Beste klant of relatie, onze kantoren zijn weer open voor gebruik. We hebben voldoende beschermingsmaatregelen genomen om uw en onze veiligheid te garanderen. Graag tot snel & onze gezonde wensen voor u & uw naasten.

Contact tracing in tijden van COVID-19: GDPR-compliant?

Teneinde COVID-19 zo effectief mogelijk te bestrijden, besliste de regering om gebruik te maken van contact tracing. Natuurlijk is het zo dat contact tracing gepaard gaat met de verwerking van persoonsgegevens. Daarbij denken wij aan de General Data Protection Regulation (GDPR) en rijst de vraag of dat gebeurt in overeenstemming hiermee.

Om de verspreiding van het virus verder in te dijken en nieuwe opflakkeringen te voorkomen, wil de regering een zicht krijgen op de contacten die wij allen (opnieuw) met elkaar hebben. Men wil graag weten wie wat heeft gedaan, wanneer en uiteraard met wie. Om zo efficiënt mogelijk te kunnen werken, wil men al deze informatie centraliseren in een databank. Het spreekt voor zich dat de verzamelde informatie heel wat gevoelige informatie bevat, zoals medische gegevens.

Zeer recent heeft de dienst belast met het toezicht op de verwerking van persoonsgegevens, de Gegevensbeschermingsautoriteit (GBA), een vernietigend advies gegeven over het wetsvoorstel dat het juridisch kader schept inzake contact tracing. Zij stelt dat het wetsvoorstel vaag en slecht leesbaar is, dat er te veel en overbodige data wordt verzameld, dat er aan artsen gevraagd wordt hun beroepsgeheim te schenden en vooral dat het onvoldoende formuleert waarom het nodig is bijzonder privacygevoelige persoonlijke data in een grote gecentraliseerde databank te verzamelen.

Ongeveer gelijktijdig oordeelde de Raad van State dat ook het wetsvoorstel voor de invoering en het gebruik van een contact tracing app alles behalve voldeed.

Voor het hele contact tracing verhaal is er dus nog heel wat werk aan de (wetgevende) winkel.

Actieve Gegevensbeschermingsautoriteit

Gedurende de corona crisis heeft de GBA zich overigens van haar meest actieve kant laten zien. Zij heeft beslissingen ten gronde genomen in hangende dossiers. De meest opvallende daarbij zijn de veroordelingen van DKV en Proximus, beiden tot betaling van een geldboete van 50.000,00 EUR.

DKV werd veroordeeld voor het gebrek aan een gerechtvaardigd belang inzake de verwerking van medische gegevens. De verwerking van medische gegevens is namelijk onderworpen aan zeer strikte regelgeving aangezien die een bijzondere categorie van persoonsgegevens uitmaken.

Proximus daarentegen kreeg een boete vanwege het gebrek aan onafhankelijkheid van de DPO (functionaris voor gegevensverwerking). De GBA oordeelde dat, in dit concrete geval, de functie van DPO niet tezelfdertijd kan worden uitgeoefend door het hoofd van Interne Audit. Deze persoon heeft in de organisatie immers bepaalde bevoegdheden en bijhorende beslissingsmacht. Hierdoor zou hij als DPO de beslissingen die hij zelf als hoofd van Interne Audit heeft genomen, moeten evalueren. Dat strookt uiteraard niet met de onafhankelijkheidsvereiste.

In de praktijk stellen wij regelmatig vast dat de DPO ook een andere functie binnen de onderneming bekleedt. Welke medewerker van de onderneming mag dan wel worden aangesteld als DPO? Als vuistregel hebben de volgende functies automatisch een belangenconflict : functies  in  het  hogere  management  (bijv.  CEO,  COO,  CFO,  hoofd  van  de  marketingafdeling,  hoofd van HR of hoofd van de IT-afdeling). Ook bij andere functies binnen de organisatiestructuur kan er zich een probleem voordoen als die personen de  doelstellingen  van  en  middelen  voor  de  verwerking  van  gegevens  moeten  bepalen.

Hacking

In navolging van de inwerkingtreding van de nieuwe privacyregels, hebben heel wat ondernemingen bijkomende technische beveiligingsmaatregelen genomen om hun gegevens en netwerk beter te beschermen. In deze tijden wordt deze beveiliging nog meer dan anders getest.

Hackers en COVID-19 vertonen immers drie grote gelijkenissen: onzichtbaar, alomtegenwoordig en ongrijpbaar. Helaas zijn hackers zeer actief gedurende de coronacrisis, getuige de zware cyberaanval op Arvesta, het moederbedrijf achter de Aveve-winkels.

Nu het telewerk in de toekomst meer en meer een gewoonte zal worden, proberen hackers daar op in te spelen door inventief te werk te gaan. Aangezien men een stijging ziet in de zoekopdrachten over COVID-19, lanceren hackers bijvoorbeeld phishingwebsites met de term “corona” erin waarbij zij vervolgens gebruikersnamen en wachtwoorden ontfutselen. Bovendien bevatten dergelijke websites vaak een virus of malware die zich in de computer zal nestelen.

Zorg dan ook dat uw onderneming daartegen, voor zover mogelijk, de nodige maatregelen neemt en informeer uw medewerkers duidelijk en op gezette tijdstippen over het risico dat zij lopen en op welke manier zij zo veilig mogelijk kunnen werken.

Aarzel niet om ons te contacteren indien u hieromtrent nog vragen zou hebben!

 

Wij trachten u zo goed en zo snel mogelijk te informeren. De inhoud van dit artikel is gebaseerd op de beschikbare informatie op het ogenblik van de publicatie ervan. De standpunten in onze publicaties kunnen wijzigen naar aanleiding van updates. Deze nieuwsbrief is bijgevolg louter informatief en creëert geen bindend of exhaustief advies. Uiteraard trachten wij onze teksten zo snel mogelijk aan te passen aan de wijzigende richtlijnen en regelgeving. Voor vragen of advisering kan u contact opnemen met ons kantoor.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© Van Havermaet 2020