Een contextuele benadering van privacy in tijden van corona

Weblogbericht | 16-11-2020 | Mariet de Boer

Een hobbelige weg naar het eindproduct

De CoronaMelder werd in de eerste lockdown aangekondigd en aanvankelijk was de lancering gepland op 1 september. Voor de zomer was er al sprake over verdeeldheid over het wel of niet installeren van zo’n app. Men vreesde voor inbreuk op de privacy en het creëren van schijnveiligheid. De lancering van de app werd uitgesteld naar oktober, omdat de Autoriteit Persoonsgegevens niet akkoord ging met de aanvankelijke opzet van de app. De Autoriteit Persoonsgegevens achtte het noodzakelijk om voor het uitrollen van de CoronaMelder eerst een wet aan te nemen, waarin bijvoorbeeld is verankerd dat werkgevers niet hun werknemers kunnen dwingen de app te installeren.

Gegevensbescherming versus privacy

De uiteindelijke presentatie van de app ging gepaard met een uitgebreide uitleg over de werking van de app en hoe in het design de bescherming van de privacy van de gebruiker gewaarborgd is. De gegevens van gebruikers worden niet centraal opgeslagen, maar versleuteld en op de telefoon zelf bewaard. Om te voorkomen dat telecomproviders uit het dataverkeer kunnen achterhalen dat iemand positief getest is, worden er geregeld nepcodes verstuurd die niet zichtbaar zijn voor de gebruiker. Uit de communicatie van het ministerie van VWS blijkt dat zij de privacy van gebruikers garanderen door het feit dat gegevens niet centraal worden opgeslagen en dat gegevens van gebruikers worden geanonimiseerd. De regering stelt de gegevensbescherming van gebruikers in de vorm van anonimisering van de CoronaMelder dus gelijk aan de privacy van de gebruikers.

Privacy in bredere context

In april 2020 stuurden 140 wetenschappers een brandbrief aan de regering, waarin zij waarschuwden voor de snelle ontwikkeling van de app: in het proces zou niet voldoende aandacht zijn voor de maatschappelijke implicaties. Een aantal door VWS geraadpleegde experts trokken hun handen af van de ontwikkeling van de app. Een van de aandachtspunten in de brandbrief ging in op de discussie over privacy. De experts benadrukken in de brief dat privacy meer dan gegevensbescherming alleen is. Er zijn verschillende soorten privacy die niet zozeer leunen op gegevens. Privacy kan gedefinieerd worden als de mogelijkheid die een actor heeft om anderen toegang te verschaffen tot persoonlijke zaken en acties. In de brandbrief beschrijven de experts privacy als het recht op een privéleven, waaronder bijvoorbeeld ook iemands fysieke en psychologische integriteit vallen. Privacy is in deze omschrijving dus veel breder dan anonimiteit.

Een relevant voorbeeld ter illustratie is het corona-dashboard. Hierin worden de gegevens over burgers verzameld in relatie tot het coronavirus. De regering heeft aangegeven dat de data in het dashboard gebruikt kunnen worden als basis voor het nemen van maatregelen. De gegevens van individuen zijn geanonimiseerd, maar de data geven de overheid wel voldoende informatie om te kunnen inschatten of er aanvullende maatregelen nodig zijn, zoals een lockdown. Claimen dat privacy gewaarborgd is door het anonimiseren van gegevens lijkt door dit voorbeeld te kort door de bocht.

Verantwoord sturen met data

Uit het ontwerpproces van de CoronaMelder blijkt dat voor de hand liggende termen zoals privacy vaak veel gecompliceerder zijn dan gedacht. Het is daarom belangrijk dat er een goed proces van verantwoording gewaarborgd is tijdens en na het ontwikkelen van beleid dat stuurt met data. In het adviestraject ‘Sturen met Data’ onderzoekt de ROB hoe verantwoordingsprocessen gewaarborgd kunnen worden wanneer de overheid gebruikmaakt van digitale middelen om ons gedrag te sturen, zoals de CoronaMelder.

Wil je meer weten over gedragssturing met data en de CoronaMelder? Op maandag 14 december organiseert de ROB een debatavond over dit onderwerp in de Balie. Klik hier voor meer informatie.

Noot:

Blogs op Raadopenbaarbestuur.nl zijn op persoonlijke titel. Het blog geeft niet per se de mening weer van de Raad.