De Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor, EDPS) steunt plannen van de Europese Commissie om geanonimiseerde gegevens van telecomoperators te verzamelen om de ontwikkelingen in de coronacrisis te volgen. De EDPS stelt dat de plannen de EU-wetgeving inzake gegevensbescherming niet schenden. De EDPB heeft eerder een vergelijkbaar standpunt ingenomen door te zeggen dat nationale wetgeving terzake ook mogelijk is.
Thierry Breton, de commissaris voor de interne markt en voormalig CEO van Orange, hield deze week een telefonische vergadering met de grote Europese operators en de GSMA om het voornemen te bespreken. Hij verwacht dat metagegevens van telecomnetwerken EU-ambtenaren kunnen helpen om beoordelen of lockdown- en andere maatregelen in veel landen de verspreiding van corona tegengaan. VodafoneZiggo en KPN lieten al weten onder strikte voorwaarden bereid te zijn mee te werken.
Geen schending privacy-regels
De EDPS (Europese Toezichthouder voor gegevensbescherming) is een onafhankelijke toezichthoudende autoriteit met als hoofddoelstelling controleren of Europese instellingen en organen (70 in totaal) het recht op privacy en gegevensbescherming in acht nemen wanneer zij persoonsgegevens verwerken en nieuwe beleidslijnen ontwikkelen. Toezichthouder Wojciech Wiewiorowski schrijft in een brief aan de ambtenaren van de Europese Commissie dat de gepresenteerde plannen de EU-privacywetgeving niet schenden.
Dit is gebaseerd op de aanname dat de gegevens effectief worden geanonimiseerd, waardoor ze niet langer een persoonlijk karakter hebben. De toezichthouder onderstreepte ook dat de beveiligingsbepalingen moeten worden uitgebreid tot alle derde partijen die de gegevens verwerken. Alle gegevens moeten worden verwijderd zodra de noodsituatie voorbij is. Wiewiorowski riep ook op tot transparantie voor het publiek over hoe de gegevens zouden worden gebruikt.
De European Data Protection Board (EDPB) dat nationale privacytoezichthouders in de EU verenigt, heeft eerder een soortgelijke beoordeling uitgebracht, nadat verschillende landen aangaven dat ze telecomgegevens zouden gebruiken om de verspreiding van het virus te monitoren. De EDPB nam er nota van dat de algemene verordening gegevensbescherming van de EU volksgezondheidsautoriteiten in staat stelt persoonsgegevens te verwerken in het kader van epidemieën, zonder dat de toestemming van de betrokkene behoeft te worden verkregen, om de volksgezondheid of vitale openbare belangen te beschermen.
ePrivacy-wetten
Telecomnetwerken worden geconfronteerd met aanvullende vereisten op het gebied van gegevensverwerking onder de ePrivacy-richtlijn van de EU, die betrekking heeft op de relevante netwerklocatiegegevens. Hierin staat dat de locatiegegevens alleen door de exploitant kunnen worden gebruikt wanneer ze anoniem zijn gemaakt of met toestemming van de individuen. De overheidsinstanties moeten in de eerste plaats streven naar de verwerking van locatiegegevens op anonieme wijze.
Als dit niet mogelijk is, staat de ePrivay-richtlijn de lidstaten toe wetgevende maatregelen in te voeren in naam van de nationale en openbare veiligheid, aldus de EDPB. Dergelijke noodwetgeving is alleen mogelijk als het "een noodzakelijke, passende en evenredige maatregel binnen een democratische samenleving" is. Als dergelijke maatregelen worden ingevoerd, is de regering verplicht om passende waarborgen in te voeren, zoals individuen het recht verlenen op rechtsmiddelen indien zij van mening zijn dat hun gegevens zijn misbruikt.
Matts Branryd, CEO van de GSMA, stelt in een reactie dat de vereniging en haar leden zich ertoe verbonden hebben met de Europese autoriteiten samen te werken "om gegevens te gebruiken in de strijd tegen de COVID-19-crisis, terwijl ze voldoen aan de Europese privacynormen".
