Tijdens de coronacrisis is de overheid druk bezig met het uitvoeren van maatregelen ter bestrijding van het virus. Beleid en nieuwe technologieën worden met spoed ontwikkeld. Vaak gaat dit hand in hand met de verwerking van gevoelige gegevens, zoals over jouw gezondheid en gedrag. Weet jij wat er met jouw data gebeurt?

De afgelopen tijd deden we onderzoek naar vier corona-maatregelen: de CoronaMelder, de wijziging van de Telecommunicatiewet, de Corona Opt-in en het gezondheidspaspoort om twee vragen te beantwoorden: 1) Welke gegevens worden er met deze maatregelen verzameld? en 2) Waar komen deze gegevens terecht?

Body surveillance: Het monitoren van jouw lichaam

Body surveillance vindt plaats wanneer jouw lichaam wordt gemonitord. Dit kan gebeuren met het oog op beïnvloeding. Data over jouw lichaam, zoals jouw locatie en gezondheid, worden verzameld om aannames te maken over jouw gedrag. Deze aannames kunnen gebruikt worden om beleid te maken waarmee jouw gedrag gestuurd wordt. Body surveillance kan ervoor zorgen dat jij niet als mens wordt gezien maar als kwantificeerbare data. We moeten kritisch kijken naar maatregelen die gericht zijn op de verwerking van gegevens over onze lichamen.

Een overzicht: Welke gegevens worden verwerkt en wie kan daar bij?

Op basis van deze vier corona-maatregelen worden gevoelige gegevens over jouw gezondheid, locatie en gedrag verwerkt. Maar om welke gegevens gaat het precies en wie kan daar bij? Het is belangrijk om deze maatregelen samen te behandelen en niet alleen per maatregel. Zo krijg je het hele plaatje van gegevensverwerking tijdens de coronacrisis en zie jij hoe jouw gegevens worden verwerkt in de gehele context.

Dat plaatje ziet er ongeveer zo uit:

In dit onderzoek hebben we gekeken naar welke gegevens op basis van deze maatregelen worden verzameld en wie daar bij kan. Als je hier meer over wilt lezen dan kan dat in dit verslag.

Dit zijn onze belangrijkste bevindingen:

Onduidelijke doelbinding

Doelbinding is een belangrijke waarborg voor gegevensbescherming die in veel van deze maatregelen nog niet voldoende aandacht krijgt. Beleidsmakers moeten vaststellen voor welk doel bepaalde gegevens moeten worden verwerkt en waarom bepaalde instanties bij deze gegevens moeten kunnen. Als er te veel verschillende doelen worden genoemd (zoals in de Telecommunicatiewet en het gezondheidspaspoort) wordt het moeilijk om de gegevensverwerking te monitoren.

Afhankelijkheid en ondoorzichtigheid

Er zijn veel verschillende instanties en actoren betrokken bij de gegevensverwerking van de corona-maatregelen, zoals het RIVM, telecomproviders, artsen en de GGD. Ze werken samen in de ontwikkeling en uitvoering van de gegevensverwerking. Soms veroorzaakt dit onduidelijkheid en onzekerheden over wie waar toegang tot heeft. Ook moeten we voorzichtig zijn met de afhankelijkheid van (buitenlandse) Big Tech bedrijven. Vooral als het gaat om publieke belangen zoals onze volksgezondheid. De CoronaMelder wordt bijvoorbeeld deels ontwikkeld door Apple en GoogleLees hier wat wij eerder schreven over hoe Google Corona aangrijpt om massasurveillance te legitimeren, twee Amerikaanse tech-giganten. Deze bedrijven geven geen volledig inzicht in het onderliggende systeem voor de app die zij hebben ontwikkeld waardoor controle op de veiligheid ervan wordt bemoeilijkt.

Normalisering van gegevensverwerking

De afgelopen jaren is het verwerken van gegevens over ons lichaam steeds normaler geworden. Zo gebruiken we steeds vaker mobiele applicaties en smart tools zoals FitBit die onze gezondheid, slaap en productiviteit monitoren. Het is een gewoonte geworden om steeds meer data te delen in ruil voor tips om beter en gezonder te leven.

Je kunt je afvragen waarom je de verwerking op basis van deze maatregelen anders zou beschouwen dan de verwerking die al jaren plaatsvindt in jouw mobiele applicaties. Maar dat is een glijdende schaal. Bovendien worden deze maatregelen door andere partijen uitgevoerd en op een andere wijze gebruikt.

Volksgezondheid en privacy sluiten elkaar niet uit

Ook tijdens een crisis moeten we kritisch kijken naar hoe onze gegevens worden verzameld. De bescherming van de volksgezondheid moet niet systematisch gebruikt worden als rechtvaardigingsgrond voor een inmenging met onze digitale rechten en vrijheden. De volksgezondheid is zo’n breed begrip dat elke (kleine) inmenging op privacy daardoor geaccepteerd kan worden. Dan lijkt het steeds makkelijker om privacy op te offeren, terwijl we uit het oog verliezen hoe groot het totale offer is.

Volksgezondheid en privacy sluiten elkaar niet uitLees hier wat wij daarover schreven bij de aftelling tot Digital Rights Day door het Digital Freedom Fund. Het is geen kwestie van kiezen voor of privacy of gezondheid. Het is belangrijk om maatregelen in te voeren die zowel de privacy als de volksgezondheid waarborgen.