Is contact tracing GDPR-compliant in Covid-tijden?

10.06.2020

Gaan contact tracing en GDPR samen? Teneinde COVID-19 zo effectief mogelijk te bestrijden, besliste de regering om gebruik te maken van contact tracing. Natuurlijk is het zo dat contact tracing gepaard gaat met de verwerking van persoonsgegevens. Daarbij denken wij aan de General Data Protection Regulation (GDPR) en rijst de vraag of dat gebeurt in overeenstemming hiermee.

Contact tracing en GDPR: het opzet

Om de verspreiding van het virus verder in te dijken en nieuwe opflakkeringen te voorkomen, wil de regering een zicht krijgen op de contacten die wij allen (opnieuw) met elkaar hebben. Men wil graag weten wie wat heeft gedaan, wanneer en uiteraard met wie. Om zo efficiënt mogelijk te kunnen werken, wil men al deze informatie centraliseren in een databank. Het spreekt voor zich dat de verzamelde informatie heel wat gevoelige informatie bevat, zoals medische gegevens.

Zeer recent heeft de dienst belast met het toezicht op de verwerking van persoonsgegevens, de Gegevensbeschermingsautoriteit (GBA), een vernietigend advies gegeven over het wetsvoorstel dat het juridisch kader schept inzake contact tracing. Zij stelt dat het wetsvoorstel vaag en slecht leesbaar is, dat er te veel en overbodige data wordt verzameld, dat er aan artsen gevraagd wordt hun beroepsgeheim te schenden en vooral dat het onvoldoende formuleert waarom het nodig is bijzonder privacygevoelige persoonlijke data in een grote gecentraliseerde databank te verzamelen.

Ongeveer gelijktijdig oordeelde de Raad van State dat ook het wetsvoorstel voor de invoering en het gebruik van een contact tracing app alles behalve voldeed.

Voor het hele contact tracing verhaal is er dus nog heel wat werk aan de (wetgevende) winkel.

Actieve Gegevensbeschermingsautoriteit

Gedurende de corona crisis heeft de GBA zich overigens van haar meest actieve kant laten zien. Zij heeft beslissingen ten gronde genomen in hangende dossiers. De meest opvallende daarbij zijn de veroordelingen van DKV en Proximus, beiden tot betaling van een geldboete van 50.000,00 EUR.

DKV werd veroordeeld voor het gebrek aan een gerechtvaardigd belang inzake de verwerking van medische gegevens. De verwerking van medische gegevens is namelijk onderworpen aan zeer strikte regelgeving aangezien die een bijzondere categorie van persoonsgegevens uitmaken.

Proximus daarentegen kreeg een boete vanwege het gebrek aan onafhankelijkheid van de DPO (functionaris voor gegevensverwerking). De GBA oordeelde dat, in dit concrete geval, de functie van DPO niet tezelfdertijd kan worden uitgeoefend door het hoofd van Interne Audit. Deze persoon heeft in de organisatie immers bepaalde bevoegdheden en bijhorende beslissingsmacht. Hierdoor zou hij als DPO de beslissingen die hij zelf als hoofd van Interne Audit heeft genomen, moeten evalueren. Dat strookt uiteraard niet met de onafhankelijkheidsvereiste.

In de praktijk stellen wij regelmatig vast dat de DPO ook een andere functie binnen de onderneming bekleedt. Welke medewerker van de onderneming mag dan wel worden aangesteld als DPO? Als vuistregel hebben de volgende functies automatisch een belangenconflict : functies  in  het  hogere  management  (bijv.  CEO,  COO,  CFO,  hoofd  van  de  marketingafdeling,  hoofd van HR of hoofd van de IT-afdeling). Ook bij andere functies binnen de organisatiestructuur kan er zich een probleem voordoen als die personen de  doelstellingen  van  en  middelen  voor  de  verwerking  van  gegevens  moeten  bepalen.

Hacking

In navolging van de inwerkingtreding van de nieuwe privacyregels, hebben heel wat ondernemingen bijkomende technische beveiligingsmaatregelen genomen om hun gegevens en netwerk beter te beschermen. In deze tijden wordt deze beveiliging nog meer dan anders getest.

Hackers en COVID-19 vertonen immers drie grote gelijkenissen: onzichtbaar, alomtegenwoordig en ongrijpbaar. Helaas zijn hackers zeer actief gedurende de coronacrisis, getuige de zware cyberaanval op Arvesta, het moederbedrijf achter de Aveve-winkels.

Nu het telewerk in de toekomst meer en meer een gewoonte zal worden, proberen hackers daar op in te spelen door inventief te werk te gaan. Aangezien men een stijging ziet in de zoekopdrachten over COVID-19, lanceren hackers bijvoorbeeld phishingwebsites met de term “corona” erin waarbij zij vervolgens gebruikersnamen en wachtwoorden ontfutselen. Bovendien bevatten dergelijke websites vaak een virus of malware die zich in de computer zal nestelen.

Zorg dan ook dat uw onderneming daartegen, voor zover mogelijk, de nodige maatregelen neemt en informeer uw medewerkers duidelijk en op gezette tijdstippen over het risico dat zij lopen en op welke manier zij zo veilig mogelijk kunnen werken.

Aarzel niet om ons te contacteren indien u hieromtrent nog vragen zou hebben!

Wij trachten u zo goed en zo snel mogelijk te informeren. De inhoud van dit artikel is gebaseerd op de beschikbare informatie op het ogenblik van de publicatie ervan. De standpunten in onze publicaties kunnen wijzigen naar aanleiding van updates. Deze nieuwsbrief is bijgevolg louter informatief en creëert geen bindend of exhaustief advies. Uiteraard trachten wij onze teksten zo snel mogelijk aan te passen aan de wijzigende richtlijnen en regelgeving. Voor vragen of advisering kan u contact opnemen met ons kantoor.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© Van Havermaet 2022

Wij maken gebruik van cookies of gelijkaardige technologieën (bv. pixels of sociale media plug-ins) om o.a. uw gebruikservaring op onze website zo optimaal mogelijk te maken. Daarnaast wensen wij analyserende en marketing cookies te gebruiken om uw websitebezoek persoonlijker te maken, gerichte advertenties naar u te verzenden en om ons meer inzicht te geven in uw gebruik van onze website.

Gaat u ermee akkoord dat we cookies gebruiken voor een optimale websitebeleving, opdat wij onze website kunnen verbeteren en om u te kunnen verrassen met advertenties? Bevestig dan met "OK".

Wenst u daarentegen specifieke voorkeuren in te stellen voor verschillende soorten cookies? Dat kan via onze cookie policy. Wenst u meer uitleg over ons gebruik van cookies of hoe u cookies kan verwijderen? Lees dan onze cookie policy.