COVID-19 en het gebruik van gezondheidsapps

De GBA ontvangt deze dagen uitzonderlijk veel vragen over het gebruik van allerlei soorten gegevens in de bestrijding van de COVID-19 epidemie. Ook voor ons zijn Volksgezondheid en de bestrijding van de verspreiding uiteraard van het allergrootste belang. We zien echter apps ontstaan die daarbij de bestaande regels niet respecteren en brengen daarom een aantal uitgangspunten in herinnering.

1. Anoniem

Indien er voor het nuttig gebruik van de app door de patiënt geen nood is om persoonsgegevens te verwerken, geschiedt dit niet. In dat geval mogen aan de gebruiker geen rechtstreeks identificerende gegevens (naam en voornaam, mailadres, identificatienummer rijksregister, GSM-nummer, …)  worden gevraagd. Er mogen ook geen gegevens worden opgevraagd of gebruikt (vb. identificatie van het toestel of connectie) waarvan de combinatie toelaat de patiënt onrechtstreeks te identificeren.  Let wel op: gegevens zijn enkel (voldoende) anoniem, als zij ook in combinatie met andere gegevens (ook van andere partijen) niet meer tot her-identificatie kunnen leiden (vb. IP adressen zijn altijd persoonsgegevens, want met de hulp van een telecomoperator kan men iemand re-identificeren).

2. Zorgrelatie

Indien het gebruik van de app kadert binnen een bestaande zorgrelatie van een patiënt met een zorgverstrekker of een zorginstelling, wordt dat uitdrukkelijk aangegeven en wordt er ook voor gezorgd dat de persoonsgegevens enkel worden verwerkt in het kader van de kwaliteit en de continuïteit door die zorgverlener of door andere zorgverleners die een zorgrelatie hebben met de patiënt. De patiënt wordt dan bij voorkeur door de zorgverlener uitgenodigd om de app te gebruiken.

3. Andere gevallen

In de situaties waar 1. of 2. niet van toepassing zijn, dient een app, die persoonsgegevens verwerkt, op het allereerste scherm, en voordat de gebruiker enig persoonsgegeven ingeeft of gegevens van hem worden gebruikt, de informatie te verstrekken die wordt vereist door de GDPR (verwerkingsverantwoordelijke, precies doel van de verwerking, gebruik van cookies…). Rechtstreeks identificerende persoonsgegevens (naam en voornaam, mailadres, identificatienummer rijksregister, GSM-nummer, …) worden niet opgevraagd bij het begin van het gebruik van de app. Tijdens het gebruik van de app worden enkel persoonsgegevens gebruikt voor de goede werking van de app binnen het kader van het vermelde doeleinde en onder de verantwoordelijkheid van de vermelde verwerkingsverantwoordelijke. Op het einde van het gebruik van de app kan aan de patiënt worden gevraagd of hij zijn persoonsgegevens wil laten doorgeven in het kader van een bestaande zorgrelatie (vb. resultaat van zijn zelfevaluatie doorgeven aan de huisdokter), of om een nieuwe zorgrelatie aan te maken. Zo ja, dan kunnen de nodige bijkomende persoonsgegevens worden opgevraagd en doorgegeven, zoniet worden alle persoonsgegevens gewist en niet verder gebruikt.