst te maken van zo’n app, let dan op de volgende valkuilen.
De doelomschrijving van de corona-app is cruciaal. Zonder een concreet doel voor ogen, is het risico groot dat er meer persoonsgegevens worden verzameld en verwerkt dan noodzakelijk. Het doel zal moeten worden omschreven in de Data Protection Impact Assessment (DPIA). Deze is in bepaalde gevallen verplicht.
Een corona-app verplichten aan werknemers stelt een aantal juridische en praktische moeilijkheden. Kan de werkgever de werknemer wel verplichten om zijn smartphone mee te nemen naar het werk? Hoe zal de werkgever controleren of een werknemer de app heeft geïnstalleerd als het niet om een bedrijfssmartphone gaat? Wat als een werknemer weigert om de app te installeren?
Afhankelijk van de doelstelling van de corona-app, worden er potentieel veel persoonsgegevens verzameld via de app. Waarschijnlijk gaat het ook om gevoelige persoonsgegevens zoals medische gegevens of de locatiegegevens van de werknemer. Medische gegevens mogen niet zomaar worden verwerkt, en zeker niet zomaar worden gedeeld met andere werknemers. Dat zou bovendien werknemers kunnen stigmatiseren. En zal de corona-app ook persoonsgegevens verzamelen op momenten dat de werknemer niet op de werkvloer is? En hoe zal dat worden gecontroleerd? De vraag die dient te worden gesteld is of hetzelfde doel niet met minder ingrijpende middelen kan worden bereikt.
Deze hangt samen met de hierboven vermelde valkuilen, wat het zal allerminst eenvoudig zijn om vakbonden te overtuigen van een corona-app die buitenproportioneel of verplicht is, of die geen concreet omschreven doel heeft.
Het nieuwe coronavirus heeft een grote impact op onze maatschappij, maar dat betekent niet noodzakelijk dat er sprake is van een noodsituatie. Als er sprake zou zijn van nood, dan is het nog de vraag of een corona-app hieraan tegemoet kan komen. De meeste toezichthoudende autoriteiten lijken bovendien niet van mening te zijn dat er sprake is van een noodsituatie die een schending van de GDPR zou rechtvaardigen.
Als uw organisatie een corona-app ontwikkelt, is deze app dan specifiek voor COVID-19 bedoeld of kan deze ook dienen voor andere virussen? Als uw organisatie een corona-app gebruikt, hoe lang zal die dan worden gebruikt? Wanneer zal uw organisatie beslissen dat het gebruik van de corona-app niet meer noodzakelijk is? Op basis van welke parameters? Wat zal er dan gebeuren met de verzamelde persoonsgegevens? Hoe lang zullen die dan nog worden bewaard?
… is zelden goed. De ontwikkeling van een corona-app moet snel gaan en dan loeren fouten en datalekken om de hoek. Dat is gebleken bij een corona-app in Nederland. RTL Nieuws kon via de code van de app Covid19 Alert een database achterhalen met namen, e-mailadressen en versleutelde wachtwoorden. Deze database kwam van een gekoppelde app.
In een aantal gevallen is het verplicht om een Data Protection Impact Assessment (DPIA) of een gegevensbeschermingseffectbeoordeling (GEB) op te stellen. Dit is een diepgaande denkoefening. Uw organisatie zal op die manier vermijden om in één van de valkuilen te trappen. Daarnaast documenteert u best de genomen technische en organisatorische maatregelen om cybercriminelen een stap voor blijven.
Controleer dan het huiswerk van uw leverancier, want u kunt uw verantwoordelijkheid niet zomaar afschuiven op uw leverancier. Indien de werkgever persoonsgegevens van werknemers via een corona-app verzamelt en verwerkt, blijft de werkgever hier zelf verantwoordelijk voor.
Heeft u hulp nodig bij het opstellen van een DPIA of GEB? Of wenst uw organisatie gebruik te maken van een corona-app? Contacteer Timelex.
Meer lezen?