Het jaar 2020 werd gekenmerkt door een ongekende gezondheidscrisis, die ook aanzienlijke gevolgen had voor de bescherming van persoonsgegevens.


Covid-19, de privacy uitdaging van het jaar

Het jaar 2020 werd gekenmerkt door een ongekende gezondheidscrisis, die ook aanzienlijke gevolgen had voor de bescherming van persoonsgegevens.

De GBA kon zich uitspreken over de toepassing van gegevensverwerkingen die vóór de pandemie moeilijk voorstelbaar was, zoals de invoering van een mobiliteitsindex op basis van de telecommunicatiegegevens van de Belgen, of de ontwikkeling van methoden en toepassingen voor het traceren van de contacten van personen die met het coronavirus zijn besmet. Het was niet altijd gemakkelijk om een manier te vinden om de volksgezondheid te beschermen en tegelijk de bescherming van persoonsgegevens te waarborgen, maar het was noodzakelijk om de privacyrechten en vrijheden van individuen te beschermen.

Ondanks de beperkte middelen heeft de GBA daarom haar bewustmakingsinspanningen in 2020 verdubbeld, met name door een themadossier COVID-19 te publiceren op haar website, dat regelmatig wordt bijgewerkt met nieuwe richtsnoeren en vragen en antwoorden om burgers en verwerkingsverantwoordelijken in deze onzekere tijden de weg te wijzen.

Zij heeft ook talrijke adviezen uitgebracht aan parlementen en regeringen over normatieve teksten waarin de verwerking van gegevens door de Staat in het kader van de gezondheidscrisis wordt geregeld (verzameling, registratie en gebruik van gegevens, met name gezondheidsgegevens, in het kader van opsporing, vaccinatie of toezicht op de naleving van tests en quarantaine, bijvoorbeeld).

Tot slot heeft zij haar waakzaamheid verhoogd, met name door te reageren op een aantal zorgwekkende initiatieven zoals het meten van de temperatuur van reizigers op de luchthaven van Brussel of een gemeentelijk initiatief om covid-19-tests op te leggen. Verscheidene controledossiers in verband met het coronavirus zijn geopend en worden momenteel onderzocht door de Inspectiedienst en/of de Geschillenkamer van de GBA.


Adviezen

Normatieve ontwerpteksten

Sinds het begin van de pandemie van het coronavirus zijn talrijke normatieve teksten opgesteld en ten uitvoer gelegd om een kader te bieden voor verschillende soorten maatregelen, meestal van tijdelijke aard, met als doel:

  • of om de verspreiding van het virus te beperken (door het opleggen van maatregelen zoals " opsporen van contacten” of handhaving van de quarantaineverplichting) ;
  • of om burgers of organisaties te helpen wier situatie - met name financieel - sterk is aangetast door de crisis (via leningen, subsidies of kwijtscheldingen) ;
  • of om de werking van bepaalde overheidsdiensten te regelen waarvoor op normale tijden nauwe contacten tussen personen vereist zijn.

Overeenkomstig artikel 36.4 van de AVG moet de Autoriteit worden geraadpleegd vóór de invoering van wet- of regelgeving van algemene strekking die verwerkingen van persoonsgegevens invoert, wijzigt of onderwerpt aan nadere regels. De GBA brengt derhalve voorafgaand advies uit over ontwerpnormen die aan haar worden voorgelegd voordat erover wordt gestemd of ze worden toegepast.

De GBA heeft in 2020 een reeks adviezen over dergelijke ontwerpen van normatieve teksten uitgebracht. De volledige lijst van deze adviezen is te vinden op de website van de GBA (zie de pagina “Adviezen rond Covid-19”).

Veel van deze adviezen moesten binnen buitengewone termijnen worden uitgebracht om de uitvoering van de maatregelen in kwestie niet te vertragen.

In deze adviezen wordt in hoofdzaak nagegaan of de auteurs van de ontwerpteksten de beginselen van rechtmatigheid, voorzienbaarheid, noodzakelijkheid, proportionaliteit naleven, alsook andere beginselen en regels die voortvloeien uit de AVG, de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, de internationale verdragen betreffende de fundamentele rechten en de jurisprudentie (van het Hof van Justitie van de Europese Unie en het Hof van de Rechten van de Mens). De belangrijkste tekortkomingen die in deze adviezen zijn vastgesteld, hebben betrekking op:

  • het gebrek aan precisie in de beschrijving van de doeleinden van de beoogde gegevensverwerking (hetgeen de mogelijkheid openlaat dat de Staat gegevens, vaak gevoelige gegevens, hergebruikt voor andere doeleinden dan die waarvoor zij waren verzameld of gegenereerd)
  • het niet-limitatieve karakter van de categorieën verwerkte gegevens (waardoor de uitvoerende macht de bevoegdheid heeft gegevens aan de lijst van gegevens toe te voegen, hoewel dit in de wet is vastgelegd) en van de betrokken personen, en
  • het feit dat niet is bepaald voor welke derden de verzamelde en/of vastgelegde gegevens toegankelijk mogen worden gemaakt (waardoor de deur wordt opengezet voor onbeperkte uitwisseling van gezondheidsgegevens).

In het kader van de invoering van een systeem voor het traceren van risicovolle contacten zijn een twaalftal adviezen uitgebracht. De veelheid van adviezen over dit ene onderwerp wordt verklaard door het feit dat dit project aanvankelijk werd geregeld bij een Koninklijk Besluit met bijzondere bevoegdheden, dat vervolgens werd vervangen door een wetsontwerp, dat op zijn beurt het voorwerp uitmaakte van verschillende wijzigingen (waarover adviezen werden uitgebracht), vervolgens werd geformaliseerd in een nieuw besluit, dat op zijn beurt werd opgenomen in een ontwerp-samenwerkingsovereenkomst die, eenmaal gesloten, moest worden bekrachtigd door middel van verschillende wetten en decreten. Er werden ook teksten uitgevaardigd ter bevestiging van het oorspronkelijke besluit van bijzondere bevoegdheden, alsmede regionale decreten waarin de concrete organisatie van regionale centra voor de opsporing van contacten werd vastgelegd. Sommige van de gedane aanbevelingen zijn opgevolgd, andere niet. Dit is een belangrijke afwijking van de gewone werking en activiteit van het Kenniscentrum, waarvan de adviezen over het algemeen worden gevolgd.

De GBA heeft ook gebruik gemaakt van haar bevoegdheid om advies uit te brengen over twee teksten die het aanbod van een digitale toepassing voor de tracering van contacten (Coronalert) mogelijk maken en de werking ervan definiëren. Deze opmerkingen hebben voornamelijk betrekking op de centralisering bij Sciensano van de gegevens die deze App over haar gebruikers genereert.

De adviezen over de maatregelen voor de toekenning van premies, toelagen, leningen en andere compenserende voordelen en over de invoering van videoconferenties gaven aanleiding tot beperktere opmerkingen, met name omdat het om minder gevoelige gegevens gaat die geen uitsluitsel geven over de gezondheidstoestand van de burgers. De verzameling, de opslag en het gebruik van deze gegevens door de Staat vormt derhalve een minder ingrijpende inbreuk op het recht op gegevensbescherming van natuurlijke personen, zodat voor deze verwerkingen minder strenge eisen inzake wettelijke omkadering gelden.

Ten slotte werd eind december een advies uitgebracht over een Koninklijk Besluit “betreffende de registratie en de  verwerking van gegevens met betrekking tot vaccinaties tegen COVID-19". In dit advies wordt gewezen op een aantal ernstige tekortkomingen, waarvan sommige zijn gecorrigeerd bij de opstelling van de samenwerkingsovereenkomst die in de plaats is gekomen van dit koninklijk besluit.

Hier is een overzicht van de adviezen die in 2020 werden uitgebracht per aanvrager:

Aanvrager

Aantal adviezen

Voorzitter van de Kamer van Volksvertegenwoordigers

6  adviezen (42/2020, 43/2020, 44/2020, 46/2020 , 52/2020 en 59/2020)

Minister van Digitale Agenda, Telecommunicatie en Post, belast met Administratieve Vereenvoudiging, Bestrijding van de sociale fraude, Privacy en Noordzee

3 adviezen (34/2020, 36/2020 en 64/2020)

 

 

Vicepremier  en  Minister  van Justitie, bevoegd voor de Noordzee

2 adviezen (119/2020 en 131/2020)

Vice-ministerpresident, Minister voor Volksgezondheid en Sociale Zaken, Ruimtelijke Ordening en Huisvesting (Duitstalige Gemeenschap)

1 advies (50/2020)

Minister van Sociale Zaken en  Volksgezondheid, en van  Asiel en Migratie,

1 advies (79/2020)

Waals Minister van Klimaat, Energie en Mobiliteit

1 advies (72/2020)

Waals Minister van Werk, Vorming, Gezondheid, Sociale Actie, Gelijke Kansen en Vrouwenrechten

1 advies (96/2020)

Waals Viceminister-president en minister voor Economie, Buitenlandse Handel, Ruimtelijke Ordening en Landbouw

1 advies (97/2020)

Lid van het Verenigd College van de Gemeenschappelijke Gemeenschapscommissie, belast met  Gezondheid  en  Welzijn

1 advies (132/2020)

Minister van Economie van de Brusselse Hoofdstedelijke Regering

1 advies (137/2020)

Vice-eerste Minister en Minister van  Sociale Zaken en Volksgezondheid

1 advies (138/2020)

Gegevensbeschermingseffectbeoordelingen

In haar lange reeks van wetgevingsadviezen wees de GBA al meerdere keren op de noodzaak om een gegevensbeschermingseffectbeoordeling (GEB) op te stellen.

Al meteen in het begin van de crisis werd de GBA gevraagd om een advies te verstrekken over de gegevensbeschermingseffectbeoordeling van de door de regering voorgenomen mobiliteitsindex. Met deze index kregen beleidsmakers en experten aan de hand van de geanonimiseerde gegevens over de verplaatsing van mobiele telefoons, feitelijk cijfermateriaal om de effectiviteit van het (vroege) verplaatsingsverbod te evalueren.

Daarnaast vroeg het Belgisch instituut voor gezondheid, Sciensano, op 4 september een advies van de GBA over de GEB van Coronalert. Het advies van de GBA gaf groen licht om het ontwikkelingstraject van Coronalert verder te zetten, maar vestigde ook de aandacht op enkele risico’s.De GBA vroeg in het bijzonder om een nauwgezette opvolging van het risico op vals positieve resultaten, regelmatige veiligheidsaudits en toegankelijke informatie voor kwetsbare groepen zoals kinderen. Om de evolutie van al deze risico’s van kortbij op te volgen, vroeg de GBA om elke drie maanden een update van de GEB te bezorgen. De meest recente GEB van Coronalert kan je terugvinden op de website Coronalert.be.


De handhaving

Naast de ex ante-aanpak van de nieuwe maatregelen heeft de GBA uiteraard ook een handhavende taak ten aanzien van de concrete verwerkingen die in het kader van de bestrijding van Covid-19 plaatsvinden. De handhaving vindt uit de aard op een later tijdstip plaats. In 2020 heeft de GBA de eerste inspecties uitgevoerd en een eerste inspectierapport vastgesteld over cameratoezicht aan de kust. Op basis van dit Inspectierapport heeft de Geschillenkamer in januari 2021 een beslissing genomen, waarin  het onder meer de randvoorwaarden stelt voor minimale gegevensverwerking bij het meten van drukte door technische middelen.


Informatieve themadossiers op de website

Door de COVID-19-crisis overspoelden burgers en bedrijven de GBA met een enorm aantal vragen over de impact van de sanitaire maatregelen op onze privacy. Om al die vragen efficiënt op te vangen, werkte de GBA een proces uit om veelvoorkomende vragen zo snel mogelijk te detecteren en via specifieke themadossiers op haar website te beantwoorden.

Mag ik de lichaamstemperatuur van werknemers meten? Mag ik een camera installeren in mijn winkel die detecteert wanneer een klant geen mondmasker draagt? Mogen de cafés en restaurant de gegevens van klanten die ze tijdens de zomer moesten registreren ook gebruiken voor direct marketing? Kan een rusthuis mij verplichten om een vragenlijst in te vullen voordat ik vrijwilligerswerk mag doen? Mag een festival mij de toegang ontzeggen als ik geen vaccinatiebewijs op zak heb? Op al deze vragen gaf de GBA een antwoord in het themadossier COVID-19.De GBA gaf daarnaast proactief richtlijnen aan de lokale overheden om de pandemie te bestrijden met maximaal respect voor de privacy van haar burgers. De overheid is immers een prioritaire sector in het Strategisch Plan van de GBA en een goede ondersteuning van lokale besturen bleek snel noodzakelijk. In gemeente X moest een fitnessuitbater de gegevens van zijn klanten twee weken bewaren en in de gemeente Y drie weken? Een verplichte coronatest na een niet-toegelaten bijeenkomst? De richtlijnen van de GBA wezen lokale overheden op de risico’s en probeerden eenheid te brengen in de diverse, lokale maatregelen.


Proactieve monitoring

Door de COVID-19-crisis was de proactieve houding van de GBA meer dan ooit noodzakelijk. De GBA monitorde de evolutie van nieuwe technologieën of praktijken in de strijd tegen het virus en nam indien nodig contact op met bedrijven of ontwikkelaars om ervoor te zorgen dat privacy steeds centraal staat in het ontwikkelingsproces. Op deze manier wil de GBA verwerkingsverantwoordelijken bijstaan om de balans te vinden tussen privacy en innovatie. Nieuwe E-health toepassingen, slimme armbanden, apps voor contact-opsporing binnen bedrijven: het stond allemaal op de radar van de GBA.

Een monitoringbrief van de GBA heeft in de eerste plaats tot doel om accurate informatie op te vragen. Soms is bijkomend onderzoek noodzakelijk, bijvoorbeeld als de GBA twijfels heeft over de verwerking in kwestie. Dit was onder meer het geval  bij de installatie van hittecamera’s in de luchthaven van Zaventem of het netwerk van slimme camera’s voor druktemeting aan de kust, waarvoor de GBA besloot een verder onderzoek in te stellen via de Inspectiedienst. Voor het netwerk van slimme camera’s aan de kust leidde dit al tot een beslissing van de Geschillenkamer in het voorjaar van 2021. Samengevat: de GBA hield een oogje in het zeil!