COVID-19: lokale contactopsporing to the rescue! Organiseert uw bestuur het privacy-proof?
11 augustus 2020
Het staat ondertussen buiten kijf: ook steden en gemeenten zijn bevoegd om (aanvullende-) maatregelen te nemen in het kader van de bescherming van de openbare gezondheid, ter vermijding dat de gezondheidszorg (opnieuw) onder zodanig zware druk komt te staan, dat de algemene zorgverlening in het gedrang zou komen (een analyse van de handhavende burgemeestersbevoegdheden kon u hier al aantreffen).
Overwegende dat een accurate opvolging van de gezondheidstoestand van personen noodzakelijk wordt geacht, waarbij het cruciaal is om de contacten van met het coronavirus COVID-19 besmette personen op te sporen en deze aan te sporen de nodige maatregelen te nemen, steken steeds meer (boven-)lokale initiatieven van contact-tracing hun hoofd boven het maaiveld.
Formele bevestiging van de lokale bevoegdheid om aan contact-tracing te doen …
Vlaams minister van Welzijn, Volksgezondheid, Gezin en Armoedebestrijding Wouter Beke stelde op 5 augustus 2020 dat lokale initiatieven en het centrale systeem van contact- en bronopsporing elkaar kunnen versterken. Na eerdere onduidelijkheid werd hiermee formeel bevestigd dat lokale besturen ook initiatieven voor contact- en brononderzoek kunnen organiseren om de verspreiding van het coronavirus COVID-19 te beperken.
Op voorzet van het Agentschap Zorg en Gezondheid werden daarvoor 3 -theoretische- scenario’s van lokaal contact- en brononderzoek uitgetekend, dewelke telkens op elkaar zouden verder bouwen:
- Basisscenario: Het lokaal bestuur focust zich op het sensibiliseren van haar burgers en ziet toe op en handhaaft de al bestaande maatregelen (zoals dragen van mondmaskers, regels voor veilige afstand in de horeca).
- Complementair en ondersteunend scenario: Bovenop het basisscenario gaat een lokaal bestuur hierin actief lokale uitbraken beheren en complementair werken met het centrale contact- en opsporingswerk. Waar het centrale contactonderzoek het leeuwendeel van de patiënten opspoort en contacteert, vult het lokale bestuur dit systeem aan door een selectie van "moeilijke" patiënten voor te bereiden op het contactonderzoek, door hen te helpen bij het begrijpen van wat ze moeten doen (ook qua isolatie) en in de moeilijkste gevallen zelf de contactpersonen door te geven aan het centrale contactonderzoek.
Daarbovenop onderzoekt het lokaal bestuur in dit (tweede) scenario verbanden tussen patiënten en mogelijke risicolocaties (bronnen) om daar gerichte beleidsmaatregelen te nemen.
- Semi-autonoom contactonderzoek: dit betreft een samenwerking tussen een lokaal opsporingssysteem en het centraal opsporingssysteem die allebei zouden werken op één centraal dataplatform en met hetzelfde IT-systeem.
In dit scenario zou een lokaal initiatief de verantwoordelijkheid nemen om de contactopvolging systematisch zelf te doen wanneer het gaat om het contacteren van de besmette personen.
Hoewel er in de praktijk niet zelden buiten deze scenario’s wordt getreden door een eigen aanvulling-/invulling te geven aan het lokale contact- en brononderzoek, is het alleszins opvallend dat in géén van deze scenario’s aandacht wordt geschonken aan de bescherming van privacy en de gegevens van de betrokkenen in het contact- en brononderzoek.
Nochtans kwalificeert de verwerking van gegevens betreffende de gezondheid als een bijzondere gegevensverwerking, die niet zelden zéér privacygevoelig kan zijn …
… Zonder vrijgeleide om alle privacy-principes overboord te gooien!
Contact- en brononderzoek gaat gepaard met grootschalige verwerkingen van persoonsgegevens, hetgeen in eerste orde geregeld wordt in de Algemene Verordening Gegevensbescherming (zgn. GDPR). Hoewel deze regels inzake gegevensbescherming-/privacy geen belemmering vormen voor het treffen van maatregelen ter bestrijding van het coronavirus COVID-19, bieden deze uitzonderlijke tijden evenmin een vrijgeleide om het recht op privacy en persoonsgegevens niet-/minder te beschermen.
Door de European Data Protection Board werd in haar verklaring inzake de verwerking van persoonsgegevens in het kader van de COVID-19-uitbraak van 19 maart 2020 daarom benadrukt dat er steeds moet op worden gelet dat elke maatregel die in dit verband wordt genomen, met de algemene rechtsbeginselen moet stroken en niet onomkeerbaar mag zijn. Daarbij werd er verder (o.m.) aan herinnerd dat:
- Persoonsgegevens die nodig zijn om de nagestreefde doelstellingen te bereiken, slechts verwerkt mogen worden voor welbepaalde en uitdrukkelijk omschreven doeleinden;
- Betrokkenen transparante informatie moeten krijgen over de verwerkingsactiviteiten die worden uitgevoerd en de belangrijkste kenmerken daarvan, waaronder de termijn voor de bewaring van de verzamelde gegevens en de doeleinden van de verwerking.
- De verstrekte informatie gemakkelijk toegankelijk moet zijn en in duidelijke en eenvoudige taal moet worden verstrekt.
- Passende (technische en organisatorische-) beveiligingsmaatregelen moeten getroffen worden en een vertrouwelijkheidsbeleid moet vastgesteld worden dat waarborgt dat persoonsgegevens niet aan onbevoegden worden doorgegeven.
- De maatregelen die worden uitgevoerd om de huidige noodsituatie en het daarmee samenhangende besluitvormingsproces te beheren, naar behoren moeten worden gedocumenteerd.
Ongeacht het concrete systeem van contact- en brononderzoek dat zou uitgerold worden in uw stad-/gemeente, moge het aldus duidelijk zijn dat de bijzondere COVID-tijden waarin we ons bevinden, geenszins een vrijgeleide mogen betekenen om alle principes inzake privacy- en gegevensbescherming overboord te gooien.
Samen met de evidente vaststelling dat iedere gegevensverwerking in de schakel van het contact- en bronnenonderzoek steeds rechtmatig moet zijn (nl. te verantwoorden op basis van een rechtsgrond uit art. 6 Algemene Verordening Gegevensbescherming, waarbij de toestemming van een betrokkene niet zaligmakend lijkt), lijkt het -in het licht van de Algemene Verordening Gegevensbescherming- minstens evenzeer noodzakelijk dat:
- De verantwoording van de gegevensverwerkingen afdoende gedocumenteerd en beargumenteerd wordt;
- Tussen de betrokken actoren schriftelijke afspraken worden gemaakt (o.m. inzake de uitoefening van rechten door betrokkenen, de aansprakelijkheidsverdeling, …) hetzij in de vorm van een verwerkersovereenkomst (cfr. art. 28 Algemene Verordening Gegevensbescherming), hetzij in de vorm van een co-controlleragreement (cfr. art. 26 Algemene Verordening;
- Een duidelijke privacyverklaring wordt opgesteld -en bekendgemaakt- opdat zou voldaan (kunnen) worden aan de transparantieverplichtingen uit art. 13 en 14 Algemene Verordening Gegevensbescherming;
- Mits een gegevensverwerking is gesteund op een toestemming van de betrokkene: het formulier waarin de besmette patiënt toestemming verleent, volledig en correct is opgesteld, in overeenstemming met de vereisten van de Algemene Verordening Gegevensbescherming;
- (evt.) een gegevensbeschermingseffectenbeoordeling wordt opgemaakt;
En dit alles afgezien van de vereiste technische en organisatorische maatregelen die geïnstalleerd moeten worden ter beveiliging van de gegevensverwerking, zoals (bv.) het opleggen van geheimhoudingsverklaringen, een afdoende technische beveiliging van de gegevensdoorgifte en -opslag, het documenteren van een systeem volgens dewelke de verzamelde gegevens gewist zullen worden, …
Als juridische partner van de lokale besturen volgt GD&A Advocaten nauwgezet de uitrol -en verantwoording- van lokale initiatieven inzake contact- en brononderzoek, waarin wij lokale besturen en hun burgemeesters eveneens bijstaan met daad en advies.
Heeft u hier ook vragen over? Dan kan u steeds -geheel vrijblijvend- contact opnemen met Wouter Rubens of Steven Michiels.