18/05/20

COVID-19 bestrijden met een app? De mogelijkheden en valkuilen

De eerste piek van besmettingen met het nieuwe coronavirus (COVID-19) lijkt voorlopig voorbij. Veel organisaties werken aan een terugkeer naar het ‘normale’ leven, maar hoe kan dat op een veilige manier? Kan een corona-app hier dan bij helpen? Kan een corona-app een tweede piek vermijden? Wij lijsten de mogelijkheden en valkuilen op.
 

1. Verschillende soorten apps

Er bestaat niet zoiets als “de corona-app”.Er bestaan immers verschillende soorten corona-apps. Een eerste belangrijk onderscheid dat moet worden gemaakt is of het initiatief wordt genomen door de overheid of door de private sector.

1.1.Initiatieven door overheden

Als ondersteuning voor het contactonderzoek

Een manier om de verspreiding van besmettelijke virussen, zoals het nieuwe coronavirus, af te remmen, is het contactonderzoekof het zogenaamde contact tracing. Bij het contactonderzoek gaan contact tracersna met wie een positief geteste persoon contact heeft gehad op het moment dat hij of zij besmettelijk was. Zo kunnen potentieel besmette personen worden geïdentificeerd en afgezonderd om de verspreiding van het virus te af te remmen.

Het contactonderzoek is niet nieuw. Het bestaat al langer, bijvoorbeeld voor besmettingen met tuberculose. Het nieuwe coronavirus blijkt echter zo besmettelijk te zijn, dat de capaciteit van het contactonderzoek onder druk komt te staan. Het contactonderzoekkostimmersveel tijd en moeite.

De contact tracer zal een gesprek voeren met een positief geteste persoon. Zo’n gesprek kan al snel een uur duren, maar dit zou kunnen worden verkort als de contactpersonen automatisch in kaart kunnen worden gebracht, bijvoorbeeld door een corona-app.

Het ondersteunen van het contactonderzoek zou een doelstelling kunnen zijn van initiatieven genomen door de overheid.

Openstaande vragen

Wat ook het doel van de corona-app zal zijn, er moeten een aantal vragen worden beantwoord.

  • Zal de installatie van de corona-app verplicht zijn?

  • Zal er steeds menselijke tussenkomst van een contact tracerzijn?

  • Zal de privacy van de burger worden gerespecteerd?

  • Welke technologie zal de corona-app gebruiken?

  • Hoeveel burgers zullen de corona-app moeten gebruiken opdat deze effectief is?

In Singapore bestaat de TraceTogether-app. De voorbije weken en maanden hebben verschillende Europese lidstaten aan vergelijkbare apps gewerkt. Dat bleek echter niet altijd even eenvoudig. Door de openstaande vragen lijkt een corona-app er niet in elke lidstaat te komen. 

1.2.Initiatieven door de private sector

Contactonderzoek komt toe aan de overheid, niet aan de private sector. De initiatieven genomen door de private organisaties, hebben dus een ander doel. Mogelijke doestellingen zouden kunnen zijn:

  • Vermijden dat positief geteste werknemers de werkvloer betreden,

  • Vermijden dat potentieel besmette werknemers de werkvloer betreden,

  • Identificeren van potentieel besmette werknemers na een positieve test van een collega,

  • Vermijden dat werknemers besmet geraken op de werkvloer,

  • Garanderen dat de regels vansocial distancingworden gerespecteerd.

Zonder verder in te gaan op de juridische haalbaarheid van deze doelstellingen, moeten organisaties ervoor zorgen dat zij niet in één van de onderstaande valkuilentrappen.
 

2. De meestvoorkomende valkuilen

Indien uw organisatie een corona-app ontwikkelt of gebruik wenst te maken van zo’n app, let dan op de volgende valkuilen.

  • Valkuil 1: onduidelijke doelomschrijving

De doelomschrijving van de corona-app is cruciaal. Zonder een concreet doel voor ogen, is het risico groot dat er meer persoonsgegevens worden verzameld en verwerkt dan noodzakelijk. Het doel zal moeten worden omschreven in de Data Protection Impact Assessment(DPIA). Deze is in bepaalde gevallen verplicht.

  • Valkuil 2: een verplichte app voor werknemers.

Een corona-app verplichten aan werknemers stelt een aantal juridische en praktische moeilijkheden. Kan de werkgever de werknemer wel verplichten om zijn smartphone mee te nemen naar het werk? Hoe zal de werkgever controleren of een werknemer de app heeft geïnstalleerd als het niet om een bedrijfssmartphone gaat? Wat als een werknemer weigert om de app te installeren?

  • Valkuil 3: een buitenproportionele app

Afhankelijk van de doelstelling van de corona-app, worden er potentieel veel persoonsgegevens verzameld via de app. Waarschijnlijk gaat het ook om gevoelige persoonsgegevens zoals medische gegevens of de locatiegegevens van de werknemer. Medische gegevens mogen niet zomaar worden verwerkt, en zeker niet zomaar worden gedeeld met andere werknemers. Dat zou bovendien werknemers kunnen stigmatiseren. En zal de corona-app ook persoonsgegevens verzamelen op momenten dat de werknemer niet op de werkvloer is? En hoe zal dat worden gecontroleerd? De vraag die dient te worden gesteld is of hetzelfde doel niet met minder ingrijpende middelen kan worden bereikt.

  • Valkuil 4: de vakbonden niet betrekken

Deze hangt samen met de hierboven vermelde valkuilen, wat het zal allerminst eenvoudig zijn om vakbonden te overtuigen van een corona-app die buitenproportioneel of verplicht is, of die geen concreet omschreven doel heeft.

  • Valkuil 5: nood breekt wet

Het nieuwe coronavirus heeft een grote impact op onze maatschappij, maar dat betekent niet noodzakelijk dat er sprake is van een noodsituatie. Als er sprake zou zijn van nood, dan is het nog de vraag of een corona-app hieraan tegemoet kan komen. De meeste toezichthoudende autoriteiten lijken bovendien niet van mening te zijn dat er sprake is van een noodsituatie die een schending van de GDPR zou rechtvaardigen.

  • Valkuil 6: niet denken aan de toekomst.

Als uw organisatie een corona-app ontwikkelt, is deze app dan specifiek voor COVID-19 bedoeld of kan deze ook dienen voor andere virussen? Als uw organisatie een corona-app gebruikt, hoe lang zal die dan worden gebruikt? Wanneer zal uw organisatie beslissen dat het gebruik van de corona-app niet meer noodzakelijk is? Op basis van welke parameters? Wat zal er dan gebeuren met de verzamelde persoonsgegevens? Hoe lang zullen die dan nog worden bewaard?

  • Valkuil 7: haast en spoed…

… is zelden goed. De ontwikkeling van een corona-app moet snel gaan en dan loeren fouten en datalekken om de hoek. Dat is gebleken bij een corona-app in Nederland. RTL Nieuws kon via de code van de app Covid19 Alert een database achterhalen met namen, e-mailadressen en versleutelde wachtwoorden. Deze database kwam van een gekoppelde app. 
 

3. Stel een Data Protection Impact Assessment op!

Trap niet in één van de valkuilen!

In een aantal gevallen is het verplichtom een Data Protection Impact Assessment (DPIA) of een gegevensbeschermingseffectbeoordeling (GEB) op te stellen. Dit is eendiepgaande denkoefening.Uw organisatie zal op die manier vermijden om in één van de valkuilen te trappen. Daarnaast documenteert u best de genomen technische en organisatorische maatregelen om cybercrimineleneen stap voor blijven.

Corona-app van een leverancier?

Controleer dan het huiswerk van uw leverancier, want u kunt uw verantwoordelijkheid niet zomaar afschuiven op uw leverancier. Indien de werkgever persoonsgegevens van werknemers via een corona-app verzamelt en verwerkt, blijft de werkgever hier zelf verantwoordelijk voor.

Heeft u hulp nodig bij het opstellen van een DPIA of GEB? Of wenst uw organisatie gebruik te maken van een corona-app? Contacteer Timelex.

Meer lezen?

dotted_texture