image

Noorwegen stopt met corona-app na kritiek van privacytoezichthouder

maandag 15 juni 2020, 15:05 door Redactie, 11 reacties

Noorwegen stopt met het gebruik van een corona-app nadat de Noorse privacytoezichthouder Datatilsynet oordeelde dat de gegevensverwerking via de app op dit moment onrechtmatig is en dat het gebruik ervan tijdelijk moet worden gestopt.

Volgens Datatilsynet is gezien de huidige situatie, waarbij er weinig infectiegevallen worden gemeten en er weinig mensen van de "Smittestopp-app" gebruikmaken, het niet langer proportioneel om de app in te zetten. Daarnaast verzamelt de app meer gegevens dan noodzakelijk, zo stelt de privacytoezichthouder.

De app maakt gebruik van gps en bluetooth. Ook moeten gebruikers allerlei gegevens opgeven, waaronder hun telefoonnummer, en verzamelt de app informatie over de telefoon. Gebruikers worden via sms gewaarschuwd wanneer ze in de buurt van een coronapatiënt zijn gekomen. Hierbij wordt ook de datum van het contact doorgegeven. De Noorse autoriteiten laten zelf weten dat er dan ook gevallen zich kunnen voordoen waarbij gewaarschuwde personen kunnen achterhalen wie de betreffende coronapatiënt is. Via de app verzamelde gegevens worden dertig dagen lang opgeslagen.

Gezien al deze zaken stelt Datatilsynet in een brief aan het Noorse Instituut voor Volksgezondheid dat de app gezien de huidige situatie en gekozen oplossing geen gerechtvaardigde inbreuk op de privacy is. De toezichthouder stelt geen tegenstander te zijn van een digitale oplossing voor contactonderzoek, maar niet in de huidige vorm. Het Instituut moet dan ook tijdelijk stoppen met de verwerking van persoonlijke gegevens zoals nu via de app gebeurt.

Het instituut is het niet eens met de beslissing van de toezichthouder, zo laat het in een reactie weten. Toch is besloten om met het gebruik van de huidige corona-app te stoppen en alle verzamelde data te vernietigen. Verder stelt het instituut dat burgers de app gewoon op hun telefoon kunnen houden, zodat die snel weer kan worden gebruikt wanneer er een oplossing wordt gevonden. Smittestopp is volgens het instituut meer dan 1,6 miljoen keer gedownload en heeft bijna 600.000 actieve gebruikers. De Androidversie is volgens Google meer dan 100.000 keer geïnstalleerd.

Reacties (11)
15-06-2020, 16:13 door buttonius
<sarcasm>Is ook best lastig als zo'n toezichthouder z'n werk goed doet en signaleert dat je app onnodige (persoons)gegevens verzamelt die ook nog eens tamelijk lang worden opgeslagen.</sarcasm>
15-06-2020, 16:39 door Anoniem
Hier hebben we een toezichthouder die onwelgevallen krantjes opkoopt om informatie weg te poetsen...
Gaan we dat hier ook krijgen? [/sarcasm]
15-06-2020, 17:53 door Anoniem
Dit is echt een vrij belangrijke uitspraak.

Formeel werkt het namelijk door binnen de Europese Economisch Ruimte.
De E.E.R. is een douane ruimte waar zowel Noorwegen, alle EU-lid landen waaronder Nederland en aspirant EU-landen aan verbonden zijn.
Als nu Noorwegen als 1 van de zelfstandige landen binnen de E.E.R. de conclusie trekt dat iets in strijd is met algemene beginselen die binnen die E.E.R. gelden, dat speelt ook met de App en zoiets fundamenteels als privacy principes, dan zal men bij de EU automatisch ook kennis nemen van dit besluit door de Noorse Autoriteiten.

Wanneer een kwestie botst met rechtstreekse de kern van de E.E.R raakt, zoals douane en vrij-verkeer aangelegenheden, dan verzekerde Guy Verhofstad Januari 2019 bij een officiële horing van het parlement in Londen inzake de Brexit dat dan het principe ook voor gelijke gevallen in andere landen hetzelfde zal gelden.
Het zal dan bij alle E.E.R. landen niet door kunnen gaan.
De principes van de douane ruimte van de E.E.R., zeker de kernwaarden volgens Guy Verhofstad in zijn officiële verklaringen, kunnen enkel in het geheel worden uitgevoerd.
Zeker zodra het volgens Guy Verhofstad algehele beginselen van de samenwerking betreft waar bij toetreding van nieuwe deelnemers ook geen keuze-menu optie bestaat.
Bij twijfel zou een vraagstuk eventueel altijd vooraf ook door het hof in Luxemburg getoetst kunnen worden, aldus Guy Verhofstad.
Iets dat met de formele uittreding uit de douane unie - E.E.R. van het Verenigd Koninkrijk voor de Britse aangelegenheden weliswaar lastig(er) kan voor de Britten kan worden, maar in de context van de corona Apps degelijk een interessante uitspraak is omdat hij die deed als representant van het EU parlement.

De uitspraken van Guy Verhofstad wijzen in die zin op de horizontale werking van het douane recht tussen E.E.R landen.
Nu gaat het in geval van de Noorse uitspraak rondom een App natuurlijk om iets zeer fundamenteels, namelijk de borging van je in beginsel vrij - en dus in vrijheid en ongemoederd kunnen verplaatsen binnen de E.E.R.
Dat is ten eerste aan het lid-land binnen de E.E.R. zelf en aan alle bijkomende voorwaarden ervan te voldoen.
Nationale veiligheid en zorg waren volgens Guy Verhofstad aan de landen zelf, maar die konden niet botsen met het douane recht aldus Guy Verhofstad.
En zo lang op die douane unie geen landen zijn afgekoppeld / zaken eruit zijn gehaald, is het voor andere landen wel heel ingewikkeld om dan opeens wel met privacy inbreuken in te kunnen stemmen.
Waarbij paspoort controles bij binnenkomst in een E.E.R. via een buitengrens-land in beginsel niet volledig onder een privacy inbreuk te scharen zijn en bij binnenkomst dus geen privacy inbreuken door een App spelen om de soevereiniteit van het land overeind te kunnen houden ligt dat bij reizen binnen een E.E.R. ruimte volgens Guy Verhofstad anders.
(noot: het VK is officieel sinds medio 2020 niet langer meer gebonden haar eigen douane regels eerst aan de toetsende gerechtshoven in Luxemburg en Straatsburg voor toetsing voor te leggen.
Daarmee is het VK op dit moment formeel geen deel van de E.E.R. meer en heeft Nederland via ondermeer haar Exclusieve Economische Zone een buitengrens met het VK).

Aangezien de Autoriteiten Persoons gegevens van alle E.E.R. landen ook kennis nemen van beslissingen van AP's in andere landen zal het voor de Nederlandse A.P. ook haast schier onmogelijk zijn wel opeens positieve gronden te zien voor inbreuken in de privacy door een Corona App.
Voor zover die inbreuken in beginsel staatsrechtelijk en gezien de parlementaire voorgeschiedenis eerder ook al niet meer kon bij het reizen binnen Nederland.
Voor reizigers die de E.E.R. via Nederland binnenkomen liggen de regels formeel anders.
Iets dat bijvoorbeeld bij Schiphol niet ten volle door Nederland wordt toegepast.
15-06-2020, 20:27 door Anoniem
De Noorse app verstuurde veel meer data dan het protocol van Apple/Google. De Nederlandse app hoeft niet hetzelfde te zijn als de Noorse app.
16-06-2020, 00:21 door Anoniem
Door Anoniem: Dit is echt een vrij belangrijke uitspraak.

Formeel werkt het namelijk door binnen de Europese Economisch Ruimte.
De E.E.R. is een douane ruimte waar zowel Noorwegen, alle EU-lid landen waaronder Nederland en aspirant EU-landen aan verbonden zijn.
Als nu Noorwegen als 1 van de zelfstandige landen binnen de E.E.R. de conclusie trekt dat iets in strijd is met algemene beginselen die binnen die E.E.R. gelden, dat speelt ook met de App en zoiets fundamenteels als privacy principes, dan zal men bij de EU automatisch ook kennis nemen van dit besluit door de Noorse Autoriteiten.

Wanneer een kwestie botst met rechtstreekse de kern van de E.E.R raakt, zoals douane en vrij-verkeer aangelegenheden, dan verzekerde Guy Verhofstad Januari 2019 bij een officiële horing van het parlement in Londen inzake de Brexit dat dan het principe ook voor gelijke gevallen in andere landen hetzelfde zal gelden.
Het zal dan bij alle E.E.R. landen niet door kunnen gaan.
De principes van de douane ruimte van de E.E.R., zeker de kernwaarden volgens Guy Verhofstad in zijn officiële verklaringen, kunnen enkel in het geheel worden uitgevoerd.
Zeker zodra het volgens Guy Verhofstad algehele beginselen van de samenwerking betreft waar bij toetreding van nieuwe deelnemers ook geen keuze-menu optie bestaat.
Bij twijfel zou een vraagstuk eventueel altijd vooraf ook door het hof in Luxemburg getoetst kunnen worden, aldus Guy Verhofstad.
Iets dat met de formele uittreding uit de douane unie - E.E.R. van het Verenigd Koninkrijk voor de Britse aangelegenheden weliswaar lastig(er) kan voor de Britten kan worden, maar in de context van de corona Apps degelijk een interessante uitspraak is omdat hij die deed als representant van het EU parlement.

De uitspraken van Guy Verhofstad wijzen in die zin op de horizontale werking van het douane recht tussen E.E.R landen.
Nu gaat het in geval van de Noorse uitspraak rondom een App natuurlijk om iets zeer fundamenteels, namelijk de borging van je in beginsel vrij - en dus in vrijheid en ongemoederd kunnen verplaatsen binnen de E.E.R.
Dat is ten eerste aan het lid-land binnen de E.E.R. zelf en aan alle bijkomende voorwaarden ervan te voldoen.
Nationale veiligheid en zorg waren volgens Guy Verhofstad aan de landen zelf, maar die konden niet botsen met het douane recht aldus Guy Verhofstad.
En zo lang op die douane unie geen landen zijn afgekoppeld / zaken eruit zijn gehaald, is het voor andere landen wel heel ingewikkeld om dan opeens wel met privacy inbreuken in te kunnen stemmen.
Waarbij paspoort controles bij binnenkomst in een E.E.R. via een buitengrens-land in beginsel niet volledig onder een privacy inbreuk te scharen zijn en bij binnenkomst dus geen privacy inbreuken door een App spelen om de soevereiniteit van het land overeind te kunnen houden ligt dat bij reizen binnen een E.E.R. ruimte volgens Guy Verhofstad anders.
(noot: het VK is officieel sinds medio 2020 niet langer meer gebonden haar eigen douane regels eerst aan de toetsende gerechtshoven in Luxemburg en Straatsburg voor toetsing voor te leggen.
Daarmee is het VK op dit moment formeel geen deel van de E.E.R. meer en heeft Nederland via ondermeer haar Exclusieve Economische Zone een buitengrens met het VK).

Aangezien de Autoriteiten Persoons gegevens van alle E.E.R. landen ook kennis nemen van beslissingen van AP's in andere landen zal het voor de Nederlandse A.P. ook haast schier onmogelijk zijn wel opeens positieve gronden te zien voor inbreuken in de privacy door een Corona App.
Voor zover die inbreuken in beginsel staatsrechtelijk en gezien de parlementaire voorgeschiedenis eerder ook al niet meer kon bij het reizen binnen Nederland.
Voor reizigers die de E.E.R. via Nederland binnenkomen liggen de regels formeel anders.
Iets dat bijvoorbeeld bij Schiphol niet ten volle door Nederland wordt toegepast.

Er staat heel veel, maar tegelijkertijd heel weinig. Volgens mij zou een effectieve samenvatting van een paar zinnen je bericht beter overbrengen.
16-06-2020, 00:33 door Anoniem
Hoe kun je 600.000 actieve gebruikers hebben als google zegt dat de app 100.000 keer is gedownload. Wordt er keihard gelogen door 1 van de partijen? En is die partij echt zo dom?
16-06-2020, 01:45 door Anoniem
Door Anoniem: De Noorse app verstuurde veel meer data dan het protocol van Apple/Google. De Nederlandse app hoeft niet hetzelfde te zijn als de Noorse app.

En met minder data werkt de App beter??
Heb je ook gekeken welke onderdelen van de Noorse App data-intensief zijn?
16-06-2020, 08:58 door Anoniem
Door Anoniem: Dit is echt een vrij belangrijke uitspraak.

Formeel werkt het namelijk door binnen de Europese Economisch Ruimte.

Aangezien de Autoriteiten Persoons gegevens van alle E.E.R. landen ook kennis nemen van beslissingen van AP's in andere landen zal het voor de Nederlandse A.P. ook haast schier onmogelijk zijn wel opeens positieve gronden te zien voor inbreuken in de privacy door een Corona App.
t.
Met het eerste heb je mischien gelijk, maar de uitspraak gaat over de Noorse corona app en niet over een corona app in het algemeen. Tevens heeft de Noorse AP gekeken naar de situatie in Noorwegen en niet naar die in Europa.

Het feit dat de Noorse app blijkbaar extra data onnnodig verzameld en naast een melding dat iemand in contact is geweest met een corona patient ook de plaats en tijd meegeeft, is in dit geval dus de reden om deze specifieke app (tijdelijk) on-hold te zetten...
16-06-2020, 10:04 door Anoniem
Door Anoniem: Hoe kun je 600.000 actieve gebruikers hebben als google zegt dat de app 100.000 keer is gedownload. Wordt er keihard gelogen door 1 van de partijen? En is die partij echt zo dom?

Valt de App Store van Apple hier ook onder dan?
16-06-2020, 23:20 door Anoniem
Door Anoniem:
Door Anoniem: De Noorse app verstuurde veel meer data dan het protocol van Apple/Google. De Nederlandse app hoeft niet hetzelfde te zijn als de Noorse app.

En met minder data werkt de App beter??
Heb je ook gekeken welke onderdelen van de Noorse App data-intensief zijn?
Dat staat in het artikel. GPS, persoonsgegevens, informatie over de telefoon, datum van contact.
17-06-2020, 15:43 door Anoniem
Door Anoniem:
Door Anoniem: Dit is echt een vrij belangrijke uitspraak.

Formeel werkt het namelijk door binnen de Europese Economisch Ruimte.

Aangezien de Autoriteiten Persoons gegevens van alle E.E.R. landen ook kennis nemen van beslissingen van AP's in andere landen zal het voor de Nederlandse A.P. ook haast schier onmogelijk zijn wel opeens positieve gronden te zien voor inbreuken in de privacy door een Corona App.
t.
Met het eerste heb je mischien gelijk, maar de uitspraak gaat over de Noorse corona app en niet over een corona app in het algemeen. Tevens heeft de Noorse AP gekeken naar de situatie in Noorwegen en niet naar die in Europa.

Het feit dat de Noorse app blijkbaar extra data onnnodig verzameld en naast een melding dat iemand in contact is geweest met een corona patient ook de plaats en tijd meegeeft, is in dit geval dus de reden om deze specifieke app (tijdelijk) on-hold te zetten...

Datgeen waar de rechter aan toetst heet het recht. Het recht geldt altijd. Niet voor 1 App wel en de andere niet.
Bij een vermeend of evident geschil kan de rechter in beeld komen.
Dat de rechter evenwel met betrekking tot andere Apps dan de Noorse Corona App misschien nog niet in beeld is zegt niets over dat andere Apps ook daadwerkelijk voldoen aan het Noorse recht en de bepalingen van de Europese Economische Ruimte.

De Noorse AP heeft diverse standpunten ingenomen en informatie verstrekt rondom wat van toepassing is bij Corona Apps.
Als ik 1 vertaal vanuit het Noors middels google translatie dan komt bijvoorbeeld vertaald de volgende stellingname langs:
"de app moet op 1 december worden stopgezet".
Dat was voorafgaand aan de ingebruikname.
Dat schept natuurlijk al een afweging criterium, samen met non-discremantoire uitvoering beginselen bij toepassing van de wet. Je kan zeg maar niet zondermeer het gebruik van meerdere App eventueel per 1 december stopzetten en gebruik van vergelijkbare Apps zondermeer door laten gaan.

Bij uitspraak van 15 juni zegt de Noorse AP ondermeer dat:
- het gebruik van de App na 23 juni moet stoppen.
- besmetting is een zeer privacyintensieve maatregel, zelfs in een uitzonderlijke situatie waarin de samenleving een pandemie probeert te bestrijden.
- Infection Stop verzamelt grote hoeveelheden persoonlijke informatie over degenen die de app gebruiken, inclusief continue locatiegegevens en informatie over het contact van gebruikers met anderen.
- Onze waarschuwing betekent niet dat technologie en apps niet kunnen worden gebruikt om de pandemie te bestrijden. De wettigheid van de ziektestop hangt echter af van de sociale voordelen van de maatregel, zegt Thon*
We hebben ook gemerkt dat het Public Health Institute in een online bericht zelfs zegt dat de infectie nu zo laag is in de samenleving dat het moeilijk te valideren is dat het de juiste mensen waarschuwt, niet te veel en niet te weinig.
* de directeur van de Inspectie van de Gegevens.
- De Privacy Council heeft geconcludeerd dat het niet nodig is om locatiegegevens te gebruiken bij het volgen van infecties en raadt aan alleen Bluetooth te gebruiken .
Wij zijn van mening dat FHI niet heeft aangetoond dat het strikt noodzakelijk is om locatiegegevens te gebruiken voor het opsporen van infecties, en voldoet hieraan aan een nieuwe beoordeling door FHI, zegt Thon.
- Er is ook geen oplossing voor anonimisering en aggregatie van gegevens voor analyse, zegt Thon. Toch verzamelt de app voortdurend persoonlijke informatie van alle gebruikers
- Er zijn veel zaken die besproken moeten worden. Het vormen van toestemming en het gebruik van GPS bij het volgen van infecties staat centraal, maar ook de anonimiseringsoplossing is nog niet aanwezig. De inzichtoplossing wordt ook het thema van de bijeenkomst. Het is echter belangrijk dat er nu specifieke veranderingen op tafel liggen, zegt Thon.

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/midlertidig-stans-av-appen-smittestopp/

Voor Noorwegen geldt sinds 20 Juli 2018 ook de GDPR.
Dit vanuit haar relatie met de Europese Economische Ruimte en de relatie daarvan met de EU, zie https://www.datatilsynet.no/en/regulations-and-tools/regulations-and-decisions/

Nou kunnen beoordelingen van Apps in relatie tot het recht wel een hele legpuzzel zijn, de inhoud van de uitspraak door de Noorse AP inzake de Noorse Corona App raakt echter fundamenteel aan de rechtsbeginselen in brede zin.
Dat kunnen andere App ontwikkelaars nog niet zonder meer naast zich neerleggen omdat ze niet (ontoevallig) weer een andere App ontwikkelen dan de App waar de uitspraak over gaat.

Door de gehanteerde fundamentele rechtsbeginselen in de uitspraak, het gaat hier gespiegeld vanuit de Nederlandse context meer om absoluut recht principes.
Die gaan voor rechtsprincipes en stellingen die eventueel als gevolg van een individuele gebruikersovereenkomst / gebruikersrechten, die bij de App wordt geleverd, van toepassing zou zijn.
Een dergelijke private overeenkomst moet bij voorbaat voldoen aan de wettigheid, anders is de overeenkomst ongeldig.
Een individuele gebruikersovereenkomst / gebruikersrechten is altijd in beginsel een maatwerk met elementen van vertrouwen en acceptatie.
De absolute rechten gelden echter niet een beetje wel en eventueel een beetje niet.
Ze zijn dus niet relatief en zijn geen principe van maatwerk tussen 2 partijen.
De absolute rechten gelden onverkort en altijd.
Eventuele inbreuken daarop (al dan niet expliciet overeengekomen of met kennisgeving) zijn via een privaat rechtelijke overeenkomst dan al bij voorbaat rechtsongeldig.
De absolute rechten gelden al voordat een rechter er eventueel aan getoetst heeft bij een voorgelegd geschil.

De strekking van de uitspraak door de Noorse AP maakt het voor de Nederlandse AP ook wel nog meer noodzakelijk dat Nederlandse Corona Apps extra grondig onderzocht worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.