In de kijker

Een nieuw jaar in het teken van Covid-19

Net als in 2020 stond het jaar 2021 vooral in het teken van de strijd tegen Covid-19. Wat de privacy betreft, vormden vaccinatie en de daarmee samenhangende gegevensverwerking de grootste uitdaging van het jaar. Opnieuw moest de GBA zich uitspreken over de uitvoering van gegevensverwerkingen die vóór de pandemie moeilijk voorstelbaar waren geweest, zoals de invoering van het Covid Safe Ticket (CST).

Het was niet altijd gemakkelijk een manier te vinden om de volksgezondheid en het ziekenhuissysteem te beschermen en tegelijkertijd de bescherming van persoonsgegevens te waarborgen. De GBA drong met name aan op de eisen van noodzakelijkheid en evenredigheid van de maatregelen die ter bestrijding van het coronavirus werden opgelegd. Aangezien de gegevens die in het kader van de Covid-19-maatregelen worden verwerkt voornamelijk gezondheidsgegevens zijn en dus zeer gevoelig zijn, heeft de GBA er bijzonder nauwlettend op toegezien dat de nodige waarborgen ter bescherming van die gegevens worden voorzien. De GBA stuurde in 2021 een brief naar alle Belgische regeringen en parlementen waarin ze vroeg erop toe te zien dat de maatregelen die werden genomen in de strijd tegen het coronavirus, de fundamentele gegevensbeschermingsbeginselen eerbiedigen.

In 2021 werden ook beslissingen genomen over handhavingsdossiers in verband met Covid-19. De eerste daarvan is de invoering van een camerasysteem aan de kust om het bezoekersaantal te meten.

De GBA verstrekte ook talrijke adviezen aan parlementen en regeringen over normatieve teksten die de verwerking van gegevens door de staat in het kader van de gezondheidscrisis mogelijk maken (zoals de invoering van het CST, de invoering van een kleine werkloosheidsuitkering voor vaccinaties of de invoering van een vaccinatieverplichting voor personeel in de gezondheidszorg). Ten slotte voerde zij haar waakzaamheid op, met name door te reageren op mogelijke beveiligingslekken in systemen die gezondheidsgegevens verwerken, zoals de CovidScan-applicatie en het Bruvax-platform.

Verscheidene controledossiers in verband met het coronavirus zijn geopend en worden momenteel onderzocht door de inspectiedienst en/of de Geschillenkamer van de GBA.

Tot slot heeft de GBA ook verder gewerkt aan de bewustmaking van burgers en verwerkingsverantwoordelijken door haar Covid-themadossier‑ bij te werken en een pagina te wijden aan de vaccinatie.

Adviezen

Sinds het begin van de pandemie van het coronavirus zijn talrijke normatieve teksten opgesteld en ten uitvoer gelegd om een kader te bieden voor verschillende soorten maatregelen, meestal van tijdelijke aard, met als doel de verspreiding van het virus te beperken, het ziekenhuissysteem te ontlasten, of burgers en organisaties die door het coronavirus zijn getroffen, te helpen.

Overeenkomstig artikel 36.4 van de AVG moet de Autoriteit worden geraadpleegd vóór de invoering van wet- of regelgeving van algemene strekking die verwerkingen van persoonsgegevens invoert, wijzigt of onderwerpt aan nadere regels. De GBA bracht deze verplichting in herinnering via een brief die op 3 februari 2021 naar alle parlementen en regeringen in België is gestuurd.

De GBA gaf in 2021 een reeks adviezen over dergelijke ontwerpen van normatieve teksten. De volledige lijst van deze adviezen is te vinden op de website van de GBA (zie de pagina « Adviezen-rond-covid-19 »).

Zij bracht met name 9 adviezen uit over de invoering en het gebruik van het Covid Safe Ticket (CST): de adviezen 124/2021, 163/2021,164/2021, 170/2021, 180/2021, 232/2021, 244/2021, 245/2021 et 246/2021. 

In deze adviezen wees de GBA systematisch op het feit dat eenieder, om toegang te krijgen tot plaatsen en activiteiten, met inbegrip van plaatsen en activiteiten van het dagelijkse leven, door middel van het vertonen van het CST moet bewijzen dat hij is ingeënt, dat hij onlangs een test heeft ondergaan waarvan de uitslag negatief was, of dat hij van Covid-19 is hersteld, een bijzonder ingrijpende inmenging vormt in het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens.

Rechten en vrijheden zijn uiteraard niet absoluut en kunnen worden beperkt indien dat in een democratische samenleving nodig is om een doelstelling van algemeen belang te verwezenlijken, zoals de instandhouding van het ziekenhuissysteem. Er moet echter worden aangetoond (1) dat het CST inderdaad veiliger plaatsen met een lager risico van virusoverdracht creëert, zodat verzadiging van het ziekenhuissysteem kan worden vermeden en verdere sluitingen van specifieke sectoren kunnen worden vermeden, (2) dat er geen minder ingrijpende middelen zijn om deze doelstelling te verwezenlijken, en 3) dat de voordelen van het CST opwegen tegen de nadelen en risico's (waaronder het risico van gewenning en sociale normalisering van gedragingen die een inbreuk vormen op de grondrechten, en het risico van "afglijden" naar een toezichtsmaatschappij) die ermee gepaard gaan. De GBA  herinnerde er ook aan dat het niet volstaat uit te gaan van de doeltreffendheid, de noodzakelijkheid en de evenredigheid van het CST, maar dat met voldoende vaststaande feitelijke en concrete bewijzen moet kunnen worden aangetoond dat de maatregel zeer waarschijnlijk doeltreffend, noodzakelijk en evenredig is. Bovendien moeten de doeltreffendheid, de noodzaak en de evenredigheid regelmatig opnieuw worden geëvalueerd, rekening houdend met de ontwikkeling van de gezondheidssituatie en de daarmee samenhangende wetenschappelijke kennis. In zijn adviezen heeft de GBA  de overheidsinstanties herhaaldelijk opgeroepen de doeltreffendheid, de noodzaak en de evenredigheid van het gebruik van CST's te rechtvaardigen op basis van voldoende onderbouwde feitelijke en concrete elementen.

Naast de inhoudelijke opmerking over het beginsel zelf van het gebruik van het CST, maakte de GBA ook meer specifieke opmerkingen over het normatieve kader voor het gebruik van de CST. Zo benadrukte zij herhaaldelijk dat een norm van wetgevende rang de precieze omstandigheden en voorwaarden bepaalde waaronder  het CST kan gebruikt worden. De GBA benadrukte ook dat de beslissing om het gebruik van een CST op te leggen, door de politieke autoriteiten moet worden genomen en derhalve niet kan worden overgelaten aan het oordeel van particulieren (zoals organisatoren en exploitanten van bepaalde locaties en evenementen).

Toezicht op de naleving van de regelgeving

Naast de ex-ante-aanpak van de nieuwe maatregelen heeft de GBA uiteraard ook een handhavende taak ten aanzien van de concrete verwerkingen dit in het kader van de bestrijding van Covid-19 plaatsvinden.

Begin 2021 nam de GBA haar allereerste beslissing in een  COVID-19- dossier. Het betrof de installatie van een camerasysteem aan de Belgische kust om het aantal bezoekers te meten. De aanzet werd gegeven in 2020, toen de maatregel werd aangekondigd door het autonome provinciebedrijf "Westtoer". In februari 2021 gaf de GBA daarom een berisping aan Westtoer en concludeerde zij dat camera's die aanwezigheid meten in het kader van de bestrijding van Covid-19 mogen worden geïnstalleerd, maar alleen onder zeer strikte voorwaarden en op voorwaarde dat een strikt minimum aan persoonsgegevens wordt verwerkt.

In de loop van het jaar diende zij zich ook uit te spreken over een reeks klachten betreffende aan het Agence pour une Vie de Qualité (AVIQ) toegezonden aanvragen. Deze klachten eisten de verwijdering van identificatie- en contactgegevens die werden gebruikt voor het verzenden van uitnodigingen om tegen Covid-19 gevaccineerd te worden. In haar beslissing herhaalde de GBA dat het recht om gegevens te wissen niet absoluut is en slechts in bepaalde gevallen geldt, bijvoorbeeld wanneer de gegevens onrechtmatig zijn verwerkt. Zij merkte op dat de verwerking door  AVIQ in het onderhavige geval was gebaseerd op het samenwerkingsakkoord van 12 maart 2021 in het kader van de organisatie van de vaccinatiecampagne en dat  AVIQ derhalve het recht had om niet positief te reageren op de verzoeken van klagers om de gegevens te wissen.

2021 was ook het jaar waarin de Geschillenkamer voor het eerst uitspraak deed in een beroep tegen een door de inspectie opgelegde voorlopige maatregel, in een dossier over vaccinatie tegen Covid-19. De Geschillenkamer bevestigde inderdaad een voorlopige maatregel die erin bestond de vaccinatiestatus van sollicitanten te verifiëren met het oog op hun aanwerving in een ziekenhuisnetwerk tijdelijk op te schorten. In dit geval gaf de GBA te kennen dat zij weliswaar begrip had voor de beweegredenen van het ziekenhuisnetwerk, maar dat de gevoelige aard van gezondheidsgegevens onderworpen is aan een strikt wettelijk kader, en dat het haar plicht was dit kader te handhaven.

In 2021 onderzochten de Inspectiedienst en de Geschillenkamer van de GBA de temperatuurcontroles die op de luchthavens van Zaventem en Charleroi werden ingevoerd om het coronavirus te bestrijden.

Deze dossiers werden door de GBA op eigen initiatief ingeleid, naar aanleiding van berichten in de pers. Zij uitte ook haar bezorgdheid over het gebruik van dit soort technologie.

In haar analyse kwam de GBA tot de bevinding dat deze luchthavens niet over een geldige rechtsgrondslag beschikten voor de verwerking van temperatuurgerelateerde gegevens van reizigers, vooral omdat het om gezondheidsgegevens gaat. Bovendien stelde zij tekortkomingen vast op het gebied van de informatieverstrekking aan passagiers en de kwaliteit van effectbeoordelingen.  Naast de verwerking van gegevens in verband met thermische camera's valt ook de verwerking van bijzondere categorieën gegevens (gezondheidsgegevens) die met name worden verzameld via vragenlijsten die worden ingevuld door passagiers die aan een tweede controle werden onderworpen, onder de beslissing in het dossier Zaventem luchthaven.  Ook in het register van verwerkingsactiviteiten op de luchthaven van Charleroi zijn lichte tekortkomingen vastgesteld.

Deze dossiers worden in 2022 afgerond met de aankondiging van een berisping en een boete van 200.000 euro voor de luchthaven van Zaventem, die verantwoordelijk is voor een eerste controle van passagiers, en een boete van 20.000 euro voor de maatschappij Ambuce Rescue Team, die verantwoordelijk is voor de tweede controle van personen die door een thermische camera zijn geïdentificeerd als lijdend aan een temperatuur van meer dan 38°. Brussels South Charleroi Airport krijgt een boete van 100.000 euro en een berisping.

In haar beslissing beklemtoonde de GBA dat het uiteraard rekening hield met de context van de gezondheidscrisis, tijdens welke de verwerkingsverantwoordelijken soms dringend moesten optreden om nooit geziene maatregelen in te voeren. Zij herinnerde er echter aan dat de voorschriften van de AVG en de privacywetgeving een essentiële bescherming van de rechten en vrijheden van het individu vormen, en moeten worden nageleefd. Het toezicht van de GBA op maatregelen in verband met het coronavirus is in dit verband van groot belang om toekomstige verwerking van soortgelijke gegevens te ontmoedigen.

De Inspectiedienst heeft in de loop van het jaar 2021 ook dossiers onderzocht gerelateerd aan Covid-19, zoals een mogelijk gegevenslek in de CovidScan-applicatie.

Andere gelijkaardige dossiers zijn in 2021 door de Inspectiedienst en/of de Geschillenkamer behandeld en zullen aan het publiek worden meegedeeld zodra zij zijn afgerond.

Verstrekking van informatie over Covid-19 gerelateerde verwerkingen

In 2021 heeft de GBA haar thematische Covid-19-webdossier verder aangevuld, met name door een pagina te wijden aan de vaccinatie, één van de belangrijkste uitdagingen van het jaar op het gebied van de bescherming van persoonsgegevens.

Zij heeft verscheidene veelgestelde vragen (FAQ's) gepubliceerd, waarin zij eraan herinnert dat de vaccinatiestatus van een persoon gezondheidsgegevens zijn, waarvan de verwerking in beginsel verboden is bij artikel 9 van de AVG, tenzij de wet in een uitzondering voorziet of de betrokkene uitdrukkelijk en vrijelijk toestemming geeft. Deze rubriek beantwoordt ook verschillende vragen zoals: kan mijn werkgever mij om een vaccinatiebewijs vragen, of: mag een school ongevaccineerde leerlingen uit de klas weren?

De GBA beantwoordde ook individuele vragen die burgers of verwerkingsverantwoordelijken per e-mail aan haar toezonden, waarbij zij hen zo goed mogelijk informeerde over de toepasselijke regels inzake gegevensverwerkingen die verband houden met de coronaviruscrisis.

Proactieve monitoring

Met de Covid-19-crisis en de nieuwe technologieën en praktijken op het gebied van de verwerking van persoonsgegevens was proactief optreden van de GBA meer dan ooit noodzakelijk.

In 2021 lanceerde de GBA een aantal monitoringacties om een beter inzicht te krijgen in de projecten die in reactie op de pandemie werden opgezet. Er waren hoofdzakelijk twee soorten verwerkingen :

• potentiële ongeoorloofde toegang tot informatie over de vaccinatiestatus van personen;
• verzoeken van particuliere instanties om gezondheidsinformatie van fysieke personen, mogelijkerwijs zonder dat daarvoor een rechtsgrondslag bestaat

Een monitoringbrief van de GBA heeft tot doel om accurate informatie op te vragen. Mocht uit de antwoorden van de verwerkingsverantwoordelijke ernstige aanwijzingen blijken van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de fundamentele beginselen van de bescherming van persoonsgegevens, kan het directiecomité beslissen een formeel onderzoek in te stellen tegen de verwerkingsverantwoordelijke. Een dergelijk onderzoek kan leiden tot een sanctie indien de Geschillenkamer het bestaan van inbreuken op de AVG vaststelt.[1]