Van bij aanvang van de coronacrisis is er hevig gediscussieerd over hoe men de contacten die besmette personen in de incubatieperiode onderhielden kon opsporen en opvolgen om zo het verder uitdeinen van de epidemie in te kunnen dijken. Initieel leek men dit via zogenaamde contact tracing apps te willen monitoren. Door talrijke ernstige privacy-bezwaren veranderde men de afgelopen week het geweer van schouder en werd er vol ingezet op “coronaspeurders” om besmettingen op te sporen. Weg dus met de technologie. Maar weg ook met de privacy-problemen? Allerminst zo.
In verband met de contact tracing apps trok de Gegevensbeschermingsautoriteit, de toezichthouder op de bescherming van de persoonsgegevens in België, in spoedadviezen van 28 en 29 april aan de juridische alarmbel. Zij hekelde in de eerste plaats de overhaaste en onduidelijke wijze waarop men dergelijke maatregelen poogde uit te rollen. Zij maakte zich ook ernstige zorgen over de wijze waarop de door de apps vergaarde (delicate) informatie zou worden verkregen, beheerd, gedeeld met derden en gekruist met andere databanken.
Onze overheden lijken deze zeer terechte bezorgdheden nu te willen ondervangen door de datavergaring in een nieuw jasje te stoppen en de apps in te ruilen voor menselijke interviewers. Deze koerswijziging heeft echter veel weg van de nieuwe kleren van de keizer uit het gelijknamige sprookje. Wij willen allemaal zo graag geloven in een privacy-bestendige manier om mogelijke coronabesmettingen in kaart te brengen dat we de ogen dreigen te sluiten voor een manifeste waarheid: de wijze waarop het functioneren van de coronaspeurders de afgelopen dagen praktisch vorm heeft gekregen herbergt minstens even grote moeilijkheden als de verketterde apps. Zolang er geen duidelijk kader is, is er namelijk geen garantie voor een aanvaardbaar beschermingsniveau van onze privacy.
Bovendien stellen zich bijkomende problemen.
Ten eerste gaf Wouter Arrazola de Oñate, de longarts betrokken bij het opstellen van de vragenlijsten, aan dat dergelijke bevragingen tot wel een uur kunnen duren en dat het belangrijk is dat ze gedaan worden door “mensen met ervaring in beroepsgeheim en privacy” gezien het ingrijpende karakter van de vragen (artikel De Morgen, 5 mei 2020). Desalniettemin spreken personen nauw betrokken bij het dossier enkel over een opleiding voor de speurders van een paar uur (artikel RTBF, 21 april 2020), terwijl ook in de door VDAB gepubliceerde vacatures voor coronaspeurder geen enkele opleiding of zelfs kennis inzake privacy vereist wordt (zie website VDAB). Een middelbare schooldiploma volstaat. De eerste conclusie is dus duidelijk: we begrijpen dat alles snel moet gaan, maar ook na de opstart moet er voldoende tijd genomen worden om iedereen grondig op te leiden – in het bijzonder inzake privacybescherming.
Ten tweede zullen de bevragingen georganiseerd worden door een consortium van verschillende callcentra, de consultancy firma KPMG en vijf ziekenfondsen. Deze ziekenfondsen kwamen echter amper een half jaar geleden, in oktober 2019, zelf nog in opspraak omdat zij manifest de privacyregels schonden (artikel VRT NWS, 10 oktober 2019). Bij een vervolgonderzoek, twee maanden later, in december 2019, deed de VRT andermaal een steekproef waaruit bleek dat deze ziekenfondsen nog steeds niet in staat waren om hun privacy-verplichtingen na te komen (artikel VRT NWS, 30 december 2019). De tweede conclusie is even duidelijk: de keuze om met externe partners te werken is begrijpelijk maar vormt eens te meer een reden om duidelijke regels vast te leggen die de privacy beschermen. Zeker wanneer gewerkt wordt met commerciële partners.
Deze overweging heeft ook een rechtstreeks belang voor de efficiëntie van de oefening die nu moet gebeuren : als mensen niet zeker zijn dat hun privacy wordt beschermd gaan ze – zeker aan de telefoon – nooit de nodige informatie geven. Enkel met een stevige privacy bescherming kan deze ingrijpende operatie dan ook een succes worden. Corona tracing mag dan wel nodig zijn en er kan dan wel spoed mee gemoeid zijn maar, zoals in andere Europese landen als Oostenrijk en Zwitserland al is gelukt (website zorgvisie), moet ook in België eerst een helder kader worden voorzien dat dergelijke zaken regelt.
De regering heeft daartoe, middels de uitgebreide volmachten, nu alle mogelijkheden. Eenmaal dit kader er is, verdient het evenwel aanbeveling om het al na enkele weken grondig te evalueren samen met de Gegevensbeschermingsautoriteit en om uiteindelijk het Parlement toe te laten een definitief wettelijk kader uit te werken.
Anders verzeilen we in een soort van paniekvoetbal dat doet denken aan de wijze waarop men in 2016, vlak na de terroristische aanslagen in Brussel, eveneens allerlei gebrekkige regelgeving aan een ijltempo door het parlement jaste. Jaren later blijven die regels nog steeds grote problemen veroorzaken en daagt het besef dat we in het heetst van de strijd wellicht te snel belangrijke mensenrechtelijke principes op de helling hebben gezet. Ook vandaag dreigen we op het altaar van de pandemiebestrijding offers te brengen die niet weloverwogen zijn. Laat dit dan het voorzichtig opgestoken kindervingertje zijn dat vraagt waarom de keizer, ondanks alle ongetwijfeld goede bedoelingen, geen kleren aanheeft.
Dit opiniestuk werd op donderdag 7 mei 2020 gepubliceerd in De Standaard.