Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2020, 44874 | Adviezen Raad van State |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Advies Raad van State inzake het voorstel van wet, houdende Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19)
Nader Rapport
21 augustus 2020
1719812-208023-WJZ
Directie Wetgeving en Juridische Zaken
Aan de Koning
Nader rapport inzake het voorstel van wet, houdende Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19)
Blijkens de mededeling van de Directeur van Uw Kabinet van 13 juli 2020, no. 2020001500, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 19 augustus 2020, no. W13.20.0254/III, bied ik U hierbij aan.
De tekst van het advies treft u hieronder aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 13 juli 2020, no. 2020001500, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdefhnde Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19), met memorie van toelichting.
Het voorstel wijzigt de Wet publieke gezondheid (Wpg), en introduceert het vrijwillige gebruik van een notificatieapplicatie (hierna: de app). Deze app wordt gebruikt ten behoeve van de bron- en contactopsporing door de gemeentelijke gezondheidsdiensten (GGD’en). Het voorstel bevat een wettelijke grondslag voor de met de toepassing van de app samenhangende gegevensverwerking en een regeling voor de verwerkingsverantwoordelijkheid. Voorts is in het voorstel een mogelijkheid van subdelegatie opgenomen wat betreft regels voor de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkene. Ten slotte kent het voorstel een antimisbruikbepaling en regelt het de handhaving en sanctionering daarvan.
De Afdeling advisering van de Raad van State gaat allereerst in op de noodzaak voor een wettelijke grondslag. Ook maakt de Afdeling een aantal opmerkingen over de gegevensbescherming. Zij wijst in het bijzonder op het specificeren van het doeleinde en het beperken van verdere gegevensverwerking. Ook gaat zij in op het verwerken van bijzondere persoonsgegevens, de daarmee samenhangende verwerkingsverantwoordelijkheid, en het zorgdragen voor de uitoefening van de rechten van betrokkenen. Zij maakt in het kader van gegevensbescherming ook een opmerking over de rol van Google en Apple.
Tevens maakt de Afdeling een opmerking over de mogelijkheid tot subdelegatie ten aanzien van de bewaartermijn en de rechten van betrokkenen. Verder wijst zij op het belang van parlementaire betrokkenheid, ook bij het intrekken van (onderdelen) van het voorstel. Voorts maakt zij een opmerking over het opnemen van een juridische grondslag in het voorstel ten behoeve van de interoperabiliteit. Tot slot adviseert ze de criteria voor deactivering nader toe te lichten. In verband daarmee is aanpassing van het wetsvoorstel en de toelichting wenselijk.
1. Inleiding
Het wetsvoorstel hing oorspronkelijk samen met de eerder ingezette versoepeling van de maatregelen ter bestrijding van de epidemie van Covid-19. Bij de afbouw van maatregelen kan een goed functionerend systeem van bron- en contactopsporing door de gemeentelijke gezondheidsdienst (GGD) als onmisbaar worden beschouwd. Het voorstel is evenwel zeker ook goed voorstelbaar in het licht van de recente significante stijging van het aantal Covid-19 besmettingen, en van de daaropvolgende inzet van de overheid om verder oplopende verspreiding van het virus te bestrijden.
De GGD heeft op grond van de Wpg de taak om bron- en contactopsporing te doen bij meldingen van besmetting met een infectieuze ziekte zoals het virus.1 Dit houdt kortgezegd in dat de GGD onderzoekt met wie een besmette patiënt contact heeft gehad, met diegenen contact opneemt en vervolgens hen een handelingsperspectief biedt. Dit heeft als doel de uitbraak van een epidemie te voorkomen of te beheersen. De uitvoering van de bron-en contactopsporing is vormvrij. Uitgangspunt is dat dit in alle gevallen plaatsvindt op grond van vrijwillige medewerking van de betrokkenen.
Het Outbreak Management Team (OMT) heeft geadviseerd om met het oog op het intensievere testbeleid de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp van mobiele applicaties te onderzoeken.2 Ook andere Europese lidstaten ontwikkelen dergelijke apps. De voorgestelde app komt overeen met de notificatieapp zoals die wordt ontwikkeld in Duitsland, Italië en Ierland.3
De notificatieapp is bedoeld als niet-verplichte aanvulling op de analoge bron- en contactopsporing van de GGD en komt niet in plaats van het analoge onderzoek. De aanvulling bestaat eruit dat door de app (sneller) personen worden bereikt die de besmette patiënt niet kent of waarvan de besmette patiënt zich niet kan herinneren daarmee in contact te zijn gekomen.
De notificatieapp werkt kortgezegd als volgt. Een gebruiker installeert de app op de telefoon. De app herkent andere gebruikers door middel van bluetooth. De app geeft een melding als de smartphone van de gebruiker in de buurt is geweest van de smartphone van een besmette persoon en geeft daarbij advies hoe te handelen. Als de (smartphone van de) gebruiker van de app tenminste 15 minuten bij een andere (smartphone van een) gebruiker van de app in de buurt is, wordt een versleutelde code uitgewisseld tussen de gebruikers van de app. Pas in geval van een geconstateerde besmetting kan de besmette patiënt ervoor kiezen met hulp van de GGD een melding van besmetting te doen. In dat geval wordt gecheckt met welke andere app-gebruikers in de afgelopen 14 dagen deze codes zijn uitgewisseld. Vervolgens ontvangen die gebruikers een melding en wordt hen geadviseerd hoe te handelen.4
Het gebruik van de app is expliciet vrijwillig. Voor de effectiviteit van de app is het van belang dat zoveel mogelijk mensen de app gaan gebruiken. Terecht wordt dan ook in de toelichting opgemerkt dat de doeltreffendheid van de app exponentieel evenredig is met het aantal personen dat eenzelfde app installeert en activeert.5 Voor de effectiviteit is daarnaast echter ook relevant dat er zo min mogelijk valspositieve en valsnegatieve meldingen worden gedaan, dat de door de GGD bij de melding geadviseerde handelingsperspectieven zo snel en volledig mogelijk worden opgevolgd (waaronder het zich laten testen), en het testbeleid daarop aansluit. De Afdeling stelt vast dat over de mate waarin de app op dit moment effectief is de opvattingen verschillen.6
Gelet op de maatschappelijke discussie over mogelijk misbruik van de app en de effectiviteit ervan, acht de Afdeling het van belang dat in de voorbereiding van de ingebruikname van de app veel aandacht is besteed aan het onderkennen van de mogelijkheden van misbruik en de risico’s van de met de app samenhangende gegevensverwerkingen, alsmede aan het formuleren van mogelijke oplossingen daarvoor. Ook zal, zo blijkt uit de toelichting, de effectiviteit van de app steeds worden geëvalueerd. Indien nodig kan dit ertoe leiden dat het gebruik van de app wordt beëindigd.7
2. Noodzaak wettelijke grondslag
In de toelichting wordt vermeld dat het wetsvoorstel zo snel mogelijk in werking treedt.8 Uit de kabinetsbrief van 16 juli j.l. kan worden opgemaakt dat wordt beoogd de app per 1 september 2020 in gebruik te nemen.9 Daarmee zal de app naar verwachting in gebruik worden genomen voordat de parlementaire behandeling van het wetsvoorstel is afgerond. De Afdeling is met de regering van oordeel dat dit op zichzelf mogelijk is. Strikt genomen is een wettelijke basis voor vrijwillig gebruik van de app juridisch niet noodzakelijk. Verdedigbaar is dat vanwege het feit dat gebruik vrijwillig is toestemming, gelet op de AVG,10 een toereikende grondslag vormt voor met gebruik van de app samenhangende verwerkingen van persoonsgegevens, mits aan de voorwaarden die op grond van de AVG aan de verlening van rechtsgeldige toestemming worden gesteld,11 wordt voldaan.
Het voorgaande betekent echter niet dat totstandbrenging van een wettelijke basis op zeer korte termijn niet bijzonder gewenst is. Met het in gebruik nemen van de app voordat het wetgevingsproces is afgerond wordt immers afbreuk gedaan aan een belangrijke doelstelling van het wetsvoorstel. Die doelstelling is namelijk maximale duidelijkheid bieden over de inzet van de app en de te verwerken persoonsgegevens op wetsniveau. Dit draagt bij aan de effectieve werking van de voor de bestrijding van de epidemie essentiële bron- en contactopsporing.12 Met een wettelijke grondslag kunnen voorts specifieke waarborgen worden geboden zoals het voorgestelde verbod op misbruik. Deze antimisbruikbepaling borgt immers de vrijwilligheid van het gebruik van de app.
De recente significante stijging van het aantal coronavirusbesmettingen en de grote urgentie om deze zo veel en zo snel als mogelijk onder controle te krijgen kan niettemin een rechtvaardiging zijn de app toch snel in gebruik te nemen zelfs als dat betekent dat de voltooiing van het wetgevingsproces niet kan worden afgewacht. De Afdeling adviseert in dat geval wel deze afweging in overleg met de Tweede Kamer te maken in het licht van de te verwachte duur van de parlementaire behandeling van dit wetsvoorstel. Daarbij zou gelet op de geschetste voordelen van de wet, gestreefd moeten worden naar een behandeling op zo kort mogelijke termijn, zoals ook is aangegeven in de kabinetsbrief van 17 augustus j.l.13
De Afdeling adviseert in de toelichting nader op het voorgaande in te gaan.
Reactie:
Voordat de regering op het advies ingaat, wil zij eerst grote waardering uitspreken voor de snelle advisering door de Afdeling.
De Afdeling is met de regering van oordeel dat, mede in het licht van de huidige ontwikkelingen rondom de toename van het aantal besmettingen en de noodzaak dit een halt toe te roepen, toestemming van betrokkene voldoende basis biedt voor de verwerking van persoonsgegevens in het kader van notificatieapp en daarmee tevens voor een eventuele ingebruikneming van de app voordat het gehele wetgevingsproces is doorlopen. De Afdeling volgt hiermee het oordeel van de Europese Data Protection Board, welke tevens heeft aangegeven dat de verwerking van (bijzondere) persoonsgegevens in het kader van een notificatieapp kan plaatsvinden op basis van toestemming van betrokkene. Ook andere lidstaten zoals onder meer Duitsland en Ierland werken overigens met toestemming als grondslag voor de aldaar gebruikte notificatieapps. Ik lees het advies als een uitnodiging om zo spoedig mogelijk in overleg te treden met de Tweede Kamer over de mogelijkheid, om de app in gebruik te nemen. De toelichting is op dit punt aangevuld in paragraaf 1 en paragraaf 7.1.
3. Gegevensbescherming
a. Doelomschrijving
Voorgesteld wordt dat een notificatieapplicatie kan worden ingezet ‘ter ondersteuning van de bron- en contactopsporing, waarmee vroegtijdig zicht kan worden verkregen op een mogelijke infectie met dat virus’.14
Op grond van de AVG moet het doel van de gegevensverwerking welbepaald en uitdrukkelijk omschreven zijn.15 De richtsnoeren van de Commissie bevelen bovendien aan om het doel dermate specifiek te omschrijven dat er geen twijfel bestaat over het soort persoonsgegevens dat met het oog daarop moet worden verwerkt. Ten aanzien van de functionaliteit ‘contacttracering en waarschuwing’ merkt de Commissie bovendien op dat het enkel vermelden van preventie van verdere besmetting met COVID-19 als doel onvoldoende specifiek is. De richtsnoeren bevelen aan het doel inzake contacttracering en waarschuwing te specificeren als ‘het bewaren van de contacten van de personen die de app gebruiken en die mogelijk blootgesteld zijn geweest aan besmetting met COVID-19 om degenen te waarschuwen die eventueel besmet kunnen zijn’.16
Gelet hierop is de formulering van het doel van de notificatieapp in het wetsvoorstel niet specifiek genoeg.17 De Afdeling adviseert in het voorstel het doel in de hiervoor genoemde zin aan te passen.
Reactie:
Het advies van de Afdeling is overgenomen. Artikel 6d, eerste lid, is in voorgestelde zin aangevuld. Daarnaast is in het tweede lid van artikel 6d gespecificeerd welke gegevens in het kader van de app mogen worden gebruikt.
b. Beperking gegevensverwerking
De met de app verkregen persoonsgegevens mogen niet worden gebruikt voor andere doeleinden dan het in de wet omschreven doel,18 aldus de toelichting.19 Dit is in overeenstemming met de Europese maatstaven. Volgens de richtsnoeren van de Commissie zou in de wettelijke grondslag voor de app onder meer de mogelijkheid moeten worden uitgesloten dat de gegevens voor andere dan de in de wetgeving vermelde doeleinden worden verwerkt.20 Ook de richtsnoeren van het Europees Comité voor de gegevensbescherming vereisen een uitdrukkelijke beperking op het verdere gebruik van persoonsgegevens.21
Dat de gegevens niet mogen worden gebruikt voor andere doeleinden wordt volgens de toelichting onder meer gewaarborgd door de eisen aan de vormgeving van de app, het in de wet omschreven doel, de antimisbruikbepaling, de toegepaste dataminimalisatie en het tijdelijk karakter van de wet.22 Voorts is van belang dat de gegevens zich voornamelijk bevinden op de smartphone van de gebruiker. Deze bewaart alleen de gegevens van de laatste twee weken. De gegevens op de server worden daarnaast gescheiden van het IP-adres van de smartphone.23
De Afdeling erkent dat de voorgaande, ook in de toelichting genoemde elementen met het oog op de doelbinding belangrijke waarborgen zijn. Desalniettemin is het, gelet op de gevoeligheid van het onderwerp, het belang van vertrouwen in de app en de hiervoor genoemde richtsnoeren, aangewezen dat in het wetsvoorstel verder gebruik van persoonsgegevens uitdrukkelijk wordt uitgesloten.
De Afdeling adviseert het wetsvoorstel in die zin aan te passen.
Reactie:
Het advies van de Afdeling is overgenomen. Aan artikel 6d, derde lid, is een extra onderdeel (d), in voorgestelde zin toegevoegd. Ook is in de memorie van toelichting benadrukt dat de gegevens die in het kader van de app worden verwerkt niet voor andere doeleinden mogen worden verwerkt.
c. Verwerking bijzondere persoonsgegevens door GGD
Het wetsvoorstel regelt dat de GGD bij de toepassing van de app bijzondere persoonsgegevens verwerkt.24 Noch uit het voorstel, noch uit de toelichting, volgt echter in welke fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt. In de gegevensbeschermingseffectbeoordeling (hierna: DPIA) wordt opgemerkt dat in de validatie-, koppelings- en notificatiefase sprake is van verwerking van bijzondere persoonsgegevens. In de verschillende fasen betreffen dit verschillende gegevens, zoals de identificatiesleutels, de autorisatiecode, de eerste ziektedag, maar ook bijvoorbeeld het bericht aan de gebruiker dat hij mogelijk besmet is.25
Volgens de DPIA worden de (bijzondere) persoonsgegevens alleen in de validatiefase door de GGD verwerkt.26 Nu de verwerking van bijzondere persoonsgegevens door de GGD in het voorstel wordt geregeld, acht de Afdeling het aangewezen om, in overeenstemming met de DPIA, in de toelichting nader aan te geven welke bijzondere persoonsgegevens door de GGD in welke fase worden verwerkt.27 Voorts acht zij het nuttig om, mede met het oog op de parlementaire behandeling, gedeeltes uit de DPIA te verwerken in de toelichting voor zover ook in andere fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt.
De Afdeling adviseert in het licht van het voorgaande de toelichting aan te vullen.
Reactie:
De verwerking van gegevens vindt plaats in verschillende fasen. De eerste fase is de fase voorafgaand aan een de melding van een besmetting. De enige verwerking die dan plaatsvindt is de verwerking op de telefoon zelf van de eigen TEK’s en de TEK’s van andere gebruikers waarmee een persoon binnen bluetooth bereik bent geweest. In deze fase worden er dus alleen gegevens opgeslagen op de telefoon van de appgebruiker en worden er dus nog geen bijzondere persoonsgegevens verwerkt door de GGD of de Minister.
De tweede fase is de fase waarbij er gegevensuitwisseling plaatsvindt tussen de GGD en de backend server omtrent een vastgestelde besmetting van een appgebruiker, de validatiefase. Hierin stuurt de appgebruiker waarbij een besmetting is vastgesteld zijn eigen TEK’s naar de backend server en stuurt de GGD de validatiecode, het IP-adres en de dag waarop de eerste ziekteverschijnselen kenbaar werden naar de backend server. In deze fase worden er dus bijzondere persoonsgegevens door de GGD verwerkt.
De derde fase is de fase waarin de telefoon van de gebruikers van de app, de TEK’s van de besmette persoon ophaalt van de server, zodat deze door de api vergeleken kunnen worden met de op de telefoon zelf opgeslagen TEK’s van andere gebruikers waarmee je binnen bluetooth bereik bent geweest. Voor zover een TEK gezien moet worden als persoonsgegeven, is er in deze fase dus sprake van verwerking van persoonsgegevens, maar niet van bijzondere persoonsgegevens, door de beheerder van de server, de minister.
In de volgende fase worden dus de TEK’s van andere gebruikers waarmee een gebruiker binnen bluetooth bereik is geweest en die opgeslagen zijn op de eigen telefoon vergeleken met de TEK’s van de besmette telefoon. Bij een match ontvangt de gebruiker automatisch een notificatie dat er sprake is geweest van risicovol contact en een handelingsadvies. De GGD en de minister zijn niet betrokken bij deze notificatie. Hier is dus geen sprake van verwerking van (bijzondere) persoonsgegevens.
De toelichting is in overeenstemming met het bovenstaande in paragraaf 3.1 aangevuld en verduidelijkt.
d. Verwerkingsverantwoordelijkheid
De verwerkingsverantwoordelijkheid is in het voorstel vastgelegd op twee niveaus. Het voorstel bepaalt dat de minister verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor de verwerking van persoonsgegevens met de app.28 In afwijking daarvan echter wordt de GGD van de verblijfplaats van de betrokkene aangewezen als verwerkingsverantwoordelijke (onder meer) voor wat betreft het uitvoering geven aan de rechten van betrokkenen en het melden van een inbreuk in verband met persoonsgegevens.29 Volgens de toelichting wordt met deze verdeling aangesloten bij respectievelijk de taken van de minister in het kader van de Wpg, en de bron- en contactopsporing waarmee de GGD is belast.30
De verwerkingsverantwoordelijke is volgens de AVG degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als doel en middelen door de nationale wetgever wordt vastgesteld, kan in de betreffende wet worden bepaald wie de verwerkingsverantwoordelijke is.31 Als twee (of meer) verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijk verwerkingsverantwoordelijken. In dat geval dienen zij, zo schrijft de AVG voor, hun verantwoordelijkheden voor de nakoming van hun verplichtingen onderling vast te stellen.32 Bij een gezamenlijke verwerkingsverantwoordelijkheid kan de betrokkene zijn rechten uitoefenen jegens iedere verwerkingsverantwoordelijke.33 Deze AVG-regels zijn van belang omdat voor de burger duidelijk moet zijn wie waarvoor verantwoordelijk is en hij als gevolg daarvan weet wie hij op de verwerking van zijn persoonsgegevens kan aanspreken.
Met het oog op de noodzakelijke helderheid van de burger is de vraag of het voorstel niet kan worden vereenvoudigd. Het gaat hier ten eerste om de vraag waarom ook de minister als verwerkingsverantwoordelijke is aangewezen. Ten tweede zou het voorstel vereenvoudigd kunnen worden door de verwerkingsverantwoordelijkheid van de GGD’en in het wetsvoorstel te verduidelijken.
In dat kader merkt de Afdeling allereerst op dat uit onder meer de DPIA blijkt dat in ieder geval de GGD’en persoonsgegevens verwerken in de validatiefase (zie hiervoor onder c). Het ligt derhalve voor de hand dat als het gaat om die verwerkingen de GGD van de verblijfplaats van betrokkene als verwerkingsverantwoordelijken wordt aangewezen. Uit de toelichting volgt echter niet waarom naast de GGD’en ook de minister verwerkingsverantwoordelijke zou moeten zijn. Dat de minister verantwoordelijk is voor de inrichting en het beheer van de app leidt niet zonder meer tot de conclusie dat hij ook als verwerkingsverantwoordelijke moet worden aangewezen. Uit de toelichting blijkt immers niet in hoeverre de minister in het kader van zijn beheerstaak ook persoonsgegevens verwerkt.34
Voorts is de vraag of hetgeen het wetsvoorstel op dit moment regelt inzake de verwerkingsverantwoordelijkheid van de GGD wel afdoende is. Deze beperkt zich tot de toepassing van een aantal bepalingen uit de AVG die betrekking hebben op de specifieke informatieverplichtingen van de verwerkingsverantwoordelijke en de uitoefening van de rechten van betrokkenen. Uit de toelichting blijkt onvoldoende in hoeverre deze beperkingen aansluiten bij de rol van de GGD’en bij de toepassing van de app in de verschillende fasen.35 Daarbij merkt de Afdeling op dat de verwerking van persoonsgegevens door de GGD’en in de validatiefase niet zonder meer samenvalt met de verwerking van persoonsgegevens die samenhangt met de informatieverplichtingen uit de AVG.
De Afdeling merkt ten slotte op dat indien wordt gekozen voor een gezamenlijke verwerkingsverantwoordelijkheid van de minister en de GGD’en aandacht moet worden besteed aan de onderlinge regeling waarin op grond van de AVG de verantwoordelijkheden tussen de minister en de GGD’en moet worden geregeld.36 Zij acht het raadzaam de essentiële onderdelen daarvan in de toelichting te expliciteren. Daarbij dient in acht te worden genomen dat bij een gezamenlijke verwerkingsverantwoordelijkheid de betrokkene zijn rechten kan uitoefenen jegens elke verwerkingsverantwoordelijke.37
De Afdeling adviseert in het licht van het voorgaande de regeling van de verwerkingsverantwoordelijkheid nader toe te lichten en zo nodig het voorstel aan te passen.
Reactie:
De Minister van VWS heeft de app ontwikkeld ter uitvoering van zijn taken op grond van de artikelen 3 en 7 van de Wpg; het geven van leiding aan infectieziektebestrijding, de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg en de instandhouding en verbetering van de landelijke ondersteuningsstructuur. In dat kader voert hij ook het beheer van de app uit, draagt hij zorg voor de back-end server, sluit hij de daarvoor benodigde verwerkersovereenkomst, voorziet hij in de algemene informatieverstrekking over de app en voert hij de evaluatie van de app uit. Ook een mogelijk besluit tot beëindigen van het gebruik van de app wordt door de minister geïnitieerd. Daarmee bepaalt de Minister van VWS doel en middelen van de verwerking van de gegevens die in het kader van de app plaatsvindt. Naar het oordeel van de regering volgt daar logischerwijs uit dat de minister van VWS verwerkinsgverantwoordelijke voor deze verwerking is. Tegelijkertijd verwerken de GGD’en, zoals de Afdeling ook terecht opmerkt, in de validatiefase persoonsgegevens in het kader van de app en dient de app ter ondersteuning van de wettelijke taak van de GGD’en tot het doen van bron- en contactopsporing. Ook de GGD’en zijn derhalve (mede)verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die in het kader van de app plaatsvindt. De regering is het met de Afdeling eens dat er sprake moet zijn van goede onderlinge afspraken tussen de GGD’en en de Minister van VWS over hun verantwoordelijkheden voor de nakoming van hun AVG verplichtingen. Het wetsvoorstel regelt daarom dat de Minister van VWS in algemene zin de verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens die in het kader van de app plaats vindt en dat de GGD van de verblijfplaats van de gebruiker als verwerkingsverantwoordelijke optreedt voor zover het gaat om de uitoefening van zijn rechten. Deze verdeling sluit het meest aan bij de praktijk waarbij de Minister van VWS de app beheert en bijvoorbeeld zorg draagt voor de beveiliging van de in het kader van app verwerkte gegevens, verwerkersovereenkomsten sluit en voorziet in algemene informatie over app op bijvoorbeeld coronamelder.nl en in de app zelf. De GGD van de verblijfplaats van een met het virus geïnfecteerde gebruiker verwerkt, als deze gebruiker daarmee instemt, persoonsgegevens over hem. Zo stuurt de GGD de eerste dag waarop hij ziekteverschijnselen kreeg en de validatiecode naar de back-end server. Het ligt dan ook in de rede dat de gebruiker zich tot deze GGD wendt voor bijvoorbeeld een inzage- of verwijderingsverzoek. Zoals de Afdeling terecht opmerkt kan de GGD voorafgaand aan de validatiefase geen gevolg aan dergelijke verzoeken geven. Dat is niet anders voor de Minister van VWS, in deze fase worden er immers alleen gegevens op de telefoon van de gebruikers verwerkt en de minister en de GGD hebben daar geen toegang toe. Dit is een direct gevolg van het feit dat de app is vormgegeven volgens de principes van dataminmalisatie en privacy by design. Ook in de volgende fases zal een beroep op deze rechten overigens maar beperkt zijn omdat de in deze fases verwerkte gegevens vaak niet meer herleidbaar zijn en na uiterlijk veertien dagen automatisch worden verwijderd. De toelichting is op dit punt aangevuld in paragraaf 4.2. waarbij ook is verwezen naar artikel 11 van de AVG waaruit volgt dat de artikelen 15 tot en met 20 van de AVG niet van toepassing zijn als de verwerkingsverantwoordelijke betrokkene niet (meer) kan identificeren.
Overigens worden er, net als in de pilotfase, ook overeenkomsten gesloten tussen de Minister van VWS en de GGD’en waarin de uitvoering van de AVG verplichtingen duidelijk is vastgelegd.
e. Rechten van betrokkenen
De GGD is in het voorstel verwerkingsverantwoordelijke voor wat betreft het uitvoering geven aan de rechten van betrokkenen en de informatieverstrekking aan gebruikers.38 Volgens de toelichting gaat het dan onder meer om de plicht om gebruikers te informeren, het recht op inzage en het recht op rectificatie.39 Inherent aan de decentrale aanpak is dat de GGD zelf niet beschikt over de gegevens die de gebruiker op zijn telefoon heeft. De plaatselijke GGD verwerkt immers alleen persoonsgegevens tijdens de validatiefase. Daarom is het volgens de DPIA slechts dan mogelijk uitvoering te geven aan de rechten van betrokkenen.40 Buiten de validatiefase is de GGD op grond van artikel 11, tweede lid, AVG daarom niet gehouden uitvoering te geven aan deze rechten.41
De Afdeling wijst erop dat de GGD op grond van het voorstel zoals het nu luidt verwerkingsverantwoordelijke is voor het uitvoeren van de rechten van betrokkenen in álle fasen van het gebruik van de app. Gelet op voorgaande opmerking en op de uitvoerbaarheid van de regeling voor de GGD, ligt echter in de rede dat onderscheid wordt gemaakt tussen de gegevensverwerkingen in de verschillende fasen in relatie tot de verwerkingsverantwoordelijkheid en de rechten van de betrokkenen die in de verschillende fases kunnen worden uitgeoefend.
De Afdeling onderschrijft dat het gebruik van de gepseudonimiseerde identificatiesleutels in de uitwisselings- en koppelingsfase en de daaraan gekoppelde notificatie in de notificatiefase pleit voor toepassing van de hiervoor genoemde uitzondering van artikel 11, tweede lid, AVG. De betrokkene kan immers in deze fasen niet worden geïdentificeerd. Daarom is het niet nodig om de GGD in die fasen uitvoering te laten geven aan de rechten van de betrokkene. Dit ligt echter anders voor de validatiefase, waarin de GGD (bijzondere) persoonsgegevens verwerkt. In de toelichting wordt hier echter niet op in gegaan. In het bijzonder besteedt de toelichting geen aandacht aan de gevallen waarin al dan niet uitvoering zou moeten worden gegeven aan de rechten van betrokkenen als bedoeld in de AVG.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
Reactie:
De Afdeling constateert terecht dat de GGD slechts in zeer beperkte mate en alleen in de fase van de validatie toegang heeft tot (bijzondere) persoonsgegevens van de betrokkene en dat zij dan ook alleen in die fase uitvoering kan geven aan rechten van betrokkenen. In overige gevallen is de genoemde uitzondering van artikel 11, tweede lid van de AVG van toepassing. De toelichting is in overeenstemming met hetgeen door de Afdeling is geadviseerd op dit aangevuld in paragraaf 4.2.
f. De rol van Google en Apple
Voor de app wordt gebruik gemaakt van de application programming interface (api) die door Google en Apple is ontwikkeld.42 De api zorgt ervoor dat de pseudonieme identificatiesleutels (RPIs), die gegenereerd zijn op basis van andere pseudonieme identificatiesleutels (TEKs), kunnen worden uitgewisseld tussen smartphones van gebruikers.43
De Autoriteit Persoonsgegevens (AP) acht het ‘onvoldoende duidelijk [...] of, en zo ja welke, persoonsgegevens worden verwerkt door Google en Apple middels het aanbieden van het framework’.44 In de Kamerbrief wijst de minister erop dat Google en Apple geen verwerkers zijn. Wel vindt de minister het belangrijk dat er goede afspraken zijn met Google en Apple, waarbij wordt verwezen naar de FAQ van Google en Apple.45
Dit doet de vraag rijzen in hoeverre het voor Google en Apple in het kader van het gebruik van de app nu of in de toekomst mogelijk zou zijn persoonsgegevens te verwerken. Ook rijst de vraag in hoeverre de door Google en Apple zelf opgestelde FAQ – waar in de Kamerbrief naar wordt verwezen – toereikend zijn om uit te sluiten dat de ondernemingen persoonsgegevens (kunnen) verwerken. Mede naar aanleiding van het advies van de AP is de Afdeling daarom van oordeel dat in de toelichting nader moet worden ingegaan op de rol van Google en Apple. In het bijzonder dient daarbij aandacht te worden besteed aan de vraag in hoeverre contractueel dan wel in de wet zelf aanvullende waarborgen noodzakelijk zijn.
De Afdeling adviseert in de toelichting nader op het bovenstaande in te gaan en zo nodig het wetsvoorstel aan te passen.
Reactie:
Apple en Google zijn alleen in hun hoedanigheid van softwareleverancier voor de api betrokken bij de verwerking van persoonsgegevens door middel van CoronaMelder. Zij verwerken uitdrukkelijk niet zelf persoonsgegevens uit CoronaMelder in de hoedanigheid van verwerkingsverantwoordelijke of verwerker, noch verwerken zij persoonsgegevens voor andere – eigen – doeleinden. Dat zou op grond van de AVG ook niet zijn toegestaan. Om alle misverstanden uit te sluiten zijn er daar bovenop ook schriftelijke afspraken met Apple en Google gemaakt waarin is vastgelegd dat zij de gegevens uit CoronaMelder niet voor andere doelen verwerken. Tezamen met de door de Afdeling voorgestelde explicitering van de wettelijke bepaling dat de app niet voor andere doelen mag worden gebruikt is de regering van mening dat de door de Afdeling gevraagde helderheid op dit punt afdoende is gegeven. De toelichting is aangevuld op dit punt in paragraaf 3.1.
4. Subdelegatie
Het voorstel regelt dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld over de notificatieapplicatie. Dit betreft de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen.46
De Afdeling merkt op dat dit in elk geval deels onderwerpen zijn die raken aan het recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10 van de Grondwet mag de bevoegdheid tot het stellen van regels inzake de eerbiediging van de persoonlijke levenssfeer worden gedelegeerd aan lagere regelgevers.47 In het licht van het legaliteitsbeginsel dient wel op hoofdlijnen een afweging te worden gemaakt op het niveau van de formele wet. Onderwerpen die betrekking hebben op de uitvoering kunnen worden gedelegeerd naar een ministeriële regeling.48
In ieder geval waar het de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen betreft, is geen sprake van uitvoering van een regeling waarvan eventueel op het niveau van een ministeriële regeling regels kunnen worden gesteld. De Afdeling adviseert daarom in ieder geval de bewaartermijnen en de uitoefening van de rechten van betrokkenen op het niveau van de algemene maatregel van bestuur te regelen.49
Het voorstel schrijft bovendien niet dwingend voor dat deze onderwerpen nader worden geregeld, maar laat daartoe slechts de mogelijkheid open. Gelet op het voorgaande is de Afdeling van oordeel dat – in ieder geval waar het de hiervoor genoemde onderwerpen betreft – uitdrukkelijk bepaald dient te worden dat nadere regeling bij algemene maatregel van bestuur zal geschieden.50
De Afdeling adviseert het voorstel in het licht van het voorgaande aan te passen.
Reactie:
In overeenstemming met hetgeen de Afdeling adviseert is het wetsvoorstel op bovenstaand punt aangepast. Er is echter, om de rechten van betrokkenen maximaal te waarborgen en met het oog op de gewenste snelle invoering van de app, niet voor gekozen om de bewaartermijn en de uitoefening van de rechten van betrokkenen op het niveau van algemene maatregel van bestuur te regelen, doch deze direct in het wetsvoorstel op te nemen. Ook welke persoonsgegevens precies worden verwerkt in het kader van de app is om dezelfde reden in de wet zelf opgenomen. Hiertoe is een nieuw tweede lid en derde lid ingevoegd in artikel 6d.
5. Parlementaire betrokkenheid
De door het voorstel aangebrachte wijzigingen in de Wpg vervallen zes maanden na inwerkingtreding van het voorstel. Eventuele verlenging is mogelijk door middel van het op een later tijdstip laten vervallen van de wet, maar niet eerder dan dat het besluit daartoe is voorgehangen bij het parlement.51 Ook kan bij Koninklijk Besluit worden bepaald dat (onderdelen van) de bepalingen op een eerder tijdstip vervallen.52 In dat geval wordt voorgesteld het parlement daarbij niet vooraf te betrekken.
De Afdeling acht het ongewenst dat parlementaire betrokkenheid bij eerdere vervallenverklaring in de wet ontbreekt.53 Ook als een bepaling of een onderdeel daarvan, wordt ingetrokken, zijn verschillende belangen in het geding die zorgvuldig tegen elkaar moeten worden afgewogen.54 Om die reden ligt het voor de hand dat het parlement ook actief betrokken is bij het intrekken van (onderdelen van) bepalingen op een eerder moment.
De Afdeling adviseert het voorstel aan te vullen.
Reactie:
Het advies van de Afdeling is overgenomen. Ook voor de bepaling die het mogelijk maakt om bij Koninklijk Besluit bepalingen of onderdelen daarvan op een eerder tijdstip te laten vervallen wordt, net als bij de bepaling die verlenging mogelijk maakt, voorzien in voorhang bij het parlement.
6. Interoperabiliteit
Uit de toelichting blijkt niet dat de app interoperabel is of zal zijn met (decentrale) notificatieapplicaties in andere Europese landen. Wel komt de app grotendeels overeen met de Duitse, Italiaanse en Ierse apps, aldus de Kamerbrief van de minister.55 In de Kamerbrief wordt aangegeven dat momenteel een ‘Federation Gateway Service’ wordt gecreëerd waarop landen met een decentrale methode hun nationale back-end server kunnen aansluiten.56 De back-end servers van de landen versturen periodiek de sleutels van nieuwe geïnfecteerden naar de Federation Gateway Service. Deze sleutels worden 14 dagen opgeslagen. Het ophalen van de buitenlandse codes kan alleen met aanvullende toestemming van de gebruiker gebeuren. Op basis van testen zal worden bepaald of en wanneer de app interoperabel zal worden met andere Europese decentrale apps. Voor de feitelijke invoering zal, aldus de Kamerbrief, de juridische grondslag nog worden geëxpliciteerd.57
De Europese richtsnoeren sturen aan op interoperabiliteit van (decentrale) apps.58 In een verklaring over de interoperabiliteit licht de EDPB dat nader toe.59 Hierin wordt onder meer opgemerkt dat als voor de wettelijke grondslag een beroep wordt gedaan op het algemeen belang, de nationale wetgeving mogelijk moet worden aangepast.60
De Afdeling merkt op dat de voorgenomen aanpak inzake interoperabiliteit in overeenstemming lijkt met de hiervoor geschetste benadering op Europees niveau. Zij onderschrijft dat een juridische grondslag moet worden geëxpliciteerd, nu in het voorstel de gegevensverwerking plaatsvindt binnen de taken van de minister en de GGD. De Afdeling meent echter dat gegeven de huidige ontwikkelingen snel moet worden voorzien in deze grondslag. Ook met toestemming als grondslag (zie hiervoor punt 2) dient immers duidelijkheid te worden gecreëerd ten aanzien van de rollen en verantwoordelijkheden van verschillende partijen. Door de grondslag in het huidige voorstel op te nemen, kan het parlement bovendien een volledige afweging maken in relatie tot het voorstel als geheel. De Afdeling is daarom van oordeel dat de juridische grondslag voor het toestaan van interoperabiliteit in het huidige voorstel dient te worden geëxpliciteerd.
De Afdeling adviseert het voorstel aan te passen.
Reactie:
Hoewel Nederland op Europees niveau actief meedenkt over de eisen aan en de vormgeving en ontwikkeling van digitale internationale uitwisseling van gegevens van besmette personen (interoperabiliteit), zijn op het moment van het schrijven van dit nader rapport, de ontwikkelingen nog niet zover dat al precies duidelijk is hoe deze internationale uitwisseling van besmettingsgegevens eruit gaat zien en wat hiervoor nationaal geregeld moet worden. Het streven is er nu daarom vooral op gericht om eerst de nationale verwerking van gegevens in het kader van de Coronamelder goed te regelen.
In het onderhavige wetsvoorstel zal dan ook geen juridische grondslag worden gecreëerd voor het toestaan van interoperabiliteit met andere landen. Bij een eventueel toekomstig wetsvoorstel zal vanzelfsprekend dankbaar gebruik gemaakt worden van het onderhavige advies van de Afdeling op dit punt.
7. Deactivering
Het voorstel regelt niet de deactivering van de app. Uit de toelichting blijkt dat de gebruiker de mogelijkheid heeft zelf de app te verwijderen. Na veertien dagen zijn vervolgens alle gegevens verwijderd van de smartphone.
Het Europees Comité voor gegevensbescherming beveelt in zijn richtsnoeren aan criteria in de wettelijke maatregel op te nemen aan de hand waarvan wordt bepaald wanneer de app buiten gebruik wordt gesteld, alsmede de entiteit die verantwoordelijk en aansprakelijk is voor het nemen van het besluit daartoe.61 Daarbij wordt ervan uitgegaan dat vooraf dient te worden bepaald wanneer de app wordt gedeactiveerd. In de toelichting wordt hier niet op ingegaan.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
Reactie:
De app wordt gedeactiveerd als deze onvoldoende effectief blijkt. Daarvan is in ieder geval sprake als uit de monitoring blijkt dat Coronamelder geen bijdrage (meer) levert aan het breder, sneller en efficiënter opsporen van met het virus geïnfecteerde personen. De toelichting is in overeenstemming met het advies van de Afdeling aangevuld op dit punt in paragraaf 3.2.1.
8. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
Reactie:
De redactionele opmerkingen van de Afdeling zijn in overeenstemming met het advies verwerkt.
De vice-president van de Raad van State,
Th.C. de Graaf.
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W13.20.0254/III
-
– Stel de grondslag voor het verwerken van bijzondere gegevens in paragraaf 4.2 van de toelichting (artikel 9, tweede lid, onder h, AVG) gelijk met de grondslag zoals genoemd in de DPIA (artikel 9, tweede lid, onder i, AVG).
-
– Benoem in paragraaf 4.2 van de toelichting dat als geen directe behandelrelatie bestaat er desalniettemin sprake kan zijn van een afgeleide geheimhoudingsplicht.
Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge.
Advies Raad van State
No. W13.20.0254/III
's-Gravenhage, 19 augustus 2020
Aan de Koning
Bij Kabinetsmissive van 13 juli 2020, no. 2020001500, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapp covid-19), met memorie van toelichting.
Het voorstel wijzigt de Wet publieke gezondheid (Wpg), en introduceert het vrijwillige gebruik van een notificatieapplicatie (hierna: de app). Deze app wordt gebruikt ten behoeve van de bron- en contactopsporing door de gemeentelijke gezondheidsdiensten (GGD’en). Het voorstel bevat een wettelijke grondslag voor de met de toepassing van de app samenhangende gegevensverwerking en een regeling voor de verwerkingsverantwoordelijkheid. Voorts is in het voorstel een mogelijkheid van subdelegatie opgenomen wat betreft regels voor de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkene. Ten slotte kent het voorstel een antimisbruikbepaling en regelt het de handhaving en sanctionering daarvan.
De Afdeling advisering van de Raad van State gaat allereerst in op de noodzaak voor een wettelijke grondslag. Ook maakt de Afdeling een aantal opmerkingen over de gegevensbescherming. Zij wijst in het bijzonder op het specificeren van het doeleinde en het beperken van verdere gegevensverwerking. Ook gaat zij in op het verwerken van bijzondere persoonsgegevens, de daarmee samenhangende verwerkingsverantwoordelijkheid, en het zorgdragen voor de uitoefening van de rechten van betrokkenen. Zij maakt in het kader van gegevensbescherming ook een opmerking over de rol van Google en Apple.
Tevens maakt de Afdeling een opmerking over de mogelijkheid tot subdelegatie ten aanzien van de bewaartermijn en de rechten van betrokkenen. Verder wijst zij op het belang van parlementaire betrokkenheid, ook bij het intrekken van (onderdelen) van het voorstel. Voorts maakt zij een opmerking over het opnemen van een juridische grondslag in het voorstel ten behoeve van de interoperabiliteit. Tot slot adviseert ze de criteria voor deactivering nader toe te lichten. In verband daarmee is aanpassing van het wetsvoorstel en de toelichting wenselijk.
1. Inleiding
Het wetsvoorstel hing oorspronkelijk samen met de eerder ingezette versoepeling van de maatregelen ter bestrijding van de epidemie van Covid-19. Bij de afbouw van maatregelen kan een goed functionerend systeem van bron- en contactopsporing door de gemeentelijke gezondheidsdienst (GGD) als onmisbaar worden beschouwd. Het voorstel is evenwel zeker ook goed voorstelbaar in het licht van de recente significante stijging van het aantal Covid-19 besmettingen, en van de daaropvolgende inzet van de overheid om verder oplopende verspreiding van het virus te bestrijden.
De GGD heeft op grond van de Wpg de taak om bron- en contactopsporing te doen bij meldingen van besmetting met een infectieuze ziekte zoals het virus.1 Dit houdt kortgezegd in dat de GGD onderzoekt met wie een besmette patiënt contact heeft gehad, met diegenen contact opneemt en vervolgens hen een handelingsperspectief biedt. Dit heeft als doel de uitbraak van een epidemie te voorkomen of te beheersen. De uitvoering van de bron-en contactopsporing is vormvrij. Uitgangspunt is dat dit in alle gevallen plaatsvindt op grond van vrijwillige medewerking van de betrokkenen.
Het Outbreak Management Team (OMT) heeft geadviseerd om met het oog op het intensievere testbeleid de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp van mobiele applicaties te onderzoeken.2 Ook andere Europese lidstaten ontwikkelen dergelijke apps. De voorgestelde app komt overeen met de notificatieapp zoals die wordt ontwikkeld in Duitsland, Italië en Ierland.3
De notificatieapp is bedoeld als niet-verplichte aanvulling op de analoge bron- en contactopsporing van de GGD en komt niet in plaats van het analoge onderzoek. De aanvulling bestaat eruit dat door de app (sneller) personen worden bereikt die de besmette patiënt niet kent of waarvan de besmette patiënt zich niet kan herinneren daarmee in contact te zijn gekomen.
De notificatieapp werkt kortgezegd als volgt. Een gebruiker installeert de app op de telefoon. De app herkent andere gebruikers door middel van bluetooth. De app geeft een melding als de smartphone van de gebruiker in de buurt is geweest van de smartphone van een besmette persoon en geeft daarbij advies hoe te handelen. Als de (smartphone van de) gebruiker van de app tenminste 15 minuten bij een andere (smartphone van een) gebruiker van de app in de buurt is, wordt een versleutelde code uitgewisseld tussen de gebruikers van de app. Pas in geval van een geconstateerde besmetting kan de besmette patiënt ervoor kiezen met hulp van de GGD een melding van besmetting te doen. In dat geval wordt gecheckt met welke andere app-gebruikers in de afgelopen 14 dagen deze codes zijn uitgewisseld. Vervolgens ontvangen die gebruikers een melding en wordt hen geadviseerd hoe te handelen.4
Het gebruik van de app is expliciet vrijwillig. Voor de effectiviteit van de app is het van belang dat zoveel mogelijk mensen de app gaan gebruiken. Terecht wordt dan ook in de toelichting opgemerkt dat de doeltreffendheid van de app exponentieel evenredig is met het aantal personen dat eenzelfde app installeert en activeert.5 Voor de effectiviteit is daarnaast echter ook relevant dat er zo min mogelijk valspositieve en valsnegatieve meldingen worden gedaan, dat de door de GGD bij de melding geadviseerde handelingsperspectieven zo snel en volledig mogelijk worden opgevolgd (waaronder het zich laten testen), en het testbeleid daarop aansluit. De Afdeling stelt vast dat over de mate waarin de app op dit moment effectief is de opvattingen verschillen.6
Gelet op de maatschappelijke discussie over mogelijk misbruik van de app en de effectiviteit ervan, acht de Afdeling het van belang dat in de voorbereiding van de ingebruikname van de app veel aandacht is besteed aan het onderkennen van de mogelijkheden van misbruik en de risico’s van de met de app samenhangende gegevensverwerkingen, alsmede aan het formuleren van mogelijke oplossingen daarvoor. Ook zal, zo blijkt uit de toelichting, de effectiviteit van de app steeds worden geëvalueerd. Indien nodig kan dit ertoe leiden dat het gebruik van de app wordt beëindigd.7
2. Noodzaak wettelijke grondslag
In de toelichting wordt vermeld dat het wetsvoorstel zo snel mogelijk in werking treedt.8 Uit de kabinetsbrief van 16 juli j.l. kan worden opgemaakt dat wordt beoogd de app per 1 september 2020 in gebruik te nemen.9 Daarmee zal de app naar verwachting in gebruik worden genomen voordat de parlementaire behandeling van het wetsvoorstel is afgerond. De Afdeling is met de regering van oordeel dat dit op zichzelf mogelijk is. Strikt genomen is een wettelijke basis voor vrijwillig gebruik van de app juridisch niet noodzakelijk. Verdedigbaar is dat vanwege het feit dat gebruik vrijwillig is toestemming, gelet op de AVG,10 een toereikende grondslag vormt voor met gebruik van de app samenhangende verwerkingen van persoonsgegevens, mits aan de voorwaarden die op grond van de AVG aan de verlening van rechtsgeldige toestemming worden gesteld,11 wordt voldaan.
Het voorgaande betekent echter niet dat totstandbrenging van een wettelijke basis op zeer korte termijn niet bijzonder gewenst is. Met het in gebruik nemen van de app voordat het wetgevingsproces is afgerond wordt immers afbreuk gedaan aan een belangrijke doelstelling van het wetsvoorstel. Die doelstelling is namelijk maximale duidelijkheid bieden over de inzet van de app en de te verwerken persoonsgegevens op wetsniveau. Dit draagt bij aan de effectieve werking van de voor de bestrijding van de epidemie essentiële bron- en contactopsporing.12 Met een wettelijke grondslag kunnen voorts specifieke waarborgen worden geboden zoals het voorgestelde verbod op misbruik. Deze antimisbruikbepaling borgt immers de vrijwilligheid van het gebruik van de app.
De recente significante stijging van het aantal coronavirusbesmettingen en de grote urgentie om deze zo veel en zo snel als mogelijk onder controle te krijgen kan niettemin een rechtvaardiging zijn de app toch snel in gebruik te nemen zelfs als dat betekent dat de voltooiing van het wetgevingsproces niet kan worden afgewacht. De Afdeling adviseert in dat geval wel deze afweging in overleg met de Tweede Kamer te maken in het licht van de te verwachte duur van de parlementaire behandeling van dit wetsvoorstel. Daarbij zou gelet op de geschetste voordelen van de wet, gestreefd moeten worden naar een behandeling op zo kort mogelijke termijn, zoals ook is aangegeven in de kabinetsbrief van 17 augustus j.l.13
De Afdeling adviseert in de toelichting nader op het voorgaande in te gaan.
3. Gegevensbescherming
a. Doelomschrijving
Voorgesteld wordt dat een notificatieapplicatie kan worden ingezet ‘ter ondersteuning van de bron- en contactopsporing, waarmee vroegtijdig zicht kan worden verkregen op een mogelijke infectie met dat virus’.14
Op grond van de AVG moet het doel van de gegevensverwerking welbepaald en uitdrukkelijk omschreven zijn.15 De richtsnoeren van de Commissie bevelen bovendien aan om het doel dermate specifiek te omschrijven dat er geen twijfel bestaat over het soort persoonsgegevens dat met het oog daarop moet worden verwerkt. Ten aanzien van de functionaliteit ‘contacttracering en waarschuwing’ merkt de Commissie bovendien op dat het enkel vermelden van preventie van verdere besmetting met COVID-19 als doel onvoldoende specifiek is. De richtsnoeren bevelen aan het doel inzake contacttracering en waarschuwing te specificeren als ‘het bewaren van de contacten van de personen die de app gebruiken en die mogelijk blootgesteld zijn geweest aan besmetting met COVID-19 om degenen te waarschuwen die eventueel besmet kunnen zijn’.16
Gelet hierop is de formulering van het doel van de notificatieapp in het wetsvoorstel niet specifiek genoeg.17 De Afdeling adviseert in het voorstel het doel in de hiervoor genoemde zin aan te passen.
b. Beperking gegevensverwerking
De met de app verkregen persoonsgegevens mogen niet worden gebruikt voor andere doeleinden dan het in de wet omschreven doel,18 aldus de toelichting.19 Dit is in overeenstemming met de Europese maatstaven. Volgens de richtsnoeren van de Commissie zou in de wettelijke grondslag voor de app onder meer de mogelijkheid moeten worden uitgesloten dat de gegevens voor andere dan de in de wetgeving vermelde doeleinden worden verwerkt.20 Ook de richtsnoeren van het Europees Comité voor de gegevensbescherming vereisen een uitdrukkelijke beperking op het verdere gebruik van persoonsgegevens.21
Dat de gegevens niet mogen worden gebruikt voor andere doeleinden wordt volgens de toelichting onder meer gewaarborgd door de eisen aan de vormgeving van de app, het in de wet omschreven doel, de antimisbruikbepaling, de toegepaste dataminimalisatie en het tijdelijk karakter van de wet.22 Voorts is van belang dat de gegevens zich voornamelijk bevinden op de smartphone van de gebruiker. Deze bewaart alleen de gegevens van de laatste twee weken. De gegevens op de server worden daarnaast gescheiden van het IP-adres van de smartphone.23
De Afdeling erkent dat de voorgaande, ook in de toelichting genoemde elementen met het oog op de doelbinding belangrijke waarborgen zijn. Desalniettemin is het, gelet op de gevoeligheid van het onderwerp, het belang van vertrouwen in de app en de hiervoor genoemde richtsnoeren, aangewezen dat in het wetsvoorstel verder gebruik van persoonsgegevens uitdrukkelijk wordt uitgesloten.
De Afdeling adviseert het wetsvoorstel in die zin aan te passen.
c. Verwerking bijzondere persoonsgegevens door GGD
Het wetsvoorstel regelt dat de GGD bij de toepassing van de app bijzondere persoonsgegevens verwerkt.24 Noch uit het voorstel, noch uit de toelichting, volgt echter in welke fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt. In de gegevensbeschermingseffectbeoordeling (hierna: DPIA) wordt opgemerkt dat in de validatie-, koppelings- en notificatiefase sprake is van verwerking van bijzondere persoonsgegevens. In de verschillende fasen betreffen dit verschillende gegevens, zoals de identificatiesleutels, de autorisatiecode, de eerste ziektedag, maar ook bijvoorbeeld het bericht aan de gebruiker dat hij mogelijk besmet is.25
Volgens de DPIA worden de (bijzondere) persoonsgegevens alleen in de validatiefase door de GGD verwerkt.26 Nu de verwerking van bijzondere persoonsgegevens door de GGD in het voorstel wordt geregeld, acht de Afdeling het aangewezen om, in overeenstemming met de DPIA, in de toelichting nader aan te geven welke bijzondere persoonsgegevens door de GGD in welke fase worden verwerkt.27 Voorts acht zij het nuttig om, mede met het oog op de parlementaire behandeling, gedeeltes uit de DPIA te verwerken in de toelichting voor zover ook in andere fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt.
De Afdeling adviseert in het licht van het voorgaande de toelichting aan te vullen.
d. Verwerkingsverantwoordelijkheid
De verwerkingsverantwoordelijkheid is in het voorstel vastgelegd op twee niveaus. Het voorstel bepaalt dat de minister verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor de verwerking van persoonsgegevens met de app.28 In afwijking daarvan echter wordt de GGD van de verblijfplaats van de betrokkene aangewezen als verwerkingsverantwoordelijke (onder meer) voor wat betreft het uitvoering geven aan de rechten van betrokkenen en het melden van een inbreuk in verband met persoonsgegevens.29 Volgens de toelichting wordt met deze verdeling aangesloten bij respectievelijk de taken van de minister in het kader van de Wpg, en de bron- en contactopsporing waarmee de GGD is belast.30
De verwerkingsverantwoordelijke is volgens de AVG degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als doel en middelen door de nationale wetgever wordt vastgesteld, kan in de betreffende wet worden bepaald wie de verwerkingsverantwoordelijke is.31 Als twee (of meer) verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijk verwerkingsverantwoordelijken. In dat geval dienen zij, zo schrijft de AVG voor, hun verantwoordelijkheden voor de nakoming van hun verplichtingen onderling vast te stellen.32 Bij een gezamenlijke verwerkingsverantwoordelijkheid kan de betrokkene zijn rechten uitoefenen jegens iedere verwerkingsverantwoordelijke.33 Deze AVG-regels zijn van belang omdat voor de burger duidelijk moet zijn wie waarvoor verantwoordelijk is en hij als gevolg daarvan weet wie hij op de verwerking van zijn persoonsgegevens kan aanspreken.
Met het oog op de noodzakelijke helderheid van de burger is de vraag of het voorstel niet kan worden vereenvoudigd. Het gaat hier ten eerste om de vraag waarom ook de minister als verwerkingsverantwoordelijke is aangewezen. Ten tweede zou het voorstel vereenvoudigd kunnen worden door de verwerkingsverantwoordelijkheid van de GGD’en in het wetsvoorstel te verduidelijken.
In dat kader merkt de Afdeling allereerst op dat uit onder meer de DPIA blijkt dat in ieder geval de GGD’en persoonsgegevens verwerken in de validatiefase (zie hiervoor onder c). Het ligt derhalve voor de hand dat als het gaat om die verwerkingen de GGD van de verblijfplaats van betrokkene als verwerkingsverantwoordelijken wordt aangewezen. Uit de toelichting volgt echter niet waarom naast de GGD’en ook de minister verwerkingsverantwoordelijke zou moeten zijn. Dat de minister verantwoordelijk is voor de inrichting en het beheer van de app leidt niet zonder meer tot de conclusie dat hij ook als verwerkingsverantwoordelijke moet worden aangewezen. Uit de toelichting blijkt immers niet in hoeverre de minister in het kader van zijn beheerstaak ook persoonsgegevens verwerkt.34
Voorts is de vraag of hetgeen het wetsvoorstel op dit moment regelt inzake de verwerkingsverantwoordelijkheid van de GGD wel afdoende is. Deze beperkt zich tot de toepassing van een aantal bepalingen uit de AVG die betrekking hebben op de specifieke informatieverplichtingen van de verwerkingsverantwoordelijke en de uitoefening van de rechten van betrokkenen. Uit de toelichting blijkt onvoldoende in hoeverre deze beperkingen aansluiten bij de rol van de GGD’en bij de toepassing van de app in de verschillende fasen.35 Daarbij merkt de Afdeling op dat de verwerking van persoonsgegevens door de GGD’en in de validatiefase niet zonder meer samenvalt met de verwerking van persoonsgegevens die samenhangt met de informatieverplichtingen uit de AVG.
De Afdeling merkt ten slotte op dat indien wordt gekozen voor een gezamenlijke verwerkingsverantwoordelijkheid van de minister en de GGD’en aandacht moet worden besteed aan de onderlinge regeling waarin op grond van de AVG de verantwoordelijkheden tussen de minister en de GGD’en moet worden geregeld.36 Zij acht het raadzaam de essentiële onderdelen daarvan in de toelichting te expliciteren. Daarbij dient in acht te worden genomen dat bij een gezamenlijke verwerkingsverantwoordelijkheid de betrokkene zijn rechten kan uitoefenen jegens elke verwerkingsverantwoordelijke.37
De Afdeling adviseert in het licht van het voorgaande de regeling van de verwerkingsverantwoordelijkheid nader toe te lichten en zo nodig het voorstel aan te passen.
e. Rechten van betrokkenen
De GGD is in het voorstel verwerkingsverantwoordelijke voor wat betreft het uitvoering geven aan de rechten van betrokkenen en de informatieverstrekking aan gebruikers.38 Volgens de toelichting gaat het dan onder meer om de plicht om gebruikers te informeren, het recht op inzage en het recht op rectificatie.39 Inherent aan de decentrale aanpak is dat de GGD zelf niet beschikt over de gegevens die de gebruiker op zijn telefoon heeft. De plaatselijke GGD verwerkt immers alleen persoonsgegevens tijdens de validatiefase. Daarom is het volgens de DPIA slechts dan mogelijk uitvoering te geven aan de rechten van betrokkenen.40 Buiten de validatiefase is de GGD op grond van artikel 11, tweede lid, AVG daarom niet gehouden uitvoering te geven aan deze rechten.41
De Afdeling wijst erop dat de GGD op grond van het voorstel zoals het nu luidt verwerkingsverantwoordelijke is voor het uitvoeren van de rechten van betrokkenen in álle fasen van het gebruik van de app. Gelet op voorgaande opmerking en op de uitvoerbaarheid van de regeling voor de GGD, ligt echter in de rede dat onderscheid wordt gemaakt tussen de gegevensverwerkingen in de verschillende fasen in relatie tot de verwerkingsverantwoordelijkheid en de rechten van de betrokkenen die in de verschillende fases kunnen worden uitgeoefend.
De Afdeling onderschrijft dat het gebruik van de gepseudonimiseerde identificatiesleutels in de uitwisselings- en koppelingsfase en de daaraan gekoppelde notificatie in de notificatiefase pleit voor toepassing van de hiervoor genoemde uitzondering van artikel 11, tweede lid, AVG. De betrokkene kan immers in deze fasen niet worden geïdentificeerd. Daarom is het niet nodig om de GGD in die fasen uitvoering te laten geven aan de rechten van de betrokkene. Dit ligt echter anders voor de validatiefase, waarin de GGD (bijzondere) persoonsgegevens verwerkt. In de toelichting wordt hier echter niet op in gegaan. In het bijzonder besteedt de toelichting geen aandacht aan de gevallen waarin al dan niet uitvoering zou moeten worden gegeven aan de rechten van betrokkenen als bedoeld in de AVG.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
f. De rol van Google en Apple
Voor de app wordt gebruik gemaakt van de application programming interface (api) die door Google en Apple is ontwikkeld.42 De api zorgt ervoor dat de pseudonieme identificatiesleutels (RPIs), die gegenereerd zijn op basis van andere pseudonieme identificatiesleutels (TEKs), kunnen worden uitgewisseld tussen smartphones van gebruikers.43
De Autoriteit Persoonsgegevens (AP) acht het ‘onvoldoende duidelijk [...] of, en zo ja welke, persoonsgegevens worden verwerkt door Google en Apple middels het aanbieden van het framework’.44 In de Kamerbrief wijst de minister erop dat Google en Apple geen verwerkers zijn. Wel vindt de minister het belangrijk dat er goede afspraken zijn met Google en Apple, waarbij wordt verwezen naar de FAQ van Google en Apple.45
Dit doet de vraag rijzen in hoeverre het voor Google en Apple in het kader van het gebruik van de app nu of in de toekomst mogelijk zou zijn persoonsgegevens te verwerken. Ook rijst de vraag in hoeverre de door Google en Apple zelf opgestelde FAQ – waar in de Kamerbrief naar wordt verwezen – toereikend zijn om uit te sluiten dat de ondernemingen persoonsgegevens (kunnen) verwerken. Mede naar aanleiding van het advies van de AP is de Afdeling daarom van oordeel dat in de toelichting nader moet worden ingegaan op de rol van Google en Apple. In het bijzonder dient daarbij aandacht te worden besteed aan de vraag in hoeverre contractueel dan wel in de wet zelf aanvullende waarborgen noodzakelijk zijn.
De Afdeling adviseert in de toelichting nader op het bovenstaande in te gaan en zo nodig het wetsvoorstel aan te passen.
4. Subdelegatie
Het voorstel regelt dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld over de notificatieapplicatie. Dit betreft de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen.46
De Afdeling merkt op dat dit in elk geval deels onderwerpen zijn die raken aan het recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10 van de Grondwet mag de bevoegdheid tot het stellen van regels inzake de eerbiediging van de persoonlijke levenssfeer worden gedelegeerd aan lagere regelgevers.47 In het licht van het legaliteitsbeginsel dient wel op hoofdlijnen een afweging te worden gemaakt op het niveau van de formele wet. Onderwerpen die betrekking hebben op de uitvoering kunnen worden gedelegeerd naar een ministeriële regeling.48
In ieder geval waar het de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen betreft, is geen sprake van uitvoering van een regeling waarvan eventueel op het niveau van een ministeriële regeling regels kunnen worden gesteld. De Afdeling adviseert daarom in ieder geval de bewaartermijnen en de uitoefening van de rechten van betrokkenen op het niveau van de algemene maatregel van bestuur te regelen.49
Het voorstel schrijft bovendien niet dwingend voor dat deze onderwerpen nader worden geregeld, maar laat daartoe slechts de mogelijkheid open. Gelet op het voorgaande is de Afdeling van oordeel dat – in ieder geval waar het de hiervoor genoemde onderwerpen betreft – uitdrukkelijk bepaald dient te worden dat nadere regeling bij algemene maatregel van bestuur zal geschieden.50
De Afdeling adviseert het voorstel in het licht van het voorgaande aan te passen.
5. Parlementaire betrokkenheid
De door het voorstel aangebrachte wijzigingen in de Wpg vervallen zes maanden na inwerkingtreding van het voorstel. Eventuele verlenging is mogelijk door middel van het op een later tijdstip laten vervallen van de wet, maar niet eerder dan dat het besluit daartoe is voorgehangen bij het parlement.51 Ook kan bij Koninklijk Besluit worden bepaald dat (onderdelen van) de bepalingen op een eerder tijdstip vervallen.52 In dat geval wordt voorgesteld het parlement daarbij niet vooraf te betrekken.
De Afdeling acht het ongewenst dat parlementaire betrokkenheid bij eerdere vervallenverklaring in de wet ontbreekt.53 Ook als een bepaling of een onderdeel daarvan, wordt ingetrokken, zijn verschillende belangen in het geding die zorgvuldig tegen elkaar moeten worden afgewogen.54 Om die reden ligt het voor de hand dat het parlement ook actief betrokken is bij het intrekken van (onderdelen van) bepalingen op een eerder moment.
De Afdeling adviseert het voorstel aan te vullen.
6. Interoperabiliteit
Uit de toelichting blijkt niet dat de app interoperabel is of zal zijn met (decentrale) notificatieapplicaties in andere Europese landen. Wel komt de app grotendeels overeen met de Duitse, Italiaanse en Ierse apps, aldus de Kamerbrief van de minister.55 In de Kamerbrief wordt aangegeven dat momenteel een ‘Federation Gateway Service’ wordt gecreëerd waarop landen met een decentrale methode hun nationale back-end server kunnen aansluiten.56 De back-end servers van de landen versturen periodiek de sleutels van nieuwe geïnfecteerden naar de Federation Gateway Service. Deze sleutels worden 14 dagen opgeslagen. Het ophalen van de buitenlandse codes kan alleen met aanvullende toestemming van de gebruiker gebeuren. Op basis van testen zal worden bepaald of en wanneer de app interoperabel zal worden met andere Europese decentrale apps. Voor de feitelijke invoering zal, aldus de Kamerbrief, de juridische grondslag nog worden geëxpliciteerd.57
De Europese richtsnoeren sturen aan op interoperabiliteit van (decentrale) apps.58 In een verklaring over de interoperabiliteit licht de EDPB dat nader toe.59 Hierin wordt onder meer opgemerkt dat als voor de wettelijke grondslag een beroep wordt gedaan op het algemeen belang, de nationale wetgeving mogelijk moet worden aangepast.60
De Afdeling merkt op dat de voorgenomen aanpak inzake interoperabiliteit in overeenstemming lijkt met de hiervoor geschetste benadering op Europees niveau. Zij onderschrijft dat een juridische grondslag moet worden geëxpliciteerd, nu in het voorstel de gegevensverwerking plaatsvindt binnen de taken van de minister en de GGD. De Afdeling meent echter dat gegeven de huidige ontwikkelingen snel moet worden voorzien in deze grondslag. Ook met toestemming als grondslag (zie hiervoor punt 2) dient immers duidelijkheid te worden gecreëerd ten aanzien van de rollen en verantwoordelijkheden van verschillende partijen. Door de grondslag in het huidige voorstel op te nemen, kan het parlement bovendien een volledige afweging maken in relatie tot het voorstel als geheel. De Afdeling is daarom van oordeel dat de juridische grondslag voor het toestaan van interoperabiliteit in het huidige voorstel dient te worden geëxpliciteerd.
De Afdeling adviseert het voorstel aan te passen.
7. Deactivering
Het voorstel regelt niet de deactivering van de app. Uit de toelichting blijkt dat de gebruiker de mogelijkheid heeft zelf de app te verwijderen. Na veertien dagen zijn vervolgens alle gegevens verwijderd van de smartphone.
Het Europees Comité voor gegevensbescherming beveelt in zijn richtsnoeren aan criteria in de wettelijke maatregel op te nemen aan de hand waarvan wordt bepaald wanneer de app buiten gebruik wordt gesteld, alsmede de entiteit die verantwoordelijk en aansprakelijk is voor het nemen van het besluit daartoe.61 Daarbij wordt ervan uitgegaan dat vooraf dient te worden bepaald wanneer de app wordt gedeactiveerd. In de toelichting wordt hier niet op ingegaan.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
8. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
De vice-president van de Raad van State, Th.C. de Graaf.
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no. W13.20.0254/III
-
– Stel de grondslag voor het verwerken van bijzondere gegevens in paragraaf 4.2 van de toelichting (artikel 9, tweede lid, onder h, AVG) gelijk met de grondslag zoals genoemd in de DPIA (artikel 9, tweede lid, onder i, AVG).
-
– Benoem in paragraaf 4.2 van de toelichting dat als geen directe behandelrelatie bestaat er desalniettemin sprake kan zijn van een afgeleide geheimhoudingsplicht.
Tekst zoals toegezonden aan de Raad van State: Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19)
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het wenselijk is dat wettelijke waarborgen worden opgenomen ter voorkoming van misbruik van een bij de bestrijding van de epidemie van covid-19 mogelijk in te zetten notificatieapplicatie dan wel van enig ander vergelijkbaar digitaal middel.
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Hebben goedgevonden en verstaan:
ARTIKEL I
De Wet publieke gezondheid wordt als volgt gewijzigd:
A
Na artikel 6c wordt een artikel ingevoegd, luidende:
Artikel 6d
-
1. In het kader van de taak van Onze Minister, bedoeld in artikel 3, eerste lid en artikel 7, eerste lid, en voorts ter ondersteuning van de bron- en contactopsporing, bedoeld in artikel 6, eerste lid, onder c, ter bestrijding van de epidemie van covid-19, veroorzaakt door het virus SARS-CoV-2 kan een notificatieapplicatie worden ingezet waarmee vroegtijdig zicht kan worden verkregen op een mogelijke infectie met dat virus door bij te houden welke gebruikers in elkaars nabijheid zijn geweest en hen in voorkomende gevallen te waarschuwen over een mogelijke infectie met het virus. Voor zover noodzakelijk kunnen Onze Minister en de gemeentelijke gezondheidsdiensten bij het beheer en de toepassing van deze notificatieapplicatie persoonsgegevens verwerken, waaronder persoonsgegevens over de gezondheid als bedoeld in artikel 9 van de Algemene verordening gegevensbescherming.
-
2. In het kader van de notificatieapplicatie worden uitsluitend de volgende gegevens verwerkt:
-
1° gepseudonimiseerde codes waarmee de nabijheid van gebruikers wordt bijgehouden en gebruikers in voorkomende gevallen worden gewaarschuwd voor een mogelijke infectie met het virus;
-
2° het pseudo mac-adres van gebruikers;
-
3° de duur van de nabijheid van gebruikers;
-
4° de afstand waarbinnen gebruikers in elkaars nabijheid waren;
-
5° de weging van het risico dat de betreffende gebruiker mogelijk geïnfecteerd is met het virus;
-
4° het ip-adres van gebruikers;
-
5° de eerste dag waarop een met het virus geïnfecteerde gebruiker ziekteverschijnselen vertoonde, en
-
6° een validatiecode die wordt uitgewisseld met de betreffende gemeentelijke gezondheidsdienst zodat wordt gewaarborgd dat alleen de notificatieapplicatie van een daadwerkelijk met het virus geïnfecteerde gebruiker andere gebruikers kan waarschuwen over een mogelijke infectie met het virus.
-
-
3. De in het kader van de notificatieapplicatie verwerkte persoonsgegevens:
-
a. worden niet langer bewaard dan noodzakelijk is om gebruikers in voorkomende gevallen te kunnen waarschuwen over een mogelijke infectie met het virus en worden vervolgens onmiddellijk vernietigd;
-
b. zijn beveiligd tegen verlies en onrechtmatige verwerking, en
-
c. worden niet voor andere doeleinden gebruikt dan de bestrijding van de epidemie van covid-19, veroorzaakt door het virus SARS-CoV-2.
-
-
4. Onze Minister draagt zorg voor de inrichting en het beheer van de notificatieapplicatie.
-
5. Onze Minister is verwerkingsverantwoordelijke in de zin van artikel 4 van de Algemene verordening gegevensbescherming voor de verwerking van persoonsgegevens in het kader van de notificatieapplicatie.
-
6. In afwijking van het derde lid is voor de toepassing van de artikelen 12 tot en met 23 en 33 van de Algemene verordening gegevensbescherming de verwerkingsverantwoordelijke de gemeentelijke gezondheidsdienst van de verblijfplaats van betrokkene. De gemeentelijke gezondheidsdienst beslist binnen een maand op een verzoek van betrokkene betreffende de uitoefening van zijn rechten op grond van de Algemene verordening gegevensbescherming.
-
7. Onze Minister maakt ten minste de volgende informatie toegankelijk voor de betrokkene:
-
a. de wijze waarop betrokkene bij de gemeentelijke gezondheidsdienst van zijn verblijfplaats een beroep kan doen op zijn rechten op grond van de artikelen 12 tot en met 23 en 33 van de Algemene verordening gegevensbescherming;
-
b. de contactgegevens van de gemeentelijke gezondheidsdienst van de verblijfplaats van betrokkene;
-
c. de wijze waarop betrokkene een klacht kan indienen bij de Autoriteit persoonsgegevens;
-
d. de wijze van verwerking van gegevens in het kader van de notificatieapplicatie in beknopte en toegankelijke vorm en in duidelijke en eenvoudige taal.
-
-
8. Het is verboden een ander te verplichten tot het gebruik van de notificatieapplicatie dan wel enig ander vergelijkbaar digitaal middel.
B
In paragraaf 1 van hoofdstuk VII wordt na artikel 64 een artikel ingevoegd, luidende:
Artikel 64bis
-
1. Met het toezicht op de naleving van artikel 6d, achtste lid, zijn voorts belast de bij besluit van Onze Minister aangewezen ambtenaren. Indien de aanwijzing ambtenaren betreft, ressorterende onder een ander ministerie dan dat van Onze Minister, wordt het besluit genomen in overeenstemming met Onze Minister die het mede aangaat.
-
2. De ambtenaren belast met het toezicht op de naleving van artikel 6d, achtste lid, verstrekken elkaar uit eigen beweging en desgevraagd de gegevens, waaronder persoonsgegevens over de gezondheid als bedoeld in artikel 9 van de Algemene verordening gegevensbescherming, die van belang zijn voor de uitoefening van hun toezichthoudende taak.
-
3. Met de opsporing van het in artikel 67a strafbaar gestelde feit zijn, onverminderd artikel 141 van het Wetboek van Strafvordering en artikel 184 van het Wetboek van Strafvordering BES, belast de door Onze Minister in overeenstemming met Onze Minister van Justitie en Veiligheid aangewezen ambtenaren. Indien de aanwijzing ambtenaren betreft, ressorterende onder een ander ministerie dan dat van Onze Minister of van Onze Minister van Justitie en Veiligheid, wordt het besluit genomen in overeenstemming met Onze Minister die het mede aangaat.
-
4. De ambtenaren bedoeld in het tweede lid zijn tevens belast met de opsporing van de feiten, strafbaar gesteld in de artikelen 179 tot en met 182 en 184 van het Wetboek van Strafrecht dan wel de artikelen 185 tot en met 188 en 190 van het Wetboek van Strafrecht BES, voor zover deze feiten betrekking hebben op een bevel, vordering of handeling, gedaan of ondernomen door henzelf.
-
5. Van een besluit als bedoeld in het eerste lid en tweede lid wordt mededeling gedaan door plaatsing in de Staatscourant.
C
In paragraaf 2 van hoofdstuk VII wordt na artikel 67 een artikel ingevoegd, luidende:
ARTIKEL II
-
1. Met ingang van zes maanden na het tijdstip van inwerkingtreding van deze wet vervallen artikel 6d, artikel 64bis en artikel 67a van de Wet publieke gezondheid.
-
2. Bij koninklijk besluit kan voor de in het eerste lid genoemde bepalingen of onderdelen daarvan worden bepaald dat zij op een eerder tijdstip vervallen.
-
3. Bij koninklijk besluit kan voor de in het eerste lid genoemde bepalingen of onderdelen daarvan worden bepaald dat zij op een later tijdstip vervallen, met dien verstande dat dit tijdstip steeds ten hoogste twee maanden na het tijdstip ligt waarop die bepalingen of onderdelen zouden vervallen. 4. De voordracht voor het koninklijk besluit als bedoeld in het tweede of derde lid, wordt niet eerder gedaan dan een week nadat het ontwerp aan beide Kamers van de Staten-Generaal is overgelegd.
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
De Minister van Volksgezondheid, Welzijn en Sport,
MEMORIE VAN TOELICHTING
Algemeen deel
1. Doel van het wetsvoorstel
In de huidige fase van de bestrijding van het novel-coronavirus 2019-nCoV, inmiddels formeel SARS-CoV-2 genaamd (hierna: het virus),1 waarin het aantal ziekenhuisopnames en nieuwe opnames op de IC-afdelingen weliswaar is afgenomen, maar het aantal nieuwe besmettingen in kleine clusters op regionaal gebied toeneemt, is Nederland in een fase terechtgekomen waarin beperkende maatregelen landelijk worden versoepeld, doch regionaal daar waar nodig juist verscherpt. Doordat het aantal contacten tussen personen geleidelijk weer toeneemt en hiermee ook het aantal besmettingen, is het noodzakelijk een slimme controle-strategie in te zetten bestaande uit een combinatie van begeleidende maatregelen en de medewerking van de gehele bevolking.
Omdat het afbouwen van de beperkende maatregelen alleen mogelijk is als verdere infecties zoveel mogelijk worden voorkomen is er een cruciale rol weggelegd voor de bron- en contactopsporing door de gemeentelijke gezondheidsdienst (hierna: GGD), zo nodig op grote schaal. Daarbij is gezocht naar mogelijkheden om grootschalige bron- en contactopsporing te ondersteunen, bijvoorbeeld op digitale wijze aangezien de GGD’en al langere tijd gewend zijn digitaal te werken (zie de ‘GGD-appstore’). Net als in de ons omringende landen is hierbij de keuze gevallen op een zogenaamde notificatieapplicatie (hierna: CoronaMelder). Van diverse zijden, waaronder de Tweede Kamer, de AP en het College voor de rechten van de mens zijn zorgen geuit over het risico dat derden, hoewel dat nadrukkelijk niet past bij het uitgangspunt van vrijwilligheid, anderen zouden willen verplichten tot het gebruik van CoronaMelder, bijvoorbeeld als voorwaarde om toegang te krijgen tot een bepaalde locatie. Dit acht de regering onwenselijk; de minister van VWS heeft dat ook reeds aangegeven bij brief van 22 april 2020.2 De regering acht het van groot belang dat het gebruik van CoronaMelder te allen tijde vrijwillig is. Mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere vergelijkbare digitale middelen. Daarom voorziet het wetsvoorstel in een antimisbruikbepaling.
Verder wordt van de gelegenheid gebruik gemaakt te expliciteren dat de inzet van een notificatieapp onderdeel uitmaakt van de wettelijke taak tot bron- en contactopsporing door de GGD en van de taken van de minister van VWS tot de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg, het zorgdragen voor de landelijke ondersteuningsstructuur en het geven van leiding aan infectieziektenbestrijding.
Hoewel de regering met de Afdeling advisering van de Raad van State van mening is dat de gegevensverwerking in het kader van CoronaMelder ook zou kunnen plaatsvinden op basis van toestemming van betrokkenen, mits voldaan aan de eisen van de AVG, hecht de regering eraan hiermee op wetsniveau maximale duidelijkheid over de inzet van CoronaMelder en de daarbij behorende verwerking van persoonsgegevens te geven. De regering geeft, zeker gezien het in de huidige situatie aantal fors oplopende besmettingen en het aflopen van de vakantieperiode, graag gehoor aan het advies van de Raad van State om zo snel mogelijk met de Tweede Kamer in overleg te treden over ingebruikname van CoronaMelder.
Daarnaast is van belang dat de inzet van de notificatieapp uitdrukkelijk alléén is bedoeld voor de bestrijding van het virus, daarom voorziet het wetsvoorstel ook slechts in een tijdelijke wijziging van de Wet publieke gezondheid (Wpg). Deze tijdelijkheid wordt tot uitdrukking gebracht in de vervalbepaling (artikel II).
2. Bron- en contactopsporing
De GGD heeft op grond van de Wpg de taak om bron- en contactopsporing te doen bij meldingen van besmetting met een infectieuze ziekte zoals het virus. De uitvoering hiervan is vormvrij en de GGD geeft hier de afgelopen jaren in de praktijk dan ook op verschillende manieren invulling aan, zowel analoog als digitaal.
Bij de analoge bron- en contactopsporing neemt een medewerker van de GGD contact op met de patiënt nadat een arts of hoofd van een laboratorium op grond van de Wpg bij de GGD melding heeft gedaan van een vastgestelde infectie met het virus. De GGD-medewerker brengt vervolgens samen met de patiënt in kaart met welke personen de patiënt in de afgelopen periode in contact is geweest en de plaatsen waar hij is geweest. De patiënt verstrekt zo mogelijk de contactgegevens van deze personen aan de medewerker van de GGD. De GGD neemt vervolgens in overleg met de patiënt (telefonisch of per brief) contact op met deze personen, informeert hen dat zij mogelijk in contact zijn geweest met een besmet persoon, en informeert hen over de eventueel te nemen vervolgstappen. De medewerker van de GGD maakt hiervoor per individu een risico-inschatting, waarbij de GGD kijkt hoe nauw het contact is geweest en of de contacten op dit moment klachten ervaren. Afhankelijk van deze risico-inschatting zal het handelingsperspectief per contact verschillen.
Uitgangspunt bij bron- en contactopsporing is dat dit in alle gevallen plaatsvindt op grond van vrijwillige medewerking van de betrokkenen. Alleen in geval van bronopsporing waarbij gebouwen, vervoermiddelen, goederen of waren verdacht zijn van besmetting, kunnen op grond van de Wpg betrokkenen door de burgemeester of voorzitter van de veiligheidsregio worden gedwongen om medewerking te verlenen.
3. CoronaMelder
Het OMT heeft geadviseerd om met het oog op het intensievere testbeleid de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp van mobiele applicaties te onderzoeken.3 Ook de Tweede Kamer heeft in de breed aangenomen motie Jetten c.s. overwogen dat het gebruik van apps kan bijdragen aan het beheersen van het virus.4 De inzet van dergelijke apps heeft ook de aandacht van andere Europese lidstaten en de Europese Commissie.5
De regering onderkent de mogelijke toegevoegde waarde van het inzetten van digitale middelen bij bron- en contactopsporing door de GGD. Dit geldt in het bijzonder voor een notificatieapp die op een smartphone kan worden geïnstalleerd. Op basis van de uitgangspunten van vrijwilligheid, privacy, informatieveiligheid, grondrechten en nationale veiligheid is de minister van VWS dan ook gestart met een verkenning van een notificatieapp, waarvan de zogenoemde ‘appathon’ op 18 en 19 april 2020 het startpunt was; in de brief aan de Tweede Kamer van 22 april 2020 is hierop uitvoerig ingegaan.6 Na de appathon heeft de minister een programma Realisatie digitale ondersteuning opgezet om tezamen met alle relevante partijen waaronder het RIVM en de GGD tot een zorgvuldige ontwikkeling hiervan te komen.7
Coronamelder is bedoeld als aanvulling op de analoge bron- en contactopsporing van de GGD en komt niet in plaats van het analoge onderzoek. De analoge bron- en contactopsporing blijft nodig, alleen al vanwege het feit dat de geïnfecteerde gebruiker en de GGD niet weten wie er gebruik maakt van de CoronaMelder (en dus ook niet weten wie er een signaal heeft gekregen dat hij in de nabijheid van een met het virus geïnfecteerde persoon is geweest). Daarnaast is de verwachting dat door de inzet van CoronaMelder meer personen worden bereikt wat zal leiden tot meer analoge bron- en contactopsporing en meer testen. De capaciteit bij de GGD wordt hiertoe opgeschaald.
CoronaMelder vervult nadrukkelijk géén rol bij het vaststellen of iemand geïnfecteerd is geraakt met het virus of bij de meldingen die door een arts en de GGD op grond van de Wpg verplicht moeten worden gedaan. Artsen en GGD’en doen die meldingen via reeds bestaande procedures; Coronamelder is daar niet bij betrokken. CoronaMelder vervult alleen een rol in de ondersteuning van de bron- en contactopsporing. CoronaMelder geeft burgers de mogelijkheid om zelf vast te stellen dat ze recent in de nabijheid zijn geweest van een besmet persoon, zonder dat ze weten wie de besmette persoon is en zonder dat de plaatsen waar die personen geweest zijn, worden bijgehouden – noch in CoronaMelder, noch op een centrale server. Burgers kunnen zo zelf ook daadwerkelijk bijdragen aan het voorkomen van besmettingen.
3.1. Werking CoronaMelder
Tijdens de ontwerp-, bouw- en testfase van CoronaMelder zijn experts vanuit verschillende disciplines betrokken. De vormgeving van CoronaMelder is gebaseerd op het programma van eisen dat de GGD en het RIVM hebben opgesteld, bijvoorbeeld over de parameters aan de hand waarvan wordt bepaald of iemand een signaal krijgt dat hij in de nabijheid van een besmet persoon is geweest en welk advies daarbij wordt gegeven.
CoronaMelder bestaat uit verschillende fases:
(1) Opslag van derden ontvangen contactcodes op de smartphone
CoronaMelder maakt gebruik van een zogenoemde exposure notification framework / application programming interface (api). Apple en Google treden op als leveranciers van deze api, dat de technische basis vormt voor de uitwisseling van nabijheidsgegevens via bluetooth low energy. De api zorgt ervoor dat door smartphones waarop de app is geïnstalleerd elke dag een zogeheten Temporary Exposure Key (TEK) wordt aangemaakt. Dit zijn volledig willekeurige (cryptografisch random), niet voorspelbare en niet herleidbare nummers. Met de TEK’s wordt elke 10 à 20 minuten een rolling proximity indicator (RPI, hierna: contactcode) gegenereerd. Ook deze contactcodes zijn niet tot de persoon, smartphone of elkaar terug te herleiden. Alle andere smartphones waarop de app is geïnstalleerd en die in de nabijheid van de gebruiker zijn, ontvangen deze contactcodes door middel van bluetooth low energy en leggen deze voor 14 dagen vast. Om het risico op identificatie van gebruikers zoveel mogelijk uit te sluiten wordt bij de uitwisseling van TEK’s het MAC-adres (een uniek hardware nummer van de bluetooth-transmitter) van de smartphone vervangen door een random gegenereerde code, een zogenaamd pseudo MAC-adres, die evenals de TEKs elke 10 tot 20 minuten verandert.
Het gebruik van de systematiek van de api sluit aan bij de aanbevelingen die in het eHealth-netwerk door de Europese Commissie en de EU-lidstaten zijn opgenomen in de zogenoemde Toolbox voor applicaties ter ondersteuning van contactonderzoek ten behoeve van de bestrijding van het virus, alsmede bij het richtsnoer van de European Data Protection Board (hierna: EDPB) over het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van covid-19 (hierna: EDPB-richtsnoer).8 Daarbij is van belang dat Apple en Google alleen in hun hoedanigheid van softwareleverancier voor de api betrokken zijn bij de verwerking van persoonsgegevens door middel van CoronaMelder. Zij verwerken uitdrukkelijk niet zelf persoonsgegevens uit CoronaMelder in de hoedanigheid van verwerkingsverantwoordelijke of verwerker, noch verwerken zij persoonsgegevens voor andere – eigen – doeleinden. Dat zou op grond van de AVG ook niet zijn toegestaan. Naar aanleiding van het advies van de Raad van State is dit in het derde lid van artikel 6d geëxpliciteerd. Om alle misverstanden uit te sluiten zijn er daar bovenop ook schriftelijke afspraken met Apple en Google gemaakt waarin is vastgelegd dat zij de gegevens uit CoronaMelder niet voor andere doelen verwerken.
In deze fase worden uitsluitend (1) contactcodes uitgewisseld tussen gebruikers van CoronaMelder die in elkaars nabijheid zijn geweest en (2) de eigen TEK’s opgeslagen op de smartphone. Er worden in deze fase dus geen bijzondere persoonsgegevens verwerkt. Zowel de opgeslagen contactcodes van andere gebruikers als de eigen TEK’s worden maximaal veertien dagen op de smartphone bewaard. De Minister van VWS en de GGD hebben géén toegang tot deze gegevens en er worden in deze fase géén persoonsgegevens9 door de smartphone naar de server verstuurd. Het is overigens mogelijk om het versturen en opslaan van TEK’s en contactcodes tijdelijk uit te zetten. Uiteraard kan CoronaMelder ook te allen tijde worden verwijderd, de opgeslagen contactcodes verdwijnen dan binnen veertien dagen van de smartphone.
(2) Uitwisseling met backend server
Wanneer door een arts of de GGD is geconstateerd dat een gebruiker is geïnfecteerd kan de gebruiker ervoor kiezen om door middel van een validatieproces waarbij de gebruiker een unieke code uitwisselt met de GGD, zijn eigen TEK’s naar een backend server te sturen. Daarbij worden de met de GGD uitgewisselde validatiecode en – uitsluitend voor beheers- en beveiligingsdoeleinden- het IP-adres van de betreffende gebruiker meegestuurd. De server accepteert alleen TEK’s van gebruikers die vergezeld gaan met deze door de GGD gevalideerde code. De GGD stuurt daarom ook een validatiecode naar de server als bevestiging dat de server de betreffende TEK’s mag accepteren. Daarnaast vraagt de GGD – net als bij de analoge bron- en contactopsporing – aan de gebruiker op welke dag hij ziekteverschijnselen heeft gekregen. Uit de RIVM richtlijn die GGD medewerkers en andere zorgprofessionals gebruiken bij vermoedelijke besmettingen met het virus volgt namelijk dat deze dag relevant is voor de mate waarin met het virus geïnfecteerde personen besmettelijk zijn.10 Op het moment van schrijven van deze toelichting gaat deze richtlijn uit van de periode van twee dagen voordat iemand ziekteverschijnselen vertoont tot veertien dagen daarna. Afhankelijk van nieuwe onderzoeksresultaten kan het RIVM de richtlijn veranderen, de voor Coronamelder gebruikte parameters zullen daar dan uiteraard op worden aangepast. Indien de gebruiker daarvoor toestemming geeft stuurt de GGD deze dag samen met de validatiecode naar de backend server. Afhankelijk van de dag waarop de gebruiker ziekteverschijnselen kreeg voorziet de backend server de TEK’s vervolgens van een bepaalde risico indicatie. Dit draagt in belangrijke mate bij aan het voorkomen van valse positieven. In deze fase verwerkt de GGD dus een persoonsgegeven over de gezondheid en daarmee een bijzonder persoonsgegeven, van de gebruiker. Dit is overigens niet anders bij de analoge bron- en contactopsporing waarbij de GGD óók vraagt op welke dag een met het virus geïnfecteerde persoon ziekteverschijnselen kreeg, waarna de GGD contact opneemt met de personen waarmee deze persoon in contact is geweest.
De server zal de TEK’s vervolgens beschikbaar stellen om opgehaald te worden door alle smartphones waarop de app is geïnstalleerd. De smartphones van alle gebruikers van CoronaMelder halen de op de backend server beschikbaar gemaakte TEK’s op. De verbinding met de server wordt vervolgens verbroken. De api genereert op de smartphone van de gebruikers met elk van deze TEK’s alle contactcodes en controleert of er een match is tussen de op de smartphone opgeslagen contactcodes en de aan de hand van de TEK’s van de backend server berekende contactcodes. Deze vergelijking vindt lokaal op de smartphone plaats.
(3) Meldingen van mogelijke besmettingen op de smartphone
Als er een match is, wordt op basis van de aan de hand van de hierboven genoemde richtlijn van het RIVM vastgestelde parameters afgewogen of er een risicovol contact is geweest. Deze parameters zijn de duur van de nabijheid, de signaalsterkte van het bluetoothsignaal (een indicatie van hoe dicht gebruikers bij elkaar in de buurt waren) en de besmettelijkheid van de betreffende gebruiker (gerelateerd aan de dag waarop deze gebruiker ziekteverschijnselen kreeg). Voor de weging wordt aan elk van deze parameters een waarde toegekend die opgeteld moeten leiden tot een bepaalde drempelwaarde. Indien uit deze berekening volgt dat er inderdaad sprake was van een risicovol contact geeft de app een notificatie dat er sprake is geweest van risicovol contact en ontvangt deze gebruiker een bericht met bijvoorbeeld een advies om scherper te letten op symptomen of om zich bij bepaalde symptomen te laten testen. Direct nadat de opgehaalde TEK’s verwerkt zijn voor het maken van de match en de weging, worden deze verwijderd van de telefoon. Ook de notificatie wordt direct weer verwijderd, zodat deze niet door derden kan worden ingezien. Daarnaast is het om dezelfde reden niet mogelijk om een screenshot van de notificatie te maken. Ook de Minister van VWS en de GGD weten niet welke gebruikers een melding hebben gehad en zij hebben hier ook geen toegang toe.
Ook deze werkwijze sluit aan bij het EDPB-richtsnoer waarin onder meer wordt aanbevolen om gebruik te maken van bluetooth low energy. Ook wordt in lijn met het richtsnoer de broncode van de app openbaar gemaakt, zodat elke betrokken partij deze code kan controleren en, waar dat relevant is, kan bijdragen aan de verbetering van de code, het corrigeren van eventuele bugs en het waarborgen van de transparantie bij de verwerking van persoonsgegevens.
3.2. Effectiviteit notificatieapp
De doeltreffendheid van CoronaMelder is exponentieel evenredig met het aantal personen dat deze app installeert en activeert. Fundamenteel vereiste voor een doeltreffende exit-strategie waarbij een notificatieapp wordt ingezet, is dan ook het vertrouwen van de burger in een dergelijke app en de grootst mogelijke vrijwillige deelname van de burger hieraan. Het gebruik ervan moet dan ook met de strengste waarborgen omkaderd zijn.
Simulatiemodellen en eerste wetenschappelijke inzichten suggereren dat, zelfs bij inachtneming van beperkt gebruik, de introductie van een notificatieapp kan bijdragen aan de reductie van het aantal verdere besmettingen en het reduceren van de tijd tussen besmetting en signalering van andere geïnfecteerden.11 Daarnaast wordt CornaMelder voordat deze landelijk in gebruik wordt genomen getest op effectiviteit, zowel technisch (stelt de app inderdaad risicovolle nabijheid vast?) als op gebruikersvriendelijkheid, toegankelijkheid en waarde voor de volksgezondheid. Daarbij wordt ook een vergelijking gemaakt met de testresultaten uit andere landen, zoals Duitsland en Zwitserland. Het gaat eerst om testen in een laboratorium gevolgd door praktijktesten, eerst op kleine schaal en vervolgens in de regio Twente. Daarbij zullen ook medewerkers van de GGD en specifieke doelgroepen zoals slechthorenden/doven, slechtzienden/blinden en anderstaligen worden betrokken. De app processen, zoals ontworpen met en voor de GGD’en, worden op het moment van schrijven van deze toelichting getest bij vijf GGD’en in Drenthe, Overijssel en Gelderland.
Zoals ook de EDPB aanbeveelt, zal gedurende het gebruik van CoronaMelder onderzoek gedaan worden naar de effectiviteit en worden buitenlandse ontwikkelingen op dit vlak nauwgezet gevolgd. De werking van CoronaMelder zal verder worden gemonitord aan de hand van een vooraf vastgesteld evaluatieprotocol. Hierbij wordt op basis van het daadwerkelijke gebruik van de app in de samenleving de leidende gedachte achter CoronaMelder onderzocht: Als zoveel mogelijk mensen CoronaMelder installeren en zoveel mogelijk mensen zo snel mogelijk en zo goed mogelijk de handelingsperspectieven ontvangen en daadwerkelijk opvolgen wordt dan inderdaad de tijd tussen infectie en testen waardoor verkort en wordt vervolgens ook verdere verspreiding van het virus ingedamd, verminderd of voorkomen? Daarbij wordt tevens periodiek bekeken of er wellicht niet beoogde neveneffecten zijn die om bijsturing vragen, waarbij ook ervaringen en inzichten uit het buitenland worden meegenomen. Deze monitoring leidt zo nodig tot aanpassingen en bijstellingen van de communicatie, het beleid en/of CoronaMelder zelf, bijvoorbeeld door het aanpassen van de eerder genoemde waardes die zijn toegekend aan de parameters waarmee wordt berekend of er sprake was van een risicovol contact. Hiermee worden valse positieven zoveel mogelijk beperkt.
3.2.1 Beëindigen inzet CoronaMelder
Als CoronaMelder onvoldoende effectief blijkt, wordt de inzet ervan beëindigd. Daarvan is in ieder geval sprake als uit de monitoring blijkt dat CoronaMelder geen bijdrage levert aan het breder, sneller en efficiënter opsporen van met het virus geïnfecteerde personen.
CornaMelder wordt dan gedeactiveerd. Gebruikers zullen daarvan via de gangbare communicatiekanalen op de hoogte worden gebracht en zullen dit ook kunnen zien in de app. Daarnaast krijgt CoronaMelder dan een zogenaamde deactivering file. Deze file gaat mee in de download van de codes die meermaals per dag vanaf de backend server wordt opgehaald. Dit leidt ertoe dat de app wordt uitgeschakeld. De api maakt dan geen TEK’s meer aan en zendt dan geen RPI’s meer uit. Ook alle achtergrondtaken van CoronaMelder worden vervolgens gedeactiveerd. Conform de standaard werking van de api worden de TEK’s en ontvangen RPI’s uiterlijk veertien dagen na de deactivering van CoronaMelder verwijderd. Vervolgens zal ook de backend server worden uitgeschakeld.
4. Verwerking van persoonsgegevens
CoronaMelder wordt zodanig ontwikkeld dat het risico op identificatie van gebruikers zo goed als uitgesloten is. Met het oog op maximale zorgvuldigheid wordt er echter van uitgegaan dat er in alle fases van CoronaMelder sprake is van persoonsgegevens. Daarmee moet CoronaMelder voldoen aan de vereisten van artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Hieronder wordt toegelicht dat dat het geval is.
4.1 Artikel 8 EVRM
Ingevolge artikel 8, tweede lid, EVRM wordt een inbreuk op de persoonlijke levenssfeer rechtens aanvaardbaar geacht indien deze een legitiem doel dient, de inbreuk bij wet wordt voorzien en de inbreuk noodzakelijk is in een democratische samenleving. In verband met het noodzakelijkheidsvereiste vervullen het dringend maatschappelijk belang en het proportionaliteitsvereiste een belangrijke functie. Het gerechtvaardigd doel van CoronaMelder is voor een belangrijk deel gelegen in de noodzakelijke bescherming van de volksgezondheid. CoronaMelder geeft immers betere controle op besmettingshaarden en de verspreiding van het virus. Daarmee draagt de app ten eerste bij aan de bescherming van de volksgezondheid en ten tweede aan het verder kunnen afbouwen van de met de intelligente lockdown samenhangende beperkende maatregelen.
De inzet van CoronaMelder maakt zoals toegelicht onderdeel uit van de taken van de minister van VWS, bedoeld in artikel 3, eerste lid en artikel 7, eerste lid van de Wpg en van de bron- en contactopsporing van de GGD zoals geregeld in artikel 6, eerste lid, onderdeel c, Wpg. Daarmee is de inbreuk bij wet voorzien. De bron-en contactopsporing van de GGD is overigens slechts één van de maatregelen die op grond van de Wpg kunnen worden genomen, en daarbij ook één van de lichtere. Hoewel vrijwilligheid het uitgangspunt is biedt de Wpg een grondslag om ingrijpende maatregelen in te zetten om infectieziekten te bestrijden, zoals gedwongen isolatie van geïnfecteerde personen, gedwongen medisch onderzoek en sluiting van gebouwen en terreinen. Het gegeven dat dergelijke maatregelen door de wetgever zijn voorzien, onderstreept de noodzaak van effectieve bestrijding van infectieziekten zoals het virus, in het belang van de volksgezondheid op individueel niveau en de samenleving als geheel. De wetgever heeft daarmee ook bij de totstandkoming van de Wpg al onderkend dat het daartoe gerechtvaardigd is veel van individuen te vragen. Daar staat tegenover dat er voor de inzet van CoronaMelder verschillende belangrijke waarborgen worden getroffen. Allereerst het uitgangspunt, dat het gebruik van CoronaMelder te allen tijde vrijwillig is, zoals ook wordt gewaarborgd door de in het wetsvoorstel opgenomen misbruikbepaling, het feit dat er zo weinig mogelijk gegevens worden verwerkt, gegevens vrijwel niet herleidbaar zijn en zo kort mogelijk worden bewaard. Gelet hierop acht de regering de inzet van CoronaMelder proportioneel en daarmee een gerechtvaardigde inbreuk op het recht op de bescherming van de persoonlijke levenssfeer van artikel 8 EVRM.
4.2 Algemene verordening gegevensbescherming
In het richtsnoer van de EDPB wordt benadrukt dat zowel de AVG als de Richtlijn 2002/58/EG (de e-privacyrichtlijn) specifieke regels bevat die toestaan dat gebruik wordt gemaakt van zowel anonieme gegevens als persoonsgegevens om overheidsinstanties en andere actoren op nationaal en EU-niveau te ondersteunen bij het bewaken en indammen van de verspreiding van het virus.
Een van de belangrijkste uitgangspunten van de AVG is dat persoonsgegevens alleen mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 5, tweede lid, AVG). Naar aanleiding van het advies van de Raad van State is in artikel 6d, eerste lid, gespecificeerd dat met CoronaMelder vroegtijdig zicht kan worden verkregen op een mogelijke infectie met het virus door bij te houden welke gebruikers in elkaars nabijheid zijn geweest en hen in voorkomende gevallen te waarschuwen over een mogelijke infectie met het virus. Daarmee is CoronaMelder uitdrukkelijk bedoeld ter ondersteuning van de bron- en contactopsporing door de GGD in het kader van de bestrijding van het virus. De Minister van VWS heeft daarbij een ondersteunende rol vanwege zijn taken op grond van artikel 3, eerste lid en artikel 7, eerste lid, Wpg. Het doel van ondersteuning van de bron- en contactopsporing is gerechtvaardigd omdat hiermee wordt bijgedragen aan bestrijding van het virus, dat een groot gevaar is voor de volksgezondheid.
Net als voor de verwerking van persoonsgegevens die plaatsvindt ten behoeve van de analoge bron- en contactopsporing is de verwerking van persoonsgegevens met gebruikmaking van CoronaMelder gerechtvaardigd op grond van artikel 6, eerste lid, aanhef en onder e, jo. artikel 9, tweede lid, aanhef en onder i, AVG jo. artikel 3, eerste lid, 6, eerste lid, onderdeel c en artikel 7, eerste lid, Wpg. De GGD heeft immers de wettelijke taak tot het doen van bron- en contactopsporing en de minister van VWS heeft de wettelijke taken tot het zorgdragen voor de landelijke ondersteuningsstructuur hierbij en het leiding geven aan de bestrijding van het virus. Bron- en contactopsporing is vormvrij en moet breed worden opgevat. De GGD moet immers kunnen differentiëren naar wat afhankelijk van de omstandigheden van het geval de beste aanpak is. Voor de bestrijding van de epidemie geldt dat het doel van bron- en contactopsporing het beste kan worden bereikt als zoveel mogelijk mensen die risicovol in de nabijheid van een geïnfecteerde persoon zijn geweest zo snel mogelijk kunnen worden gewaarschuwd. Dit is alleen mogelijk als mensen voorafgaand aan een besmetting reeds (zo privacyvriendelijk mogelijk) bijhouden in wiens nabijheid zij zijn geweest. Het door middel van CoronaMelder uitwisselen en opslaan van contactcodes en TEK’s is derhalve onlosmakelijk verbonden met de bron- en contactopsporing door de GGD. Om eventuele onduidelijkheid hierover uit te sluiten is in het eerste lid van artikel 6d geëxpliciteerd dat ook dit vroegtijdig zicht krijgen op een mogelijke infectie met het virus onderdeel uitmaakt van de bron- en contactopsporing.
Deze wettelijke taken van de Minister van VWS en de GGD dienen een algemeen belang op het gebied van volksgezondheid aangezien bron- en contactopsporing essentieel is voor het doorbreken van de keten van infecties en het voorkomen van verdere infecties en daarmee een cruciale bijdrage levert aan de bestrijding van het virus. Dit past overigens ook bij het uitgangspunt van de EDPB dat ‘het rechtskader voor gegevensbescherming is ontworpen met flexibiliteit voor ogen en als zodanig een efficiënte respons mogelijk maakt die de pandemie indamt en de fundamentele mensenrechten en vrijheden beschermt’. Teneinde maximale duidelijkheid te betrachten, is voorts in artikel 6d Wpg expliciet opgenomen dat de GGD bij het gebruik van CoronaMelder indien noodzakelijk gerechtigd is tot het verwerken van persoonsgegevens, waaronder persoonsgegevens over de gezondheid. Tot slot wordt opgemerkt dat bij constatering van een (mogelijke) infectie sprake is van een behandelrelatie tussen een geïnfecteerde burger en de GGD. Hiervoor is in artikel 7:457 van het Burgerlijk Wetboek een geheimhoudingsplicht opgenomen. Daarnaast kan er bij een niet directe behandelrelatie sprake zijn van een afgeleide geheimhoudingsplicht. Daarmee is voldaan aan de verplichting van artikel 9, tweede lid, aanhef en onder i, AVG dat bepaalt dat bij de verwerking van persoonsgegevens ter bescherming van een zwaarwegend algemeen op het gebied van volksgezondheid het beroepsgeheim geborgd moet zijn.
De AVG bepaalt dat alle verwerkingen van persoonsgegevens moeten voldoen aan de vereisten van proportionaliteit en subsidiariteit. Dit houdt kort gezegd in dat ten eerste het doel en de aard en omvang van de gegevens die voor dat doel worden verwerkt met elkaar in verhouding moeten zijn en ten tweede dat altijd moet worden gekozen voor de minst ingrijpende verwerking van persoonsgegevens.
Zoals eerder toegelicht wordt CoronaMelder ingezet om bron- en contactopsporing door de GGD te ondersteunen en zo het virus sneller en beter te kunnen bestrijden:
(1) Personen die in de nabijheid van geïnfecteerde personen zijn geweest sneller worden bereikt
Het spreekt voor zich dat de analoge methode van contactopsporing niet alleen een arbeidsintensieve bezigheid is, maar ook beperkingen met zich brengt voor wat betreft de doeltreffendheid en de te verwerken aantallen meldingen. Het is immers voorstelbaar dat mensen zich niet altijd exact herinneren met wie zij allemaal contact hebben gehad over een bepaalde tijdsperiode, laat staan dat men van al die personen de contactgegevens zou hebben. Ook vergt het van de GGD behoorlijk wat tijd en mankracht om de contactpersonen te bereiken, waardoor geïnfecteerde personen intussen opnieuw andere personen kunnen besmetten.
(2) Het bereik van het contactonderzoek in belangrijke mate wordt vergroot
Iemand kan in de nabijheid zijn geweest van mensen die hij überhaupt niet kent en waarvan dus ook geen contactgegevens bekend zijn. Denk hierbij bijvoorbeeld aan een bezoek aan een speeltuin of park, een reis met het openbaar vervoer of deelname aan een demonstratie waarbij men andere mensen tegenkomt waarvan de identiteit onbekend is en ook niet via fysiek onderzoek te achterhalen. Daarnaast is contact met een geïnfecteerde persoon om contacten te achterhalen niet altijd mogelijk bijvoorbeeld omdat die persoon fysiek daartoe niet in staat is.
De ernst en de gevolgen van het virus, zowel voor individuen persoonlijk als op landelijke schaal leiden tot de conclusie dat het gedurende een beperkte termijn van veertien dagen verwerken van een zeer beperkt aantal gegevens die bovendien zo veel mogelijk lokaal op de smartphones van gebruikers worden opgeslagen proportioneel is. Mensen kunnen ernstig ziek worden of zelfs overlijden, mensen kunnen niet meer het leven leiden zoals zij gewend waren en ondervinden daar ook psychisch de gevolgen van. Daarnaast loopt de economie grote schade op. Daarbij is tijd een factor: hoe sneller en diepgaander het virus opgespoord kan worden, hoe sneller en diepgaander het virus bestreden kan worden en mensen niet meer ziek worden of angst daartoe hoeven te hebben en eenieder weer zijn ‘normale’ leven kan leiden zoals hij dat gewend was vóór het uitbreken van de epidemie. Daarbij is de inzet van moderne digitale middelen zoals CoronaMelder niet alleen een mogelijkheid, maar ook een noodzakelijkheid. Waarbij ook meetelt dat de samenleving in hoge mate is gedigitaliseerd en de inzet van een app aansluit bij de belevingswereld van veel mensen. Daarnaast is het zo dat ook steeds gekeken wordt naar andere middelen en ook de analoge contactopsporing blijft bestaan. Echter de inzet van CoronaMelder zal naar verwachting een grote bijdrage kunnen leveren aan de bestrijding van de epidemie en is daarom als één van de in te zetten middelen van cruciale betekenis. Een minder ingrijpend alternatief is te volstaan met enkel de analoge bron- en contactopsporing, die weliswaar nodig blijft naast de inzet van CoronaMelder, maar waarmee niet eenzelfde ruime groep mensen kan worden bereikt en vervolgens snelle en gerichte actie kan worden ondernomen. Zeker voor wat betreft het waarschuwen van mensen die men niet kent is geen goed alternatief voorhanden. Daarmee is ook voldaan aan het subsidiariteitsbeginsel.
Verder is minimale gegevensverwerking één van de uitgangspunten bij de ontwikkeling van CoronaMelder. Dat begint met de keuze voor het model dat hier het beste bij aansluit volgens de EDPB; het decentrale model. Hierop is data protection impact assessment (hierna: DPIA) nader worden ingegaan. Daarnaast is mede naar aanleiding van het advies van de Autoriteit Persoonsgegevens (hierna: AP) op de DPIA en het advies van de Raad van State limitatief in artikel 6d opgenomen welke gegevens er in het kader van CoronaMelder worden verwerkt.
De met CoronaMelder verkregen persoonsgegevens mogen niet worden gebruikt voor andere doeleinden dan de bestrijding van de epidemie van covid-19, veroorzaakt door het virus SARS-CoV-2. Naar aanleiding van het advies van de Raad van State is dit in het derde lid van artikel 6d geëxpliciteerd. Ook wordt dit geborgd door de eisen aan de vormgeving van de app, het feit dat CoronaMelder alleen dient ter ondersteuning van de bron- en contactopsporing ter bestrijding van het virus en het verbod voor derden om mensen (direct of indirect) te verplichten tot het gebruik van CoronaMelder. Verder legt CoronaMelder slechts die gegevens vast die nodig zijn voor het kunnen waarschuwen van mogelijk besmette mensen. Daarom wordt bijvoorbeeld niet de locatie van gebruikers vastgelegd maar uitsluitend welke andere gebruikers in de nabijheid zijn geweest. Verder worden de IP-adressen bij binnenkomst op de backend server gescheiden van de TEK’s, waardoor herleidbaarheid in de praktijk zo goed als onmogelijk is. Tot slot is van belang dat artikel 6d van de Wpg slechts een tijdelijk karakter heeft.
Voor wat betreft de technische inrichting van CoronaMelder is van belang dat TEK’s cryptografisch random zijn gegenereerd en niet herleidbaar zijn naar de telefoon van de gebruiker. TEK’s worden bovendien enkel lokaal, op het apparaat van de gebruiker, verwerkt totdat in het kader van bron- en contactopsporing de noodzaak zich voordoet om deze gegevens te uploaden naar de server. Een van de genomen veiligheidsmaatregelen is het verminderen van de waarde van de TEK’s voor derden. CoronaMelder verstuurt daarom af en toe zogenaamde dummycodes naar de server zodat uit het dataverkeer tussen de app en de server niet afgeleid kan worden dat de betreffende gebruiker daadwerkelijk besmet is. De mogelijke betekenis van TEK’s voor derden gaat daarmee verloren. Alle gebruikers downloaden de TEK’s van de server en vergelijken die lokaal, op hun eigen apparaat, met de verzamelde contactcodes. Een eventuele match vindt daarmee decentraal plaats en niet op de backend server. Als er een match is, genereert CoronaMelder aan de hand van de parameters van de GGD een bericht. Hiervoor wordt geen contact met de server gemaakt en de GGD is hier dan ook niet van op de hoogte. Hiermee wordt toepassing gegeven aan de AVG-beginselen van privacy by design en privacy by default. Het voldoen aan beide beginselen wordt vergemakkelijkt door het uitgangspunt is dat er zo min mogelijk persoonsgegevens worden verwerkt.
De bewaartermijnen zijn voorts gerelateerd aan het strikt noodzakelijke, namelijk het risico op infectie met het virus; gegevens worden na een periode van maximaal 14 dagen automatisch verwijderd van de smartphone, zonder dat de gebruiker of iemand anders daartoe actie behoeft te ondernemen. Omdat de wetenschappelijke inzichten over de besmettelijkheid van het virus nog kunnen wijzigen wordt voorgesteld deze termijn van veertien dagen niet in de wet op te nemen. Wel borgt het derde lid van artikel 6d dat de met CoronaMelder verwerkte gegevens niet langer worden bewaard dan noodzakelijk en vervolgens ook worden vernietigd. Dat betekent dat naar de huidige richtlijn van het RIVM de termijn van veertien dagen geldt, deze termijn kan alleen worden verlengd als de richtlijn van het RIVM daartoe aanleiding geeft.
Verwerkingsverantwoordelijke
Mede naar aanleiding van het advies van de AP en om mogelijke onduidelijkheid uit te sluiten wordt conform artikel 4, onder 7, AVG in artikel 6d voorgesteld de verwerkingsverantwoordelijkheid voor de verwerking van gegevens die in het kader van CoronaMelder plaats vindt expliciet te regelen. Daarbij is de verwerkingsverantwoordelijkheid op twee niveaus neergelegd waarbij wordt aangesloten bij de praktijk waarbij de Minister van VWS CoronaMelder heeft ontwikkeld en zal beheren en de GGD’en met CoronaMelder zullen werken.
Ingevolge het voorgestelde vijfde lid van artikel 6d is de Minister van VWS de verwerkingsverantwoordelijke voor de inrichting en het beheer van CoronaMelder en de AVG-verplichtingen die daarbij horen. Hij bepaalt immers het doel en de middelen voor de verwerking. Hiermee wordt aangesloten bij zijn taken op grond van de artikelen 3 en 7 van de Wpg; het geven van leiding aan infectieziektebestrijding, de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg en de instandhouding en verbetering van de landelijke ondersteuningsstructuur. In kader van deze taken heeft de minister van VWS de ontwikkeling van CoronaMelder op zich genomen en zal hij ten behoeve van de GGD’en zorgdragen voor het beheer ervan. De Minister van VWS bepaalt dan ook, rekening houdend met de richtlijnen van het RIVM en de wensen en behoeften van de GGD’en, doel en middelen van de verwerking van gegevens die in het kader van CoronaMelder plaatsvindt. Daarnaast wordt voorgesteld ook de GGD aan te wijzen (mede)verwerkingsverantwoordelijke, CoronaMelder dient immers ter ondersteuning van de bron- en contactopsporing door de GGD. Artikel 6d wijst daartoe de GGD van de verblijfplaats van de gebruiker specifiek aan als de verwerkingsverantwoordelijke voor wat betreft het uitvoering geven aan de informatieverstrekking aan en de AVG rechten van de gebruikers van wie door middel van CoronaMelder persoonsgegevens worden verwerkt. Het gaat dan onder meer om het recht op inzage en het recht op rectificatie. Het zou namelijk zeer onwenselijk zijn de minister van VWS ook in deze gevallen als verwerkingsverantwoordelijke te beschouwen, aangezien hij dan juist persoonsgegevens ten behoeve van CoronaMelder zou gaan verwerken terwijl dat niet nodig en daarmee vanuit privacyrechtelijk perspectief niet wenselijk is. Bovendien sluit dit ook aan bij het feit dat het de GGD is die (bijzondere) persoonsgegevens in het kader van CoronaMelder verwerkt. Het betreft het invoeren van de eerste dag van ziekteverschijnselen van een met het virus geïnfecteerde persoon en het invoeren van de validatiecode van die persoon als hij ervoor kiest zijn codes naar de backendserver te sturen. Omdat CoronaMelder is vormgegeven volgens de uitgangspunten van dataminimalisatie en privacy by design zullen betrokkenen overigens naar verwachting slechts beperkt een beroep (hoeven) doen op hun AVG rechten. Er worden immers maar beperkt gegevens verwerkt, gegevens zijn vrijwel niet herleidbaar en worden maar kort bewaard. Uit artikel 11 van de AVG volgt dat de artikelen 15 tot en met 20 van de AVG niet van toepassing zijn als de verwerkingsverantwoordelijke betrokkene niet (meer) kan identificeren. Zoals reeds toegelicht worden in de eerste fase alleen gegevens verwerkt op de smartphones van gebruikers van CoronaMelder. Noch de Minister van VWS noch de GGD’en hebben toegang tot de gegevens op de smartphone. En als zij al toegang tot deze gegevens zouden hebben (wat dus uitdrukkelijk niet het geval is) dan zouden zij de opgeslagen codes niet kunnen herleiden tot personen. In deze fase kan bijvoorbeeld niet worden voldaan aan een verzoek tot wijziging of verwijdering van gegevens, waarbij uiteraard wel geldt dat deze gegevens na maximaal veertien dagen automatisch van de smartphone verdwijnen. Overigens geldt voor de verplichting tot het informeren van betrokkenen dat het zevende lid van artikel 6d voorziet in een aantal specifieke informatieverplichtingen voor de Minister van VWS. Aan deze verplichtingen wordt invulling gegeven op www.coronamelder.nl en in CoronaMelder zelf. Ook kunnen mensen zeven dagen per week met vragen terecht op een telefonische hulplijn. Tot slot wordt opgemerkt dat de Minister van VWS en de GGD’en, net als in de pilotfase, overeenkomsten zullen sluiten waarin de gedeelde verwerkingsverantwoordelijkheid voor de verwerking van persoonsgegevens die in het kader van CoronaMelder plaatsvindt nader wordt uitgewerkt.
5. Relatie met andere wetgeving
5.1. Telecommunicatiewet
Uit artikel 11.7a van de Telecommunicatiewet volgt dat het via een elektronisch communicatienetwerk (zoals internet) of draadloos transmissiesysteem (zoals bluetooth) plaatsen of lezen van informatie op een randapparaat zoals een smartphone, ongeacht of er sprake is van persoonsgegevens, uitsluitend is toegestaan op voorwaarde dat de gebruiker daarvoor toestemming heeft verleend én is voorzien van duidelijke en volledige informatie. Deze bepaling bevat met andere woorden voor wat betreft CoronaMelder een informatieplicht en een toestemmingsvereiste voor het opslaan van CoronaMelder op een smartphone, voor het uitwisselen van de contactcodes tussen deze smartphone en andere smartphones in de nabijheid die ook gebruik maken van de app, en voor het uitsturen van een eventuele melding van de besmetting naar de server.
CoronaMelder wordt zodanig ingericht dat aan deze vereisten is voldaan. Zo is het gebruik van CoronaMelder vrijwillig. Daarbij is van belang dat het niet geven van toestemming niet leidt tot ondermijning van de keuzevrijheid; mensen die CoronaMelder niet willen gebruiken kunnen zich bij klachten gewoon laten testen en (vrijwillig) meewerken aan analoge bron- en contactopsporing. Verder wordt er bij het downloaden van CoronaMelder specifiek toestemming gevraagd voor zowel het gebruik van de app als de api. Daarbij zal duidelijk worden gemaakt dat de toestemming ziet op (1) het opslaan van CoronaMelder, (2) het opslaan van de eigen TEK’s, (3) het verzenden van de eigen contactcodes aan gebruikers in de nabijheid en (4) het opslaan van contactcodes van andere gebruikers. Vervolgens wordt nadat een besmetting is geconstateerd toestemming gevraagd voor (5) het versturen van de TEK’s, contactcodes en dag van ziekteverschijnselen naar de server.
5.2. VN-verdrag inzake de rechten van personen met een handicap
CoronaMelder en de informatievoorziening daarover moeten ook voldoen aan het VN-verdrag inzake de rechten van personen met een handicap. Toegankelijkheid is één van de grondbeginselen van dit verdrag en is als recht opgenomen in artikel 9 van het verdrag. Daarbij gaat het ook om toegankelijkheid tot informatie en communicatie. Hieraan wordt voldaan door CoronaMelder zo laagdrempelig en gebruikersvriendelijk mogelijk in te richten waarbij gebruik wordt gemaakt van toegankelijke en begrijpelijke communicatie die goed vindbaar is. In dat kader wordt ook rekening gehouden met laaggeletterde mensen, digitaal minder handige mensen en mensen die geen of slechts beperkt Nederlands spreken. Daartoe wordt CoronaMelder ontworpen en gebouwd op Web Content Accessibility Guidelines (WCAG)2.1 AA niveau. Hiermee wordt vooruit gelopen op het Tijdelijk besluit digitale toegankelijkheid overheid waarin verplicht wordt gesteld dat mobiele applicaties per 23 juni 2021 aan dit niveau moeten voldoen.
6. Regeldrukeffecten
Het wetsvoorstel brengt materieel geen nieuwe regeldruk met zich, zoals ook het Adviescollege toetsing regeldruk onderschrijft.
7. Consultatie en advies
Ten tijde van de consultatie was het wetsvoorstel onderdeel van het wetsvoorstel Tijdelijke wet maatregelen covid-19 (Twm)12. Een consultatieversie van Twm is voorgelegd aan verschillende (advies)organen, bestuurlijke partners en andere instanties. Vanwege het spoedeisende karakter van het wetsvoorstel heeft daarbij een reactietermijn van slechts een aantal dagen gegolden. De regering spreekt haar dank uit aan de vele partijen die in staat zijn geweest binnen deze termijn te reageren. Gelet op de vereiste spoed heeft geen internetconsultatie plaatsgevonden.
In deze paragraaf wordt ingegaan op de onderdelen van de ontvangen adviezen en reacties op de consultatieversie van de Twm die specifiek betrekking hebben op de misbruikbepaling en CoronaMelder.
De Raad van State heeft geadviseerd dit onderdeel uit Twm te schrappen; de regering volgt dit advies en heeft dit onderdeel daarom opgenomen in een eigenstandig wetsvoorstel waarvan de reikwijdte is beperkt tot de inzet van een notificatieapp. Om redenen van een zorgvuldige procedure heeft de regering besloten het wetsvoorstel opnieuw voor te leggen aan de Raad van State.
7.1. Autoriteit Persoonsgegevens
De AP maakt in haar advies vier hoofdopmerkingen over de inzet van CoronaMelder. Die hebben betrekking op het voorzien in een nieuwe wettelijke taak naast de bron- en contactopsporing, aanwijzing van de minister van VWS als verwerkingsverantwoordelijke voor de inzet van CoronaMelder als geheel, de rol van Google en Apple en de proportionaliteit en subsidiariteit van de inzet van een notificatieapp. Daarnaast heeft de AP geadviseerd over de DPIA die is uitgevoerd.13 Waar relevant voor het wetsvoorstel wordt hieronder wordt ook op dit advies over de DPIA ingegaan.
Nieuwe wettelijke taak
De AP meent kort samengevat dat CoronaMelder de taak van bron- en contactopsporing van de GGD te buiten gaat. De AP gaat er daarbij echter aan voorbij dat de in de Wpg voorgeschreven bron- en contactopsporing door de GGD een breed doel dient, namelijk het tegengaan van de verspreiding van infectieziekten zoals het virus, en dus breed moet worden uitgelegd.14 De wijze waarop de bron- en contactopsporing wordt uitgevoerd laat de Wpg dan ook bewust vormvrij, juist omdat de GGD moet kunnen differentiëren naar wat afhankelijk van de omstandigheden van het geval de beste aanpak is. Zo blijkt uit de wetsgeschiedenis van de Wpg dat de schaal van de bron- en contactopsporing afhankelijk is van de schaal van mogelijke besmetting en dat onder onderzoek door de GGD ook het waarschuwen van mogelijk geïnfecteerde personen moet worden begrepen.15
Ook voor de bestrijding van de epidemie geldt dat het vanwege het grote besmettingsgevaar noodzakelijk is dat de bron- en contactopsporing breed wordt ingezet: zoveel mogelijk en zo vroeg mogelijk zicht krijgen op mensen die mogelijk besmet zijn met het virus. CoronaMelder draagt daaraan bij. Zo zorgt CoronaMelder voor ondersteuning van de bron- en contactopsporing doordat ook personen kunnen worden bereikt van wie de geïnfecteerde gebruiker geen contactgegevens heeft. Dit aspect van de bron- en contactopsporing kan alleen worden uitgevoerd indien voorafgaand aan de constatering van een besmetting contactcodes van andere gebruikers zijn verzameld. Beide aspecten zijn dus onlosmakelijk met elkaar verbonden voor het goed kunnen uitvoeren van de bron- en contactopsporing en daarmee het bereiken van het daaraan ten grondslag liggende doel de verspreiding het virus tegen te gaan. De regering neemt dan ook niet het advies over om beide aspecten op te splitsen in verschillende taken voor verschillende actoren; wel stelt de regering naar aanleiding van het AP-advies voor om in het eerste lid eveneens te expliciteren dat CoronaMelder, als onderdeel van de bron- en contactopsporing, (ook) ziet op het vroegtijdig zicht krijgen op een mogelijke infectie met het virus waarmee de bron- en contactopsporing completer, eerder, sneller en preciezer wordt. Daarnaast meent de AP in het advies over de DPIA dat de publiekrechtelijke taak van de minister in artikel 3, eerste lid en artikel 7, eerste lid, van de Wpg onvoldoende bepaald is als grondslag voor de gegevensverwerking. Daarom is in het eerste lid van artikel 6d geëxpliciteerd dat de minister voor de daarin opgenomen taak persoonsgegevens mag verwerken. Gezien de wijze waarop CoronaMelder is vormgegeven zal die verwerking overigens slechts beperkt van aard zijn.
Verder acht de AP het problematisch dat met CoronaMelder wordt voorzien in een centrale server waarop de TEK’s van geïnfecteerde gebruikers voor de overige gebruikers beschikbaar worden gesteld terwijl de GGD’en ‘regionaal’ bevoegd zijn om (bijzondere) persoonsgegevens te verwerken. De server wordt beheerd door de Minister van VWS (het CIBG) ter uitvoering van zijn publiekrechtelijke taken zoals opgenomen in de artikelen 3, eerste lid, en 7, eerste lid, van de Wpg. In het eerste lid van artikel 6d is geëxpliciteerd dat de Minister van VWS in dit kader persoonsgegevens mag verwerken. Daarnaast geldt zoals hierboven reeds is toegelicht, dat de uitvoering van de bron- en contactopsporing breed moet worden opgevat. Daarbij is tevens geëxpliceerd dat de GGD’en bij de toepassing van CoronaMelder bevoegd zijn tot het verwerken van persoonsgegevens, waaronder persoonsgegevens over de gezondheid.
De AP wijst in dit kader ook op de voorwaarden die gelden voor het gebruik van toestemming als grondslag voor de gegevensverwerking. Daarnaast stelt de AP in het advies over de DPIA dat toestemming als grondslag theoretisch wel mogelijk is, maar niet gepast. De regering kan de AP hierin niet volgen, ook gelet op het advies van de Raad van State dat toestemming als grondslag voor de verwerking van persoonsgegevens met CoronaMelder kan worden gebruikt en ook andere lidstaten waaronder Duitsland en Ierland uitgaan van toestemming als grondslag voor de gegevensverwerking met de aldaar gebruikte notificatieapps. Desalniettemin vindt de verwerking van persoonsgegevens met CoronaMelder niet plaats op grond van toestemming maar zoals hierboven is toegelicht op grond van de wettelijke taak van de Minister van VWS tot het geven van leiding aan infectieziektebestrijding, de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg en de instandhouding en verbetering van de landelijke ondersteuningsstructuur c.q. de wettelijke taak van de GGD tot het doen van bron-en contactopsporing. Hoewel de app nadrukkelijk uitgaat van vrijwillige deelname van gebruikers is toestemming niet nodig als grondslag voor de gegevensverwerking. Hiermee wordt aangesloten bij het Richtsnoer van de European Data Protection Board (EDPB) over het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van covid-19 waarin de vervulling van een taak van algemeen belang de meest relevante rechtsgrondslag voor de verwerking bij de toepassing van een notificatieapp wordt genoemd.16 Ook de Raad van State acht een wettelijke basis voor CoronaMelder wenselijk omdat daarmee op wetsniveau maximale duidelijkheid wordt geboden over de inzet van CoronaMelder alsmede de in dat kader te verwerken persoonsgegevens en omdat er specifieke waarborgen kunnen worden geboden zoals de voorgestelde antimisbruikbepaling. Dit laat overigens onverlet dat er wel om toestemming van betrokkenen wordt gevraagd, zowel vanwege het uitgangspunt van vrijwilligheid als de verplichting van artikel 11.7a van de Telecommunicatiewet.
Verwerkingsverantwoordelijke
Op grond van het advies van de AP is in artikel 6d, vijfde lid, opgenomen dat de minister van VWS de verwerkingsverantwoordelijke is voor de inrichting en het beheer van CoronaMelder en alle AVG-verplichtingen die daarbij horen. Daarnaast wordt voorgesteld de GGD van de verblijfplaats van betrokkene de verwerkingsverantwoordelijke te laten zijn voor wat betreft het uitvoering geven aan de rechten van betrokkenen. In paragraaf 4.2 wordt dit verder toegelicht.
De rol van Google en Apple
Mede naar aanleiding van het advies van de AP is in paragraaf 3.1 uitgebreid ingegaan op de (technische) werking van CoronaMelder. Daarbij is ook ingegaan op de door Google en Apple ontwikkelde api die ervoor zorgt dat CoronaMelder goed werkt op respectievelijk android- en iOS-besturingssystemen. Ook is specifiek ingegaan op de gegevens die worden verwerkt door middel van de api. Voorts wordt opgemerkt dat de systematiek van deze api aansluit bij de aanbevelingen van de EDPB in het Richtsnoer over het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van covid-19.
Naast bovengenoemde hoofdpunten maakt de AP nog een aantal andere opmerkingen. Hieronder wordt toegelicht hoe deze opmerkingen zijn verwerkt.
Toekomstige digitale middelen
In lijn met het advies van de AP is een eerder abusievelijk opgenomen passage over mogelijk toekomstige applicaties voor andere doelen dan bron- en contactopsporing geschrapt.
Proportionaliteit en subsidiariteit
De AP adviseert de proportionaliteit van CoronaMelder beter te onderbouwen. De toelichting is naar aanleiding daarvan op verschillende onderdelen aangevuld. Zo is toegelicht dat – zoals ook blijkt uit de tekst van artikel 6d – CoronaMelder is bedoeld ter ondersteuning van de bron- en contactopsporing door de GGD en niet daarvoor in de plaats komt. Dat laatste zou ook niet mogelijk zijn aangezien de GGD niet weet wie CoronaMelder gebruikt en er dus ook niet van uit kan gaan dat personen die in de nabijheid van een geïnfecteerde persoon zijn geweest daarvan op de hoogte zijn. Ook is nader ingegaan op de te verwachten effecten van CoronaMelder en is toegelicht dat CoronaMelder de bron- en contactopsporing op twee punten in wezenlijk mate ondersteunt, namelijk doordat met de app ook mensen kunnen worden bereikt van wie de contactgegevens niet bekend zijn én omdat mogelijk geïnfecteerde mensen sneller kunnen worden bereikt. Ook is verduidelijkt hoe wordt voldaan aan het beginsel van data minimalisatie; er wordt uitsluitend gewerkt met aan de hand van geavanceerde cryptografische technieken gegenereerde contactcodes die ten hoogste 14 dagen worden bewaard. Verder wijst de AP in het kader van de effectiviteit van CoronaMelder op het punt dat het gebruik van bluetooth beperkingen met zich meebrengt omdat hiermee niet exact de afstand tussen personen kan worden bepaald en omdat bluetooth-signalen door fysieke barrières heen kunnen waardoor er in bepaalde gevallen een risico ontstaat op valse positieven. Om deze reden is de mogelijkheid opgenomen dat de app tijdelijk kan worden uitgezet, bijvoorbeeld wanneer gebruikers thuis zijn. Daarnaast worden er technische maatregelen genomen om valse positieven zo veel mogelijk te ondervangen, onder meer door rekening te houden met de sterkte van het bluetoothsignaal, de duur van de nabijheid en de dag waarop de gebruiker ziekteverschijnselen kreeg. Zoals toegelicht in paragraaf 3.1 sluiten deze technische maatregelen aan bij de parameters die zijn opgesteld aan de hand van richtlijnen van het RIVM. Voor wat betreft de sterkte van het bluetooth-signaal wordt rekening gehouden met signaalsterkte (attenuation). Dit is een indicatie voor de afstand tussen twee smartphones. Hoe verder de afstand of hoe meer obstakels (zoals muren) hoe groter de demping. Om dit goed in te richten zijn bijvoorbeeld veldtesten gedaan met muren (enkelsteens, dubbelsteens, beton) en ramen. Ook moet een bluetooth signaal een minimale periode aaneengesloten meetbaar zijn, zodat zoveel mogelijk kan worden uitgesloten dat signalen van terloopse voorbijgangers of van mensen aan verschillende kanten van een muur leiden tot een notificatie.
Minder ingrijpende alternatieven waar de AP naar vraagt zijn denkbaar in de analoge sfeer, maar de regering is van mening dat daarmee niet dezelfde effecten kunnen worden bereikt als met CoronaMelder. De regering voelt zich in die overtuiging gesteund door het richtsnoer van de EDPB en het feit dat andere Europese landen vergelijkbare apps ontwikkelen.
Rechten van betrokkenen
De AP adviseert in de toelichting uiteen te zetten op welke wijze invulling gegeven zal worden aan de verschillende rechten van betrokkenen. De toelichting is op dit punt aangevuld. Zoals toegelicht kunnen gebruikers van CoronaMelder kunnen zich voor de uitoefening van hun rechten op grond van de artikelen 12 tot en met 23 en 33 AVG wenden tot de GGD van hun verblijfplaats. Daarnaast wordt naar aanleiding van het advies van de Raad van State voorgesteld artikel 6d aan te vullen met een aantal waarborgen ten aanzien van onder meer de bewaartermijn, informatieverplichtingen voor de minister en de verplichting voor de betreffende GGD om binnen een maand te reageren op een verzoek van betrokkene in het kader van de uitoefening van zijn AVG rechten. Daarbij zij overigens opgemerkt dat de gegevens die met CoronaMelder worden verwerkt zo kort mogelijk worden bewaard en bovendien slechts zeer beperkt herleidbaar zijn tot personen. De uitvoering van de AVG rechten zal daarom maar beperkt nodig zijn, simpelweg omdat de GGD de gegevens niet kan herleiden dan wel omdat deze gegevens er niet meer zijn. Hiermee wordt aangesloten bij artikel 11 van de AVG waaruit volgt dat de in de artikelen 15 tot en met 20 van de AVG opgenomen rechten niet van toepassing zijn als betrokkenen niet meer kunnen worden geïdentificeerd.
Evaluatie
De AP adviseert een evaluatiebepaling op te nemen in de tekst van het wetsvoorstel. De regering vindt het niet passend om specifiek voor CoronaMelder te voorzien in een evaluatiebepaling, aangezien al uit het Richtsnoer van de EDPB volgt dat de lidstaten gehouden zijn om aan de hand van een vooraf vastgesteld evaluatieprotocol de werking van de app te monitoren. Het spreekt voor zich dat het gebruik van CoronaMelder zal worden beëindigd indien blijkt dat de inzet niet bijdraagt aan de bron- en contactopsporing door de GGD.
Caribisch Nederland
Vooralsnog zal CoronaMelder alleen in het Europese deel van Nederland ingezet worden. Over een mogelijke inzet van CoronaMelder in Caribisch Nederland zal op een later moment en uiteraard in overleg met de openbare lichamen besloten worden. Uiteraard zal daarbij dan ook de Commissie bescherming persoonsgegevens BES worden betrokken.
7.2 College voor de rechten van de mens
Het College voor de rechten van de mens (hierna: CRM) maakt een aantal opmerkingen over de voorgestelde regeling. Het CRM stelt vast dat eerdere door het CRM genoemde aandachtspunten zowel in het programma van eisen voor CoronaMelder zijn opgenomen als in de daadwerkelijke ontwikkeling. Het CRM merkt tevens met instemming op dat de toelichting het voor zich vindt spreken dat aanvullende digitale bron- en contactopsporing aan onder meer het Verdrag inzake de rechten van personen met een handicap moet voldoen.
Verder adviseert het CRM bij de uitwerking van het beleid rond de tijdelijke inzet van CoronaMelder, de informatie in CoronaMelder (in alle talen waarin die wordt gebouwd) alsmede in de voorgenomen publieksvoorlichting omtrent vrijwillig gebruik van de app direct op B.1 taalniveau aan te bieden, conform geldende standaarden rond publicatie van overheidsinformatie. Naar aanleiding van dit advies is in de toelichting opgenomen dat gebruik wordt gemaakt van toegankelijke en begrijpelijke communicatie die goed vindbaar is en waarbij rekening is gehouden met laaggeletterden mensen, digitaal minder handige mensen en mensen die geen of slechts beperkt Nederlands spreken. CoronaMelder wordt daartoe ontworpen en gebouwd op Web Content Accessibility Guidelines (WCAG)2.1 AA niveau.
Het CRM benadrukt het belang van vrijwilligheid van het gebruik van CoronaMelder en wijst erop dat deze vrijwilligheid ook na installatie van de app moet blijven bestaan. Evenals het CRM onderschrijft de regering het belang van vrijwilligheid van het gebruik van CoronaMelder. In de toelichting wordt daarom op verschillende onderdelen benoemd dat de medewerking aan CoronaMelder, net zoals medewerking aan de analoge bron- en contactopsporing, te allen tijde plaatsvindt op basis van vrijwilligheid.
Voorts merkt het CRM op dat een belangrijke zorg is weggenomen met de antimisbruikbepaling.
Tot slot wijst het CRM erop dat voor de rechtvaardiging van mogelijke andere digitale middelen een zelfstandige afweging zal moeten gelden. Naar aanleiding van het advies van de Raad van State is besloten artikel 6d te beperken tot de inzet van CoronaMelder waardoor het wetsvoorstel dus niet meer ziet op mogelijke andere digitale middelen.
7.3. GGD GHOR Nederland
Het wetsvoorstel voorzag aanvankelijk in de mogelijkheid om bij amvb regels te kunnen stellen met betrekking tot de inrichting, het beheer en de beveiliging van CoronaMelder en de uitoefening van de rechten van betrokkene. De GGD GHOR Nederland verzocht deze amvb in overleg met de GGD‘en tot stand te brengen. Gezien het belang van deze onderwerpen en de gewenste snelheid van invoering van CoronaMelder wordt voorgesteld af te zien van een amvb en nadere regels hierover op wetsniveau op te nemen. Daarnaast gelden uiteraard te allen tijde de algemene uitgangspunten van de AVG en de UAVG.
7.4. KNMG
De KNMG vraagt onder meer aandacht voor de noodzaak tot aansluiting bij het Richtsnoer van de EDPB, de onderbouwing van doel en noodzaak van CoronaMelder, de toepasselijkheid van de AVG en duidelijkheid over de verwerkingsverantwoordelijke voor CoronaMelder. In lijn met het advies van de KNMG is de toelichting ten aanzien van deze onderwerpen op verschillende onderdelen aangevuld. Ook is in artikel 6d opgenomen dat de Minister de verwerkingsverantwoordelijke voor CoronaMelder is.
Over de opmerking van de KNMG dat er vanuit de samenleving een zekere druk kan uitgaan om CoronaMelder bij een eenmaal vastgestelde besmetting te gebruiken wordt opgemerkt dat voor anderen niet te controleren valt of iemand gebruik maakt van CoronaMelder. Ook de GGD kan dit niet nagaan. Bovendien mogen derden, waaronder ook de GGD, op grond van de antimisbruikbepaling niet verplichten tot gebruik van CoronaMelder.
Verder vraagt de KNMG of CoronaMelder leidt tot wijzing van richtlijnen voor zorgaanbieders. Bijvoorbeeld of de huisarts als er een besmet persoon in de wachtkamer heeft gezeten, ook na de ingebruikname van CoronaMelder iedereen moet informeren die daar op dat moment was. CoronaMelder leidt niet tot wijziging van dergelijke richtlijnen. Het is immers niet bekend wie CoronaMelder gebruikt en wie er dus al dan niet een bericht ontvangt dat hij risicovol in de nabijheid van een besmet persoon is geweest.
Tot slot wijst de KNMG, evenals de AP, op een eerder abusievelijk in de toelichting opgenomen passage over mogelijk toekomstige applicaties voor andere doelen dan bron- en contactopsporing. Deze passage is geschrapt.
7.5. LHV en InEen
De LHV en InEen vragen net als de KNMG naar mogelijke wijziging van richtlijnen voor zorgaanbieders waarbij hetzelfde voorbeeld wordt gegeven als hierboven van een besmette patiënt in de wachtkamer van de huisarts. Kortheidshalve wordt hiervoor verwezen naar de reactie op het advies van de KNMG.
Daarnaast wordt gevraagd naar de exacte rol van de huisarts bij CoronaMelder. CoronaMelder voorziet echter niet in een rol voor de huisarts. Verder wordt er naar gestreefd om de werking van persoonsgegevens in dit wetsvoorstel tot het absolute minimum te beperken. Om die reden wordt het advies van de KNMG en InEen om te regelen dat de GGD de huisarts informeert over de uitslag van een door de GGD geteste persoon niet gevolgd.
7.6. Federatie medisch specialisten
De Federatie medisch specialisten refereert aan een eerder abusievelijk opgenomen passage in de toelichting over mogelijk toekomstige applicaties voor andere doelen dan bron- en contactopsporing. Deze passage is geschrapt.
7.7. Vereniging van Nederlandse Gemeenten en Nederlands Genootschap van Burgemeesters
De Vereniging van Nederlandse Gemeenten en het Nederlands Genootschap van Burgemeesters noemen een aantal belangrijke uitgangspunten voor CoronaMelder. Zoals een open transparante ontwikkeling van de app, het uitgangspunt van vrijwilligheid en begrijpelijkheid en meertaligheid van CoronaMelder. Daarnaast wijzen zij op het belang van een DPIA. Uit deze toelichting moge blijken dat de regering het belang van deze uitgangspunten en de noodzaak tot het uitvoeren van een DPIA van harte onderschrijft.
7.8. College van procureurs-generaal
Het College van procureurs-generaal vraagt te verduidelijken waar de antimisbruikbepaling precies op ziet. Ook vraagt het College in de toelichting te verduidelijken wat wordt bedoeld met indirect verplichten tot het gebruik van CoronaMelder. Mede naar aanleiding van het advies van het College van procureurs-generaal is de tekst van de antimisbruikbepaling aangescherpt. Ook is de toelichting op dit punt aangevuld. De antimisbruikbepaling houdt in dat het een ieder verboden is om een ander te verplichten tot gebruik van CoronaMelder dan wel enig ander vergelijkbaar digitaal middel. . Daarbij is van belang dat het gebruik van CoronaMelder ook niet indirect mag worden afgedwongen, bijvoorbeeld door te verplichten om inzage in de app te geven alvorens toegang tot bepaalde diensten of plekken wordt gegeven.
Verder wijst het College van procureurs-generaal erop dat ‘de overheid’ in verband met immuniteitsaspecten niet onder alle omstandigheden gemakkelijk strafrechtelijk aansprakelijk zal kunnen worden gehouden voor een eventuele overtreding van het verbod. De regering hecht er echter aan te benadrukken dat de antimisbruikbepaling geldt voor een ieder waaronder dus ook overheidsinstanties zoals de GGD.
Tot slot merkt College van procureurs-generaal op dat het bijna onmogelijk lijkt om dit feit anders dan opzettelijk te plegen en vraagt daarom of het opzettelijk overtreden van de misbruikbepaling niet een misdrijf zou moeten zijn. De regering acht het enerzijds van groot belang dat er een afschrikwekkend effect uitgaat van bij de misbruikbepaling behorende sanctie. Daarom is er ook voor gekozen om overtreding van de misbruikbepaling te bestraft met een hechtenis van ten hoogste zes maanden of een geldboete van de derde categorie. Gelet op deze relatief forse sanctioneringsmogelijkheid komt het de regering anderzijds niet proportioneel voor om overtreding van de antimisbruikbepaling daarenboven ook aan te merken als misdrijf.
7.9. Nederlandse Vereniging voor Rechtspraak
De Nederlandse Vereniging voor Rechtspraak geeft in overweging duidelijk aan te geven of, wanneer en op welke wijze reparatoire handhaving ten aanzien van overtreding van de misbruikbepaling mogelijk zal zijn. De regering acht het van groot belang dat mensen erop kunnen vertrouwen dat het gebruik van CoronaMelder te allen tijde vrijwillig is. Om hier uitdrukking aan te geven is niet gekozen voor reparatoire handhaving maar wordt overtreding van de misbruikbepaling bestraft met een hechtenis van ten hoogste zes maanden of een geldboete van de derde categorie.
7.10. Nederlandse orde van advocaten
De adviescommissie strafrecht van de Nederlandse orde van advocaten merkt op niet afwijzend te staan tegenover strafbaarstelling van de misbruikbepaling en wijst er daarbij op dat de vraag of de inzet van CoronaMelder proportioneel (of ‘noodzakelijk’) is, afhangt van de omstandigheden, de alternatieven en het gewicht van andere belangen. De toelichting is op dit punt aangevuld. Verder acht de adviescommissie een maximale hechtenis van zes maanden op overtreding van de misbruikbepaling niet proportioneel; zij stelt een maximum van drie maanden voor. Mede gezien het grote belang van vertrouwen in CoronaMelder, de zorgen die er zijn over mogelijk misbruik en het belang van de bestrijding van het virus heeft de regering dit advies niet overgenomen.
Artikelsgewijs
Artikel 6d
De kern van dit artikel is de antimisbruikbepaling in het achtste lid. De regering kan niet genoeg benadrukken dat het niemand, werkgevers, zorgverzekeraars, onderwijsinstellingen, winkels of wie dan ook, is toegestaan het gebruik van CoronaMelder of welk vergelijkbaar digitaal hulpmiddel dan ook, direct of indirect verplicht mag stellen. Zo is het bijvoorbeeld niet toegestaan dat een restauranteigenaar het gebruik van CoronaMelder verplicht stelt voor het kunnen plaatsnemen op zijn terras. Evenmin mag indirect worden verplicht tot het gebruik van CoronaMelder of andere vergelijkbare digitale middelen, bijvoorbeeld door financiële prikkels zoals een korting voor klanten die aantonen dat zij de digitale middelen gebruiken. Aangezien niet tot het gebruik van CoronaMelder mag worden verplicht, mag ook niet worden verplicht tot inzage in CoronaMelder. Voor de volledigheid zij vermeld dat dit verbod ook voor de GGD’en zelf geldt. Ook de GGD mag niet direct of indirect verplichten tot het gebruik van CoronaMelder dan wel tot het gebruik van vergelijkbare andere digitale middelen.
De antimisbruikbepaling ziet op zowel CoronaMelder als bedoeld in het voorgestelde artikel 6d, als op elk vergelijkbaar ander digitaal middel van wie dan ook afkomstig zoals digitale middelen waarmee om wat voor reden dan ook geïnfecteerde personen kunnen worden achterhaald, gewaarschuwd of aangeduid. Hierbij kan gedacht worden aan apps of andere digitale middelen die men eenvoudigweg kan verkrijgen via een appstore, internet of anderszins en waarmee bijvoorbeeld kan worden aangetoond dat men recentelijk is getest op het virus of al dan niet in de nabijheid van een met het virus geïnfecteerde persoon is geweest.
Artikel 64bis
Op grond van artikel 64 Wpg zijn de ambtenaren van de IGJ en de NVWA reeds belast met het toezicht op de naleving van de Wpg en de daarop berustende regels. Dit nalevingstoezicht omvat dus ook de antimisbruikbepaling van het voorgestelde artikel 6d, achtste lid. Daarbij moet worden opgemerkt dat de NVWA, die bij bedrijven binnenkomt in het kader van het sectorspecifieke toezicht meer als ogen en oren zal functioneren voor collega-handhavers, zodat het toezicht op de antimisbruikbepaling niet ten koste gaat van de inzet die de NVWA – juist nu – moet plegen bij het toezicht op de bedrijfsprocessen in de horeca en de slachterijen in het belang van voedselveiligheid en dierenwelzijn. Artikel 64bis voorziet in de mogelijkheid om voor het toezicht op de antimisbruikbepaling óók ambtenaren van andere toezichtsinstanties aan te kunnen wijzen, bijvoorbeeld wanneer dat uit praktisch oogpunt meer in de rede zou blijken te liggen. Indien deze aanwijzing ambtenaren betreft die ressorteren onder een ander ministerie dan dat van de minister van VWS, wordt het besluit genomen in overeenstemming met de minister die het mede aangaat.
Daarnaast biedt dit artikel een aanvullende mogelijkheid om ten aanzien van de antimisbruikbepaling óók buitengewone opsporingsambtenaren aan te wijzen. Voor de formulering van deze mogelijkheid is gebruikt gemaakt van de standaardformulering van de Aanwijzingen voor de regelgeving. Op grond daarvan worden de aangewezen ambtenaren standaard belast met de opsporing van enkele strafbare feiten die jegens hen kunnen worden begaan.
Artikel 67a
Overtreding van de antimisbruikbepaling wordt bestraft met een hechtenis van ten hoogste zes maanden of een geldboete van de derde categorie.
Artikel II
Dit artikel bevestigt het tijdelijke karakter van deze wet. In beginsel vervallen de via deze wet in de Wpg opgenomen bepalingen zes maanden na inwerkingtreding (eerste lid). Omdat echter op dit moment niet is te voorzien hoe de verspreiding van het virus en de bestrijding daarvan verlopen, is de mogelijkheid opgenomen om bij koninklijk besluit de werkingsduur te bekorten (tweede lid) of juist te verlengen (derde lid).
Het vierde lid bepaalt dat een koninklijk besluit met die strekking eerst zal worden voorgelegd aan de beide Kamers van de Staten-Generaal. Deze zogenoemde voorhangprocedure geeft dus gelegenheid tot eventueel overleg tussen regering en Staten-Generaal. Bij de voorgestelde voorhang van een week wordt zoveel mogelijk rekening gehouden met het reces van de Kamers, waarbij dat vooral relevant is als het gaat om een reces dat ook een week duurt.
De vervaldatum is in dit artikel gekoppeld aan ‘het tijdstip van inwerkingtreding van deze wet’.
Artikel III
Het is de bedoeling dat het wetsvoorstel zo spoedig mogelijk in werking treedt. De exacte datum van inwerkingtreding is uiteraard afhankelijk van het verloop van de parlementaire behandeling. Aangezien het gaat om spoedwetgeving wordt afgeweken van de zogeheten vaste verandermomenten en de minimuminvoeringstermijn van drie maanden.
Artikel IV
Aangezien te verwachten valt dat deze wijzigingswet frequent zal worden aangehaald, wordt voorzien in een citeertitel, waarin ook de tijdelijkheid van deze wet tot uitdrukking is gebracht.
De Minister van Volksgezondheid, Welzijn en Sport,
X Noot
2Advies van 6 april 2020 n.a.v. 63e OMT COVID-19, Bijlage 929506 bij Kamerstukken II 2019/20, 25 295, nr. 219.
X Noot
3Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 2.
X Noot
4Zie ook de Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO.
X Noot
6Vergelijk ‘Ethische analyse van de COVID-19 notificatie-app ter aanvulling op bron en contactonderzoek GGD’ van 14 juli 2020, kenmerk 2020D29967, p. 21, bijlage bij Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM.
X Noot
9Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 1.
X Noot
10Artikel 6, eerste lid, onder a, AVGen artikel 9, tweede lid, onder a, AVG. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn (artikel 4, onder 11, AVG).
X Noot
12Ook volgens de Europese richtsnoeren draagt een wettelijke grondslag bij aan de rechtszekerheid. Zie Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 29.
X Noot
16Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.6, p. 8.
X Noot
17Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.6, p. 8.
X Noot
20Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.3, p. 5.
X Noot
21Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31.
X Noot
23Zie Gegevensbeschermingseffectbeoordeling (DPIA) van 7 juli 2020, kenmerk 2020D29960, p. 10, bijlage bij Kamerbrief van 16 juli 2020, ‘landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 10.
X Noot
27Vgl. Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31; Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.3, p. 5.
X Noot
34Memorie van toelichting, paragraaf 4.2. In de toelichting wordt opgemerkt ‘Het zou namelijk zeer onwenselijk zijn de minister van VWS ook in deze gevallen als verwerkingsverantwoordelijke te beschouwen, aangezien hij dan juist persoonsgegevens ten behoeve van de notificatieapp zou gaan verwerken terwijl dat niet nodig en daarmee vanuit privacyrechtelijk perspectief niet wenselijk is. Bovendien sluit dit ook aan bij het feit dat de inzet van de notificatieapp onderdeel uitmaakt van de bron- en contactopsporing door de GGD.’
X Noot
36Artikel 26, eerste en tweede lid, AVG. Zie ook de juridische analyse van het advies van de AP van 12 augustus 2020, overweging 2.26, bijlage bij Kamerbrief van 17 augustus 2020, ‘Voortgang Coronamelder’, kenmerk 1731540-208984-DICIO.
X Noot
41Artikel 11, tweede lid, AVG bepaalt dat als de verwerkingsverantwoordelijke kan aantonen dat hij de betrokkene niet kan identificeren, de artikelen 15 tot en met 20 AVG niet van toepassing zijn, tenzij de betrokkene aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren. Deze artikelen zien op het recht van inzage; recht op rectificatie; recht op gegevenswissing; recht op beperking van de verwerking; de kennisgevingsplicht inzake rectificatie, gegevenswissing of verwerkingsbeperking; en het recht op overdraagbaarheid van gegevens.
X Noot
44Zie ook de het advies van de AP van 7 augustus 2020, ‘Advies op voorafgaande raadpleging COVID9 notificatie-app, p. 17, bijlage bij Kamerbrief van 17 augustus 2020, ‘Voortgang Coronamelder’, kenmerk 1731540-208984-DICIO.
X Noot
45Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 7 met verwijzing in voetnoot 8.
X Noot
47Artikel 10 Grondwet. Zie ook advies van de Afdeling advisering van de Raad van State van 21 november 2019, nr. W16.19.0159/II, Kamerstukken II 2019/20, 35 447, nr. 4.
X Noot
49Zie ook advies van de Afdeling advisering van de Raad van State van 26 maart 2020, nr. W13.19.0425/III, Kamerstukken II 2019/20, 35 515, nr. 4.
X Noot
50Zie ook advies van de Afdeling advisering van de Raad van State van 22 juni 2020, nr. W05.20.0077/I.
X Noot
53Zie het advies van de Afdeling advisering van de Raad van State van 17 juni 2020, nr.W13.20.0180/III.
X Noot
54Een voorbeeld hiervan is het eerder laten vervallen van de antimisbruikbepaling, of de handhaving en sanctionering hierop.
X Noot
55Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 2.
X Noot
56Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 15.
X Noot
57Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 15.
X Noot
58Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, bijlage, onder 5; Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 2, pagina 3.
X Noot
59Europees Comité voor de gegevensbescherming (EDPB), Verklaring over de gevolgen van de interoperabiliteit van contactonderzoeksapps voor de gegevensbescherming, 16 juni 2020. Hierin wordt onder meer opgemerkt dat de gebruiker duidelijk dient te worden geïnformeerd, de verwerking een afzonderlijke verwerking is en dat de rollen en verantwoordelijkheden moeten worden vastgesteld. Bovendien mag de uitoefening van de rechten van de betrokkene niet omslachtiger worden.
X Noot
60Europees Comité voor de gegevensbescherming (EDPB), Verklaring over de gevolgen van de interoperabiliteit van contactonderzoeksapps voor de gegevensbescherming, 16 juni 2020, paragraaf 12.
X Noot
61Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31.
X Noot
2Advies van 6 april 2020 n.a.v. 63e OMT COVID-19, Bijlage 929506 bij Kamerstukken II 2019/20, 25 295, nr. 219.
X Noot
3Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 2.
X Noot
4Zie ook de Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO.
X Noot
6Vergelijk ‘Ethische analyse van de COVID-19 notificatie-app ter aanvulling op bron en contactonderzoek GGD’ van 14 juli 2020, kenmerk 2020D29967, p. 21, bijlage bij Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM.
X Noot
9Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 1.
X Noot
10Artikel 6, eerste lid, onder a, AVGen artikel 9, tweede lid, onder a, AVG. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn (artikel 4, onder 11, AVG).
X Noot
12Ook volgens de Europese richtsnoeren draagt een wettelijke grondslag bij aan de rechtszekerheid. Zie Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 29.
X Noot
16Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.6, p. 8.
X Noot
17Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.6, p. 8.
X Noot
20Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.3, p. 5.
X Noot
21Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31.
X Noot
23Zie Gegevensbeschermingseffectbeoordeling (DPIA) van 7 juli 2020, kenmerk 2020D29960, p. 10, bijlage bij Kamerbrief van 16 juli 2020, ‘landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 10.
X Noot
27Vgl. Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31; Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 3.3, p. 5.
X Noot
34Memorie van toelichting, paragraaf 4.2. In de toelichting wordt opgemerkt ‘Het zou namelijk zeer onwenselijk zijn de minister van VWS ook in deze gevallen als verwerkingsverantwoordelijke te beschouwen, aangezien hij dan juist persoonsgegevens ten behoeve van de notificatieapp zou gaan verwerken terwijl dat niet nodig en daarmee vanuit privacyrechtelijk perspectief niet wenselijk is. Bovendien sluit dit ook aan bij het feit dat de inzet van de notificatieapp onderdeel uitmaakt van de bron- en contactopsporing door de GGD.’
X Noot
36Artikel 26, eerste en tweede lid, AVG. Zie ook de juridische analyse van het advies van de AP van 12 augustus 2020, overweging 2.26, bijlage bij Kamerbrief van 17 augustus 2020, ‘Voortgang Coronamelder’, kenmerk 1731540-208984-DICIO.
X Noot
41Artikel 11, tweede lid, AVG bepaalt dat als de verwerkingsverantwoordelijke kan aantonen dat hij de betrokkene niet kan identificeren, de artikelen 15 tot en met 20 AVG niet van toepassing zijn, tenzij de betrokkene aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren. Deze artikelen zien op het recht van inzage; recht op rectificatie; recht op gegevenswissing; recht op beperking van de verwerking; de kennisgevingsplicht inzake rectificatie, gegevenswissing of verwerkingsbeperking; en het recht op overdraagbaarheid van gegevens.
X Noot
44Zie ook de het advies van de AP van 7 augustus 2020, ‘Advies op voorafgaande raadpleging COVID9 notificatie-app, p. 17, bijlage bij Kamerbrief van 17 augustus 2020, ‘Voortgang Coronamelder’, kenmerk 1731540-208984-DICIO.
X Noot
45Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIOPM, p. 7 met verwijzing in voetnoot 8.
X Noot
47Artikel 10 Grondwet. Zie ook advies van de Afdeling advisering van de Raad van State van 21 november 2019, nr. W16.19.0159/II, Kamerstukken II 2019/20, 35 447, nr. 4.
X Noot
49Zie ook advies van de Afdeling advisering van de Raad van State van 26 maart 2020, nr. W13.19.0425/III, Kamerstukken II 2019/20, 35 515, nr. 4.
X Noot
50Zie ook advies van de Afdeling advisering van de Raad van State van 22 juni 2020, nr. W05.20.0077/I.
X Noot
53Zie het advies van de Afdeling advisering van de Raad van State van 17 juni 2020, nr. W13.20.0180/III.
X Noot
54Een voorbeeld hiervan is het eerder laten vervallen van de antimisbruikbepaling, of de handhaving en sanctionering hierop.
X Noot
55Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 2.
X Noot
56Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 15.
X Noot
57Kamerbrief van 16 juli 2020, ‘Landelijke introductie Coronamelder’, kenmerk 1722926-208233-DICIO, p. 15.
X Noot
58Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, bijlage, onder 5; Europese Commissie, Richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01, paragraaf 2, pagina 3.
X Noot
59Europees Comité voor de gegevensbescherming (EDPB), Verklaring over de gevolgen van de interoperabiliteit van contactonderzoeksapps voor de gegevensbescherming, 16 juni 2020. Hierin wordt onder meer opgemerkt dat de gebruiker duidelijk dient te worden geïnformeerd, de verwerking een afzonderlijke verwerking is en dat de rollen en verantwoordelijkheden moeten worden vastgesteld. Bovendien mag de uitoefening van de rechten van de betrokkene niet omslachtiger worden.
X Noot
60Europees Comité voor de gegevensbescherming (EDPB), Verklaring over de gevolgen van de interoperabiliteit van contactonderzoeksapps voor de gegevensbescherming, 16 juni 2020, paragraaf 12.
X Noot
61Europees Comité voor gegevensbescherming (EDPB), Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19, 21 april 2020, paragraaf 31.
X Noot
1SARS-CoV-2 (severe acute respiratory syndrome coronavirus) is de formele benaming voor het virus dat de ziekte covid-19 kan veroorzaken.
X Noot
7Zie hierover uitgebreider de brief aan de Tweede Kamer van 6 mei 2020, Kamerstukken II 2019/20 25 295, nr. 315.
X Noot
8EDPB, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (verder: Guidelines 04/2020).
X Noot
9Uit beveiligingsoverwegingen worden in deze fase wel zogenaamde dummycodes naar de server verstuurd. Dit wordt toegelicht in paragraaf 4.2 in het deel over de technische inrichting van de notificatieapp.
X Noot
11https://www.research.ox.ac.uk/Article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown). Zie ook https://pubmed.ncbi.nlm.nih.gov/32234805.
X Noot
15Zie bijvoorbeeld Kamerstukken II 2002/03, 28 868, nr. 5, p. 3 en 4 en Kamerstukken II 2007/08, 31 316, nr. 3, p. 11.
X Noot
16EDPB, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. Hierin sluit overigens ook de EDPB toestemming als grondslag voor de verwerking van persoonsgegevens met een notificatieapp niet uit.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2020-44874.html