In het licht van allerlei corona-apps die momenteel het levenslicht zien, wordt gegevensbescherming belangrijker dan ooit, menen prof. Gloria González Fuster en prof. Mireille Hildebrandt van de VUB.
De uitbraak van covid-19 maakt duidelijk wat er jarenlang zat aan te komen: naarmate ons offline leven verder krimpt, wordt onze digitale afhankelijkheid groter dan ooit. We halen de basisinformatie over de crisis van online platforms die hun geld verdienen met het op grote schaal verhandelen van onze persoonsgegevens. We doen ons best om te blijven werken en studeren, maar we gebruiken daarbij tools die data-hongerig zijn en datastromen voor de gebruikers verborgen houden. We zoeken met behulp van algoritmen naar essentiële benodigdheden, we jagen op voedsel via internationale data-imperiums. We communiceren onze intieme hoop en angsten met onze dierbaren via wereldwijde digitale infrastructuren, die daar van alles uit kunnen afleiden en mogelijk tegen ons kunnen gebruiken.
We hebben allemaal gegevensbescherming nodig, maar sommigen meer dan anderen. Onze kinderen moeten in veilige ruimtes kunnen spelen en leren. Nu hun klaslokalen en speeltuinen allemaal digitaal en verbonden zijn, is het onze collectieve verantwoordelijkheid om ervoor te zorgen dat wat ze daar maken, in wat voor hen onontkoombare omstandigheden zijn, later niet (ten onrechte) tegen hen wordt gebruikt.
We hebben het grootste deel van ons leven en van de samenleving als geheel geleidelijk in digitale handen gebracht en we moeten ervoor zorgen dat we goed in de gaten kunnen houden wat bedrijven en overheden daar allemaal mee doen. We hebben digitalisering nodig om de verspreiding van het virus daadwerkelijk en op passende wijze te bestrijden, maar moeten er tegelijk over waken dat de ontwikkelde gegevenspraktijken zowel veilig als effectief zijn. Daarom hebben we de gegevensbescherming die gewaarborgd wordt door de Algemene Verordening Gegevensbescherming (AVG) vandaag meer dan ooit nodig.
Een mooi voorbeeld dat toont waarom gegevensbescherming belangrijk is, is de app die de Britse National Health Service (NHS) ontwikkelde in samenwerking met wetenschappers en bedrijven. Deze app kan mensen waarschuwen als zij in aanraking kwamen met mogelijk besmettelijke anderen. Dat gebeurt op basis van bluetooth. Er wordt geen informatie gegeven over wie mogelijk besmet was, maar wel een alert om zelf in isolatie te gaan.
De eerste vraag bij deze app is wie toegang heeft tot de data. Voor deze app werkte de NHS mogelijk samen met Palantir, een zeer omstreden Amerikaans bedrijf dat samenwerkt met de Amerikaanse geheime diensten.
Ten tweede eist de AVG dat toegang tot data altijd noodzakelijk moet zijn en beperkt tot een specifiek doel, daarmee wordt allerlei oneigenlijk hergebruik uitgesloten. Daarenboven eist de AVG dat deze waarborgen op technisch en organisatorisch niveau gezekerd zijn, anders blijft het bij loze kreten.
Een derde vraag is of de waarschuwing ‘mogelijk besmet’ wel hard te maken is. Het ontwikkelen van een app die doorgeeft of je in de buurt was van mensen met een bepaald ‘label’ is niet heel moeilijk, het voorkomen dat mensen zich ten onrechte gaan isoleren en ten onrechte denken dat ze veilig zijn is gezien de stand van de wetenschap op dit moment niet mogelijk.
Zoals gezegd, staat de AVG inbreuken op grondrechten, niet alleen privacy, maar ook discriminatie en het recht op een eerlijk proces, alleen toe als dat noodzakelijk is voor het te bereiken doel. Van die eis mag ook bij noodwetgeving niet worden afgeweken. Als een maatregel niet effectief is en in het geval van het voorbeeld mogelijk zelfs contraproductief, mag die dus niet worden genomen. Dat is een goede zaak, niet alleen voor de privacy, het betekent dat we pas aan dit soort ‘labeling’ beginnen als het ook daadwerkelijk kan bijdragen aan het legitieme doel waarvoor het gebruikt wordt.
Intussen zijn ook andere initiatieven gelanceerd, die soortgelijke apps hebben ontwikkeld. Dezelfde vragen spelen daarbij. We noemen het expliciet privacy-vriendelijke voorstel van PEPP-PT, een samenwerkingsverband van commerciele en niet-commerciele instituten, en het voorstel van een grote groep privacy en security experts, DP-3T, dat is gebaseerd op decentrale technologie (maar geen blockchain). Ook voor die apps gelden de hierboven genoemde eisen, waarbij we graag opmerken dat de PEPP-PT applicatie verschillende implementaties toelaat die niet allemaal evenveel bescherming bieden tegen hergebruik voor ongewenste vormen van ‘crowd control’.
Tenslotte stelt zich ten aanzien van al dit soort applicaties de vraag naar het toezicht op de gegevensbescherming. Het is leuk om bij het vrijgeven van zo’n app te wijzen op allerlei waarborgen waaraan de app zou voldoen, maar zonder degelijke toetsing en handhaving hebben we daar weinig aan. De AVG heeft een zorgvuldig systeem van private en publieke handhaving dat mogelijk maakt om zowel vooraf als achteraf in te grijpen als onze grondrechten op onrechtmatige wijze worden geschonden.
De AVG is vandaag meer dan ooit belangrijk voor de bescherming van onze grondrechten. Ze zou echter nog een grotere rol kunnen spelen. De AVG biedt ruime mogelijkheden voor het wetenschappelijk onderzoek, maar de interpretatie daarvan verschilt nogal van lidstaat tot lidstaat. Dat is verontrustend en het vertraagt de Europese samenwerking, bijvoorbeeld in het domein van medisch onderzoek. De EU-instellingen hebben daar nog geen bevredigende reactie op gegeven. De EU heeft hier een duidelijke bevoegdheid en fundamentele verantwoordelijkheid. Dit is het moment om dit serieus te nemen.De EU heeft hier een duidelijke bevoegdheid en fundamentele verantwoordelijkheid. Dit is het moment om dit serieus te nemen.
Prof. Gloria González Fuster en prof. Mireille Hildebrandt beiden directeur van VUB Law, Science, Technology & Society (LSTS)
Fout opgemerkt of meer nieuws? Meld het hier