Print:

COVID-19 en de ePrivacyverordening: Is er een geneesmiddel?

Wilfred Steenbruggen , Advocaat

LinkedIn profiel

Duitsland heeft op 1 juli 2020 het hoofdpijndossier dat de ePrivacyverordening heet, overgedragen van Kroatië. Volgens Kroatië is het door de uitbraak van de COVID-19 pandemie niet gelukt om in het eerste half jaar van 2020 binnen de Raad noemenswaardige vooruitgang in dit dossier te boeken. Dat betekent dat de ePrivacyverordening meer vertraging oploopt en waarschijnlijk niet voor 2022 in werking treedt. Tot die tijd moeten we het dus doen met de – inmiddels op een aantal punten achterhaalde – regels van de ePrivacyrichtlijn (richtlijn 2002/58/EG) in Nederland neergelegd in de Telecommunicatiewet (Tw). Maar waar zit nou precies de pijn, mag telecomdata tegen COVID-19 worden ingezet en hoe kan de ePrivacyverordening bijdragen aan de bestrijding van het coronavirus?

Wilfred Steenbruggen | IIR

Wilfred Steenbruggen, advocaat bij Bird&Bird, neemt u mee in dit dynamische dossier en de strijd tegen COVID-19.

Telecomdata en de strijd tegen COVID-19

Als gevolg van deze Telecommunicatiewet, is telecomdata van mobiele operators niet eenvoudig in te zetten in de strijd tegen datzelfde COVID-19 virus. Data speelt hierin juist een grote rol, omdat data mensenmassa’s en bewegingspatronen in kaart kunnen brengen. Aan de hand van deze ‘heatmaps’ wordt dan bepaald waar het risico op verspreiding van COVID-19 het grootst is. Daarmee creëert het inzicht in waar behoefte aan medisch materiaal het hoogst is, waar maatregelen moeten worden aangescherpt of waar deze juist kunnen worden versoepeld (exit-strategie). Het is dan ook niet verwonderlijk dat verschillende landen plannen hebben om telecomdata bij mobiele operators op te vragen of dat zelfs al doen. Ook de Europese Commissie heeft gevraagd om dergelijke gegevens om internationaal een coördinerende rol te kunnen spelen.

Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19

Eind mei 2020 is bij de Tweede Kamer een voorstel ingediend voor een Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19. Dit moet het gebruik van telecomdata in de strijd tegen het coronavirus mogelijk maken. Het wetsvoorstel creëert een tijdelijke grondslag in hoofdstuk 14 Telecommunicatiewet om aanbieders van openbare mobiele telecommunicatienetwerken (lees KPN, Vodafone en T-Mobile) te verplichten informatie via het CBS aan het RIVM te verstrekken.

Meer specifiek gaat het bij deze informatie om de totaalaantallen per Nederlandse gemeente. En per uur van de mobiele eindapparaten die in dat uur verbonden waren met het openbare mobiele netwerk. Dit is dan weer uitgesplitst naar afgeleide herkomst van de houder van het mobiele eindapparaat. Bij die afgeleide herkomst gaat het om de gemeente waar het eindapparaat in de voorgaande 30 dagen gemiddeld het grootste deel van de tijd verbinding heeft gemaakt of, bij een buitenlands nummer, het land van herkomst. Deze informatie moet door de aanbieders eenmaal per 24 uur aan het CBS worden verstrekt. Het CBS voegt vervolgens alles samen, bewerkt het en verstrekt het aan het RIVM.

Het gaat bij deze totaalaantallen niet meer om zeer privacygevoelige informatie. Te meer omdat geen informatie wordt verstrekt over een totaalaantal met eenzelfde afgeleide herkomst dat kleiner is dan 15. Dat maakt dat de informatie lastig te herleiden is tot individuele personen. Of dat ook betekent dat de data anoniem is, zoals in de toelichting bij het wetsvoorstel wordt gesteld, is vers twee. Telecomproviders hebben daar enige zorgen over. Mijns inziens terecht: locatiegegevens zijn notoir lastig te anonimiseren.

Gebruik telecomdata en ePrivacyrichtlijn

In ieder geval laat dat onverlet dat de telecomdata waar die informatie uit wordt gehaald, verkeers- en locatiegegevens, wel zeer gevoelig is. Een zeer gedetailleerd beeld rijst op van het privéleven van individuele personen en hun communicatie. Om die reden bevat de ePrivacyrichtlijn in artikel 6 en 9 hele strikte regels voor de verwerking van dergelijke gegevens (in Nederland geïmplementeerd in artikel 11.5 en 11.5a Tw). Op grond daarvan mogen verkeers- en locatiegegevens slechts voor een limitatief aantal doeleinden door aanbieders worden verwerkt. Het samenstellen van heatmaps ten behoeve van de bestrijding van infectieziekten is daar niet een van.

Het wetsvoorstel onderkent ook dat de artikelen 11.5 en 11.5a Tw geen grondslag bieden voor de verwerking ten behoeve van het verstrekken van informatie aan het RIVM. Maar stelt dat artikel 15 ePrivacyrichtlijn ruimte zou bieden om deze bepalingen ook buiten toepassing te laten ter waarborging van de openbare veiligheid – daaronder begrepen de bestrijding van de epidemie van een infectieziekte en andere doelstellingen van algemeen belang van de Unie of van een lidstaat, met inbegrip van volksgezondheid (zie Kamerstukken II 2019-2020, 35479, nr. 3, p. 5).

Artikel 15 ePrivacyrichtlijn biedt inderdaad ruimte voor een uitzondering ter waarborging van de openbare veiligheid. Het is maar de vraag of deze zover gaat als in de toelichting bij het wetsvoorstel wordt aangenomen. Daartegen pleit dat de Europese wetgever er in artikel 15 ePrivacyrichtlijn expliciet voor heeft gekozen om niet de volledige lijst van beperkingsgronden uit artikel 13 van de Privacyrichtlijn (richtlijn 95/46/EG) over te nemen, maar slechts een selectief aantal beperkingsgronden toe te staan. Bestrijding van infectiezieken en volksgezondheid zijn niet op de short list met toegestane beperkingsgronden gekomen.

Meer ruimte onder ePrivacyverordening

Het een en ander maakt het des te wranger dat de ePrivacyverordening nog steeds niet in werking is getreden. Die verordening bevat weliswaar ook nog steeds hele strikte regels voor het gebruik van telecomdata, maar staat wel expliciet toe dat telecomdata onder bepaalde voorwaarden gebruikt kan worden voor het samenstellen van heatmaps (vgl. overweging 17 bij de ePrivacyverordening).

Daarnaast geeft de ePrivacyverordening door een expliciete verwijzing naar artikel 23 van de AVG meer ruimte voor uitzonderingen dan thans de ePrivacyrichtlijn. Ook voor andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met inbegrip van de volksgezondheid. Het gebruik van telecomdata voor de bestrijding van COVID-19 zou dus onder de ePrivacyverordening wel mogelijk zijn, mits uiteraard ook aan de overige voorwaarden wordt voldaan die door de ePrivacyverordening (en de AVG) aan beperkingen worden gesteld.

Afsluitend

Dit maakt eens te meer duidelijk dat de ePrivacyverordening een echt hoofdpijndossier is. Het is te hopen dat het volgende voorzitterschap erin slaagt om hiervoor een geneesmiddel te vinden.

Wilfred Steenbruggen is advocaat bij Bird&Bird en tevens spreker op het seminar ePrivacy Verordening & Marketing. Deze dag vertelt hij meer over de scope & reikwijdte van de ePrivacyverordening: OTT, VoIP, M2M en televisie. Nieuwsgierig naar het volledige programma? Download hieronder de brochure.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.