In een niet-gedateerd advies op zijn site maakt de Gegevensbeschermingsautoriteit (GBA) gewag van 'uitzonderlijk veel vragen over het gebruik van allerlei soorten gegevens in de bestrijding van de COVID-19 epidemie. Ze herinnert aan een aantal uitgangspunten in verband met apps die de bestaande regels niet respecteren. Optreden doet ze tot nu toe blijkbaar niet.
"Ook voor ons zijn volksgezondheid en de bestrijding van de verspreiding uiteraard van het allergrootste belang. We zien echter apps ontstaan die daarbij de bestaande regels niet respecteren en brengen daarom een aantal uitgangspunten in herinnering", luidt het.
1. Anoniem
Als de patiënt om de app nuttig te gebruiken geen nood is om persoonsgegevens te verwerken, kan dat niet. Dan mogen dus aan de gebruiker geen rechtstreeks identificerende gegevens (naam en voornaam, mailadres, identificatienummer rijksregister, GSM-nummer, …) worden gevraagd. Evenmin mogen gegevens worden opgevraagd of gebruikt (vb. identificatie van het toestel of connectie) waarvan de combinatie toelaat de patiënt onrechtstreeks te identificeren.
De GBA beklemtoont dat gegevens enkel (voldoende) anoniem zijn als ze ook in combinatie met andere gegevens (ook van andere partijen) niet meer tot her-identificatie kunnen leiden (vb. IP adressen zijn altijd persoonsgegevens, want met de hulp van een telecomoperator kan men iemand re-identificeren).
2. Zorgrelatie
Een app die past binnen een bestaande zorgrelatie van een patiënt met een zorgverstrekker of een zorginstelling, moet dat uitdrukkelijk aangeven. Er wordt ook voor gezorgd dat de persoonsgegevens enkel worden verwerkt in het raam van de kwaliteit en de continuïteit door die zorgverlener of door andere zorgverleners die een zorgrelatie hebben met de patiënt.
De patiënt wordt dan bij voorkeur door de zorgverlener uitgenodigd om de app te gebruiken.
3. Andere gevallen
In de situaties waar 1. of 2. niet van toepassing zijn, met een app die persoonsgegevens verwerkt, op het allereerste scherm - en voordat de gebruiker enig persoonsgegeven ingeeft of gegevens van hem worden gebruikt - de door de GDPR vereiste info geven (verwerkingsverantwoordelijke, precies doel van de verwerking, gebruik van cookies…). Rechtstreeks identificerende persoonsgegevens (naam en voornaam, mailadres, identificatienummer rijksregister, GSM-nummer, …) worden niet opgevraagd bij het begin van het gebruik van de app.
Tijdens het gebruik van de app worden enkel persoonsgegevens gebruikt voor de goede werking van de app binnen het vermelde doel en onder de verantwoordelijkheid van de vermelde verwerkingsverantwoordelijke.
Op het einde van het gebruik van de app kan aan de patiënt worden gevraagd of hij zijn persoonsgegevens wil laten doorgeven in de context van een bestaande zorgrelatie (vb. resultaat van zijn zelfevaluatie doorgeven aan de huisdokter), of om een nieuwe zorgrelatie aan te maken. Zo ja, dan kunnen de nodige bijkomende persoonsgegevens worden opgevraagd en doorgegeven, zoniet worden alle persoonsgegevens gewist en niet verder gebruikt.
Lees ook : Datalek gevonden in een van de mogelijke corona-apps in Nederland
