COVID-19 en privacy

Mag een werkgever de temperatuur meten van een werknemer of bezoeker? En hoe zit het met bron- en contactonderzoek: is uw privacy gewaarborgd als de GGD kan beschikken over gegevens via de corona-app, het reserveringssysteem van een restaurant en anonieme zendmastdata?

Tekst: Katrijn van Berkum en Timo van Oosterhout

Autoriteit Persoonsgegevens staat temperaturen niet toe

Werkgevers willen vaak weten of werk- nemers en/of bezoekers zijn besmet met Covid-19. Een indicatie voor besmetting is een verhoogde lichaamstemperatuur. De Autoriteit Persoonsgegevens (AP) is duidelijk op dit punt. Het is voor werk-gevers, organisaties, ondernemingen – ook na toestemming, op welke manier dan ook – verboden om mensen te temperaturen en daarmee hun gezondheidsgegevens te verwerken. Op grond van de Algemene verordening gegevensbescherming (AVG) is dit niet toegestaan. Werkgevers mogen niet vragen naar de gezondheid van hun medewerkers. En zij mogen zelf geen medische gegevens van personeel verwerken. Alleen een bedrijfsarts mag dit. Ook aan bezoekers mag geen toestemming worden gevraagd. In de genoemde gevallen wordt aangenomen dat geen sprake is van een gelijkwaardige relatie. Op overtreding van de AVG staat een fikse boete. De AP heeft aangegeven handhavend op te treden.

Bron- en contactonderzoek

• Corona-app
Om het coronavirus te bestrijden, is het nodig te kijken met wie patiënten contact hebben gehad. De politiek ontwikkelt hiervoor een ‘corona-app’. Burgers krijgen dan via bluetooth een melding wanneer ze in contact zijn geweest met een Covidpatiënt. Het zou gaan om anonieme contactopsporing op basis van een programma van eisen van de GGD. 

De minister wil in de Wet publieke gezondheid (Wbg) vastleggen dat GGD’en bij bron- en contactonderzoek gebruik kunnen maken van digitale ondersteuning zoals de app. Ook heeft de minister al een wetsvoorstel in voorbereiding om misbruik van de app te verbieden.

• Gebruik van reserveringsgegevens van restaurants
Een ander middel voor het opsporen van het virus is het reserveringssysteem van restaurants. Met deze contactgegevens kunnen GGD’en klanten informeren als er iemand met Covid-19 in dezelfde horecagelegenheid is geweest. Klanten moeten voor het delen van gegevens met de GGD expliciet toestemming geven aan de horecaondernemer, zo schrijft de minister. Ook wordt gedacht aan het gebruik van reserveringsgegevens van andere sectoren, zoals van theater of bioscoop.

• Anonieme zendmastdata 
Het kabinet heeft eind mei een wetsvoorstel ingediend om de telecommunicatiewet, voor maximaal een jaar, te wijzigen ter bestrijding van Covid-19.  Via een tijdelijke noodwet wil hetkabinet het mogelijk maken dat het RIVM gebruik kan maken van anonieme zendmastdata om te toetsen of de ingezette gezondheidsmaatregelen effectief zijn, of juist aangepast moeten worden.  

De zendmastdata maken onherleidbare tellingen per gemeente mogelijk waardoor de verspreiding van het virus nauwkeuriger kan worden gevolgd en voorspeld. Bovendien kan het RIVM op die manier ook sneller handelen bij een opleving van het aantal besmettingen. Het gaat om een telling, per uur, per gemeente van het totale aantal mobiele telefoons dat daar aanwezig is inclusief de herkomst van telefoons uit andere gemeentes. Op die manier kan het mengen van groepen personen (bijvoorbeeld tussen twee gemeentes) worden vastgesteld zodat potentiële risico’s van virusoverdracht tussen personen in beeld komt. Het RIVM kan vervolgens de GGD’en waarschuwen en adviseren en ook maatregelen voorstellen voor het landelijk en lokaal bestuur. 

Het kabinet stelt dat in het wetsvoorstel rekening is gehouden met de privacy.  Zo zijn de data niet herleidbaar naar een persoon. 

Kanttekeningen

De inrichting van het bron- en contactonderzoek kent in relatie tot de privacy veel haken en ogen. Eerder liet de Autoriteit Persoonsgegevens zich al kritisch uit over de opzet van de eerste corona-apps.  Zowel bij een app, als bij het gebruik van reserveringsgegevens kan de verwerking van de (persoons)gegevens mogelijk problemen opleveren. Daarnaast blijft het de vraag of de eventuele voordelen van de inzet van deze middelen mogelijke privacyschendingen wel rechtvaardigen.

Alternatieven

Zijn er geen minder ingrijpende alternatieven? Ook andere partijen, waaronder de Consumentenbond, uitten eerder al hun zorg. Bij persoonsgegevens gaat het immers om informatie die ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. De bescherming van de persoonlijke levenssfeer is een grondrecht. Hoe de uitwerking van de app en het voornemen tot het gebruik van reserveringsgegevens zal zijn, is nog niet bekend.

Senior jurist Katrijn van Berkum en advocaat Timo van Oosterhout zijn werkzaam bij Stichting VvAA Rechtsbijstand.