Privacy issues concerning corona (COVID-19)
The Dutch Data Protection Authority published guidance on the privacy rules in relation to corona (COVID-19). But how does this guidance relate to the vision on this of other European Data Protection Authorities? Read more on this in our blog “Privacyperikelen rond Corona (COVID-19): wat zeggen de Europese privacytoezichthouders?” (in Dutch).
This article was initially published on www.privacy-web.nl on 19 March 2020.
Afgelopen week heeft de Autoriteit Persoonsgegevens (AP) 'Corona' toegevoegd aan de onderwerpen op de landingspagina van haar website. Bij doorklikken blijkt de rubriek summier: het betreft vier alinea’s over privacy-aspecten waar werkgevers op moeten letten in verband met het Coronavirus; COVID-19.(1) Maar de boodschap behoeft wellicht ook weinig tekst en uitleg. De AP ziet namelijk geen aanleiding voor een afwijking van het standaardregime voor het verwerken van gezondheidsgegevens.
Zij verwijst merendeels naar het algemene dossier over verwerken van persoonsgegevens van zieke werknemers. Specifiek in het kader van Corona worden alleen de volgende pointers meegegeven:
- De werkgever mag niet: (i) bijhouden waar werknemers op vakantie zijn geweest; of (ii) de temperatuur van werknemers vastleggen.
- De werkgever mag wel: (i) de bedrijfsarts of arbodienst inschakelen; en (ii) bij het vermoeden dat een medewerker het coronavirus heeft, overleggen met de GGD voor de te treffen maatregelen op de werkvloer.
Dit biedt werkgevers weinig ruimte. In lijn met bovenstaande zullen werkgevers bijvoorbeeld geen gegevens mogen verwerken over of bepaalde medewerkers al dan niet besmet zijn met het virus. Een strenge uitleg dus van de AP. Maar is dat terecht? Hoe gaan andere Europese privacytoezichthouders hiermee om?
Statement EDPB
Afgelopen 16 maart hebben de Europese privacytoezichthouders zoals verenigd in de European Data Protection Board (EDPB), gezamenlijk een statement over het Coronavirus gepubliceerd. Daarin is onder meer te lezen: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. […] Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.”
Verdeelde visie Europese privacytoezichthouders
Maar ondanks dit gezamenlijke statement lijken de Europese privacytoezichthouders verdeeld over hoe de privacyregels in het kader van deze pandemie moeten worden toegepast. De toezichthouders in Frankrijk, België, Luxemburg zijn bijvoorbeeld net als de AP strikt in de leer. De toezichthouders in Duitsland, Denenmarken, Spanje, Polen, Ierland en het Verenigd Koninkrijk zijn echter beduidend coulanter. De toezichthouders in Italië, Noorwegen, Zweden, Slovenië, Slowakije, hangen er een beetje tussenin.
De meer coulante toezichthouders halen zowel specifieke rechten op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (art. 9(2)(b) Algemene verordening gegevensbescherming; AVG) als redenen van algemeen belang op het gebied van de volksgezondheid (art. 9(2)(i) AVG) aan. In deze gevallen zal veel echter afhangen van nationaalrechtelijke bepalingen, en daar ziet de AP in Nederland kennelijk geen ruimte. Is het dan nodig dat hiervoor in Nederland, net als in bijvoorbeeld Polen, een specifieke wet wordt aangenomen? Misschien niet.
De andere privacytoezichthouders noemen ook bescherming van de vitale belangen van de betrokkene of van een andere persoon (art. (9)(2)(c) AVG; zie bijvoorbeeld de statements van Spanje, Slovenië en de EDPB). Deze bepaling geldt rechtstreeks op grond van de AVG zelf. Verder haalt de Poolse toezichthouder in dat kader de volgende passage aan: “De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is.” (considerans 46 AVG). Het lijkt mij daarom dat een werkgever onder omstandigheden toch hard kan maken dat deze uitzondering onder de AVG van toepassing is; ook in Nederland. Om toepasselijkheid van deze uitzondering te waarborgen, kan dan worden aangesloten bij tips van de privacytoezichthouders in andere Europese landen.
Tips persoonsgegevensverwerking bij Coronavirus
Voorop staat dat werkgevers dataminimalisatie moeten toepassen: niet meer gegevens verwerken dan noodzakelijk is voor het doel. Ook doelbinding is van groot belang: de gegevens mogen alleen worden gebruikt ter bescherming van de gezondheid van werknemers. In Duitsland wordt in lijn daarmee expliciet gesteld dat de gegevens uiterlijk na afloop van de pandemie dienen te worden verwijderd. Verder is ook transparantie van belang: werknemers dienen goed te worden geïnformeerd over de verwerking van hun persoonsgegevens in het kader van Corona. Tot slot is opmerkelijk dat meerdere toezichthouders een beperkte interpretatie van het begrip ‘gezondheidsgegevens’ voorstaan (Noorwegen, Zweden, Denenmarken). Zo hoeft informatie dat iemand in een risicogebied is geweest of informatie over dat iemand in quarantaine is, niet als gezondheidsgegeven te worden aangemerkt.
Maar zelfs als een werkgever niet 100% privacy compliant te werk gaat tijdens de Coronacrisis, is het de vraag of een privacytoezichthouder daarop gaat handhaven. In dat kader heeft de ICO in het Verenigd Koninkrijk expliciet het volgende toegezegd: “We understand that resources, whether they are finances or people, might be diverted away from usual compliance or information governance work. We won’t penalise organisations that we know need to prioritise other areas or adapt their usual approach during this extraordinary period.”
AP denkt wel mee over thuiswerken
Ondanks de strikte visie van de AP over het verwerken van gegevens gerelateerd aan het Coronavirus, denkt de AP wel op ander vlak mee. Op 18 maart einde dag heeft de AP tips voor veilig thuiswerken gepubliceerd. Een greep daaruit:
- Log waar mogelijk in op de server van de organisatie;
- Sla documenten bij voorkeur op de server zelf op, en gebruik anders een versleutelde usb-stick;
- Wees voorzichtig met gebruik van gratis cloud-, opslag- of e-maildiensten;
- Wees bedacht op phishingmails;
- Gebruik bij voorkeur de telefoon of beveiligde versies van (video)chatdiensten, en geen consumentenapps als FaceTime, Skype of Signal.
Dit keer blijft de AP gelukkig niet hangen in best practice advisering. Als tóch gebruik wordt gemaakt van consumentenapps, geeft zij de volgende pointers mee:
- Informeer over de privacyrisico’s die hierbij spelen;
- Gebruik zo min mogelijk direct herleidbare gegevens zoals namen, maar in plaats daarvan bijvoorbeeld patiënt- of personeelsnummers;
- Gebruik een app die berichten versleuteld verzendt;
- Beveilig de internetverbinding met een sterk wachtwoord; en
- Wis een chat na afloop van het gesprek.
Als de AP nu ook alsnog een beetje meer zou meedenken waar het (exceptionele) verwerking van gegevens gerelateerd aan het Coronavirus betreft, dan zou dat helemaal mooi zijn.
Voetnoten
(1) Op 20 maart heeft de AP haar guidance op dit punt versoepeld. Op de website van de AP is nu onder meer te lezen: “Mag ik een werknemer vragen om zijn of haar gezondheid te checken? Ja. U mag van uw werknemer verlangen om zijn of haar gezondheid scherp in de gaten te houden. Zeker als uw werknemer niet thuis aan het werk is. De werknemer zou dit dan onder werktijd zelf kunnen controleren. Bijvoorbeeld door zelf zijn of haar temperatuur te meten.” Zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/mijn-zieke-werknemer#mag-ik-mijn-werknemers-controleren-op-corona-7677.