De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, zo heeft de Europese privacytoezichthouder (EDPS) laten weten op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken.
Het zou daarbij alleen om geanonimiseerde data gaan om de bewegingen van mensen in kaart te brengen. "Echt geanonimiseerde data valt buiten de reikwijdte van de databeschermingsregels", aldus de EDPS. Die merkt op dat het echt anonimiseren van data meer is dan alleen het verwijderen van identifiers zoals een telefoonnummer of IMEI-nummer. De Europese Commissie zou echter van plan zijn om de gegevens ook te aggregeren, wat aanvullende bescherming biedt, zo stelt de privacytoezichthouder.
Hoewel de privacywetgeving dan niet van kracht is, gelden er nog steeds veiligheids- en vertrouwelijkheidsverplichtingen voor commissiemedewerkers die de data verwerken. Wanneer de Europese Commissie derde partijen inzet voor de gegevensverwerking moeten die dezelfde veiligheidsmaatregelen doorvoeren en mogen de data niet voor andere zaken gebruiken.
De EDPS is ook te spreken dat de gegevens die de telecomproviders aanleveren wordt verwijderd zodra de noodsituatie voorbij is. "Het moet duidelijk zijn dat deze speciale diensten worden uitgerold vanwege deze specifieke crisis en een tijdelijk karakter hebben", gaat de toezichthouder verder, die tevens opmerkt dat dergelijke ontwikkelingen vaak niet de mogelijkheid hebben om terug te gaan wanneer de noodsituatie voorbij is. In dit geval gaat het om een buitengewone situatie.
Afsluitend krijgt de Europese Commissie het advies om tijdens het gehele proces een Data Protection Officer erbij te betrekken en wanneer de beoogde plannen voor het verwerken van gegevens veranderen een nieuw overleg met de EDPS is vereist (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.