image

Belgische toezichthouder: contactonderzoek is inbreuk op de privacy

dinsdag 21 juli 2020, 09:43 door Redactie, 13 reacties

Bron- en contactonderzoek waarbij wordt onderzocht wie met een besmet persoon in contact is gekomen is een inbreuk op de privacy en moet daarom aan een duidelijk wettelijk kader voldoen, zo stelt de Belgische Gegevensbeschermingsautoriteit.

Wouter Arrazola de Oñate, medisch directeur van de Vlaamse Vereniging voor Respiratoire Gezondheidszorg en Tuberculosebestrijding, liet eerder nog in het Belgische televisieprogramma Terzake weten dat er een infectieziektewetgeving is die in principe toelaat alles te vragen om de volksgezondheid te waarborgen.

"Rond andere ziektes doen wij dat al 40 jaar. GDPR is iets nieuws en ik denk dat men daar iets te obsessief streng mee bezig is. Het gaat hier om een ernstig gezondheidsprobleem. Er is ook een infectieziektewetgeving die in principe toelaat alles te vragen wat je nodig hebt om de volksgezondheid te vrijwaren", aldus Arrazola de Oñate.

Volgens de Gegevensbeschermingsautoriteit is er bij contactonderzoek sprake van een inbreuk op de privacy. "In die zin dat er vragen worden gesteld die anders niet zouden worden gesteld. Dus ja, er moet een duidelijk en ordentelijk wettelijk kader zijn. We zijn op dit moment de wetgeving die daarvoor wordt voorgesteld aan het bekijken. Binnenkort zullen we daarover een advies geven", zegt voorzitter David Stevens tegenover VRT NWS.

Een Koninklijk Besluit van eind juni maakt het mogelijk voor Belgische contactonderzoekers om bepaalde dingen te vragen, zoals naam, de Belgische tegenhanger van het BSN, contactgegevens en waar men is geweest. De Gegevensbeschermingsautoriteit vindt het geen probleem wanneer contactbezoekers naar bezochte locaties vragen. "Het komt erop aan een evenwicht te vinden tussen de bescherming van privacy en volksgezondheid", zo stelt de privacytoezichthouder.

Reacties (13)
21-07-2020, 09:58 door karma4
Als het rond andere ziektes dalt al 40 jaar (en langer) met een gegronde reden gebeurt, waarom is daarover zo weinig vastgelegd? Is het wel vastgelegd maar verspreid over vele wetten en met maatregelen van bestuur dan is het beter dat eens te verzamelen in een makkelijk terug te vinden overzicht.
21-07-2020, 10:28 door Anoniem
Het vragen lijkt mij niet tegen de GDPR ingaan. Het geven van de antwoorden en het vastleggen daarvan mogelijk wel. Voor zover ik weet, is de ondervraagde niet tot antwoorden verplicht en staat de ondervraagde niet onder ede.
21-07-2020, 10:29 door Anoniem
Waarschijnlijk is het verschil nu dat Covid zo massaal is.

Als er in het verleden één persoon met Ebola in België zou zijn, dan vond iedereen het prima dat je je uiterste best doet om eventuele besmette personen te vinden.
Ondanks dat het een privacy inbreuk is, blijft het maar beperkt tot een zeer klein aantal mensen.

Bij Covid word het al snel een privacy inbreuk tegen de helft van de bevolking. Niet vreemd dat mensen dan eens wat beter naar de wetgeving gaan kijken en wat meer regels willen opstellen.
21-07-2020, 10:46 door MathFox
Door karma4: Als het rond andere ziektes dalt al 40 jaar (en langer) met een gegronde reden gebeurt, waarom is daarover zo weinig vastgelegd?
Ik denk dat die privacytoezichthouder het volksgezondheidsdeel van de Belgische wet niet kent. Ja, contactonderzoek is een inbreuk op de privacy, maar die is wettelijk toegestaan en in het algemeen belang.
Als je specifiek vraagt naar de smartphone app, daar zullen nog geen specifieke regels voor zijn. Zolang die app op basis van vrijwilligheid is zie ik geen bezwaren.
21-07-2020, 11:31 door Erik van Straten - Bijgewerkt: 21-07-2020, 11:35
Door MathFox: Ik denk dat die privacytoezichthouder het volksgezondheidsdeel van de Belgische wet niet kent. Ja, contactonderzoek is een inbreuk op de privacy, maar die is wettelijk toegestaan en in het algemeen belang.
Maar dat betekent toch niet dat privacy irrelevant is?

Wat als door de GGD ingeschakelde callcentermedewerkers (on-) gezondheidinformatie van BN'ers aan de roddelpers verkopen? Of die callcenters tevens opdrachten voor ziektekostenverzekeringsmaatschappijen uitvoeren en hun twee petten onvoldoende scheiden? Of gegevens op een slecht beveiligde cloudserver worden opgeslagen?

Je kunt niet grote bedrijven zoals Google, Apple, Microsoft, Facebook, TikTok etc. verplichten zich aan de wet te houden, als je dat zelf niet doet als overheid.

Ik ben benieuwd of de Nederlandse GGD'en al een DPIA hebben uitgevoerd en welke maatregelen zij hebben genomen om de privacy van betrokkenen te waarborgen (de Britse overheid heeft ondertussen toegegegen dat ze dat vergeten zijn; zie https://www.theregister.com/2020/07/20/uk_test_trace_data_protection/ en https://www.zdnet.com/article/test-and-trace-program-skipped-gdpr-privacy-assessment/).

Een schandaal waarbij gegevens van besmette en mogelijke besmette mensen op straat komen te liggen en/of op andere wijze in onterechte handen vallen, kunnen we nu echt niet gebruiken - omdat dit ertoe zal leiden dat nog minder mensen zich door de GGD zullen laten testen, uitvragen en informatie prijsgeven.
21-07-2020, 11:47 door MathFox
@Erik van Straten, je hebt groot gelijk dat de uitvoering van het contactonderzoek op een wijze moet geschieden die de privacy minimaal schaadt, rekening houden met het belang en doel van het onderzoek.

De GGD's hebben een protocol voor contactonderzoek en, voor zover ik weet, behandelen ze de verzamelde gegevens als "medische informatie". Of ze een DPIA uitgevoerd hebben zou ik niet weten, vind ik op het ogenblik minder interessant dan dat ze proberen om de informatie zorgvuldig te verwerken. (Al is het maar volgens de regels van 20 jaar geleden.)
21-07-2020, 15:14 door Anoniem
GDPR is iets nieuws en ik denk dat men daar iets te obsessief streng mee bezig is.
En zo redeneert iedereen vanuit zijn eigen straatje, de overheid voorop. Ik ben toch wel heel blij dat privacy in wetten verankert is en dat de AVG toch grip op dit soort partijen weet te krijgen. Voorheen was het een rommeltje. Als dat niet zo was, dan had men nu niet heel veel problemen met AVG gehad.
21-07-2020, 16:32 door karma4
Door MathFox:
Ik denk dat die privacytoezichthouder het volksgezondheidsdeel van de Belgische wet niet kent. Ja, contactonderzoek is een inbreuk op de privacy, maar die is wettelijk toegestaan en in het algemeen belang.
Zijn we het snel eens.

Als je specifiek vraagt naar de smartphone app, daar zullen nog geen specifieke regels voor zijn. Zolang die app op basis van vrijwilligheid is zie ik geen bezwaren.
Ik zit met de afhankelijkheid van Google en Apple, dat is nog niet eens wat fundamenteel niet goed is.
Het opgelegde deel da zij in theorie overal toegang kunnen krijgen wel. Het was handiger en slimmer geweest het als geencrypt bericht naar de ggd's te zien. scheiding van functies. Dan wordt de contactenlijst meteen ook helderder als taak bij broncontactonderzoek en niet iets wat vrijblijvend is. Het valt al snel onder medisch met vele regels.

Er is een wet publieke gezondheid https://wetten.overheid.nl/BWBR0024705/2020-07-01 In zoiets kan je geen aandoeningen ziektes met naam toenaam opnemen.
22-07-2020, 11:05 door [Account Verwijderd]
Door karma4:
Door MathFox:
Ik denk dat die privacytoezichthouder het volksgezondheidsdeel van de Belgische wet niet kent. Ja, contactonderzoek is een inbreuk op de privacy, maar die is wettelijk toegestaan en in het algemeen belang.
Zijn we het snel eens.

Als je specifiek vraagt naar de smartphone app, daar zullen nog geen specifieke regels voor zijn. Zolang die app op basis van vrijwilligheid is zie ik geen bezwaren.
Ik zit met de afhankelijkheid van Google en Apple, dat is nog niet eens wat fundamenteel niet goed is.
Het opgelegde deel da zij in theorie overal toegang kunnen krijgen wel. Het was handiger en slimmer geweest het als geencrypt bericht naar de ggd's te zien. scheiding van functies. Dan wordt de contactenlijst meteen ook helderder als taak bij broncontactonderzoek en niet iets wat vrijblijvend is. Het valt al snel onder medisch met vele regels.

Er is een wet publieke gezondheid https://wetten.overheid.nl/BWBR0024705/2020-07-01 In zoiets kan je geen aandoeningen ziektes met naam toenaam opnemen.

Daar gaat hij weer: Al bijna 12.000 reacties. Kom nu eens met bewijzen i.p.v. van fake opmerkingen 'dat Apple overal toegang kan krijgen'

Gewoon alleen bronnnen, URL's dus!. Geen de hete brij ontwijkend gepraat.
Gaat u dat doen Karma4?
Ik wacht af, en met mij andere geïnteresseerden!
22-07-2020, 14:18 door Anoniem
Dus als iemand belt en die zegt dat hij/zij van een GGD is dan gelooft iedereen dat meteen en geeft men allerlei medische informatie incl BSN door...?
23-07-2020, 09:07 door karma4 - Bijgewerkt: 23-07-2020, 09:08
Door Piet Slagwerker: .....Gaat u dat doen Karma4?
Ik wacht af, en met mij andere geïnteresseerden!
Apple en Google lijken bij jou heilig die nooit wat privacyschendend zouden kunnen doen. Laten we eens kijken naar wat links.

https://www.security.nl/posting/661426/Hoogleraar+computerbeveiliging+kritisch+over+afhankelijkheid+van+Apple+en+Google+bij+corona-app "kritiek op het contactonderzoekplatform van Apple en Google, dat hij een wolf in schaapskleren noemde."
Met psd2 dezelfde kritiek [urlhttps://ibestuur.nl/weblog/PSD2-een-Europese-strategische-blunder[/url] Het wijzen naar Google en Apple als veel te machtige grote commercielen.

Wat is meer bekend:
- Apple en Google hebben in de api die zij beheren het encrypten en verspreiden van besmetten personen opgelegd,
https://www.apple.com/covid19/contacttracing en https://www.google.com/covid19/exposurenotifications/
- blue tooth toegang was zonder die api bij Apple niet constant te gebruiken, afgeschermd.
- De eisen voor contacttracing zijn: https://www.ecdc.europa.eu/en/covid-19-contact-tracing-public-health-management. Het is geen vrijblijvend iets bij een persoon maar de verantwoordelijk rol van onderzoek ligt bij de GGD.
- Die rol van de GGD is wettelijk onderbouwd. De Nederlandse wet met link heb je hierboven.
- Zonder Api Google/Api kan je vermoedelijk ook genoeg doen, de onderbouwing begint los te komen bij de eerste onderzoeken. Het is vreemd dat vanuit privacy experts beweerd is dat er geen gegrond doel zou bestaan.
https://ec.europa.eu/digital-single-market/en/news/coronavirus-mobility-data-provides-insights-virus-spread-and-containment-help-inform-future

De laatste is deze reeks is het plaatsten van blue-tooth toegang in dezelfde groep van rechten als locatie data met gps.
Het redactieartikel gaat er over dat men die beslissing van Apple Google zeer ongewenst vindt.
De Api is door Apple en Google uitgerold, niemand had een keus, zij bepalen wat dat api doet. Het encrypten en opslaan is in hun ontwerp met een door hun bepaalde random sleutel vereist. Het bepalen of een besmet persoon met een ander toestel in de buurt is geweest vereist dat downloaden van gegevens, lees de api specs in de links.

Bewijs nu eens met al die mogelijkheden en macht die deze giganten tonen dat ze niet die mogelijkheid hebben om overal bij te kunnen. In de FBI Apple case gaf Aapple zelf aan dat alles open zou liggen als ze de gewenste software zouden geven,
23-07-2020, 17:55 door [Account Verwijderd]
Door karma4:
Door Piet Slagwerker: .....Gaat u dat doen Karma4?
Ik wacht af, en met mij andere geïnteresseerden!
Apple en Google lijken bij jou heilig die nooit wat privacyschendend zouden kunnen doen.

Waar baseer je dat op? Je laat al meteen doorschemeren dat jouw zekerheden drijven op een moeras van aannames. Ik heb niets van Apple en Google staat bij mij in Noscript gemodificeerd door mij op de standaard: weigeren.

Laten we eens kijken naar wat links.


https://www.security.nl/posting/661426/Hoogleraar+computerbeveiliging+kritisch+over+afhankelijkheid+van+Apple+en+Google+bij+corona-app "kritiek op het contactonderzoekplatform van Apple en Google, dat hij een wolf in schaapskleren noemde."
Met psd2 dezelfde kritiek [urlhttps://ibestuur.nl/weblog/PSD2-een-Europese-strategische-blunder[/url] Het wijzen naar Google en Apple als veel te machtige grote commercielen.

Wat is meer bekend:
- Apple en Google hebben in de api die zij beheren het encrypten en verspreiden van besmetten personen opgelegd,
https://www.apple.com/covid19/contacttracing en https://www.google.com/covid19/exposurenotifications/
- blue tooth toegang was zonder die api bij Apple niet constant te gebruiken, afgeschermd.
- De eisen voor contacttracing zijn: https://www.ecdc.europa.eu/en/covid-19-contact-tracing-public-health-management. Het is geen vrijblijvend iets bij een persoon maar de verantwoordelijk rol van onderzoek ligt bij de GGD.
- Die rol van de GGD is wettelijk onderbouwd. De Nederlandse wet met link heb je hierboven.
- Zonder Api Google/Api kan je vermoedelijk ook genoeg doen, de onderbouwing begint los te komen bij de eerste onderzoeken. Het is vreemd dat vanuit privacy experts beweerd is dat er geen gegrond doel zou bestaan.
https://ec.europa.eu/digital-single-market/en/news/coronavirus-mobility-data-provides-insights-virus-spread-and-containment-help-inform-future

De laatste is deze reeks is het plaatsten van blue-tooth toegang in dezelfde groep van rechten als locatie data met gps.
Het redactieartikel gaat er over dat men die beslissing van Apple Google zeer ongewenst vindt.
De Api is door Apple en Google uitgerold, niemand had een keus, zij bepalen wat dat api doet. Het encrypten en opslaan is in hun ontwerp met een door hun bepaalde random sleutel vereist. Het bepalen of een besmet persoon met een ander toestel in de buurt is geweest vereist dat downloaden van gegevens, lees de api specs in de links.

Bewijs nu eens met al die mogelijkheden en macht die deze giganten tonen dat ze niet die mogelijkheid hebben om overal bij te kunnen. In de FBI Apple case gaf Aapple zelf aan dat alles open zou liggen als ze de gewenste software zouden geven,

Dat is nu juist het punt. Het stopt bij de gedegen onderbouwde aanname(s) - dank voor de betreffende links - daar waar jij ook moet stoppen (wat je niet doet) omdat er geen jurisprudentie is waar uit blijkt dat deze aantijgingen/aannames in de realiteit zijn gebeurd. Ook al geeft Apple zelf aan dat ze het kunnen; kom maar eens met het bewijs dat ze het hebben gedaan.

Dat is een kwestie van de juridische zuiverheid/waarheidsvinding betrachten en niet verkrachten door nepnieuws te verspreiden (wat je feitelijk ook doet door maar te blijven volharden)
24-07-2020, 07:25 door karma4 - Bijgewerkt: 24-07-2020, 07:28
Door Piet Slagwerker: Waar baseer je dat op? Je laat al meteen doorschemeren dat jouw zekerheden drijven op een moeras van aannames. Ik heb niets van Apple en Google staat bij mij in Noscript gemodificeerd door mij op de standaard: weigeren. .
Je spreekt jezelf al meteen tegen met de opmerking over noscript en het te weigeren.

Dat is nu juist het punt. Het stopt bij de gedegen onderbouwde aanname(s) - dank voor de betreffende links - daar waar jij ook moet stoppen (wat je niet doet) omdat er geen jurisprudentie is waar uit blijkt dat deze aantijgingen/aannames in de realiteit zijn gebeurd. Ook al geeft Apple zelf aan dat ze het kunnen; kom maar eens met het bewijs dat ze het hebben gedaan.

Dat is een kwestie van de juridische zuiverheid/waarheidsvinding betrachten en niet verkrachten door nepnieuws te verspreiden (wat je feitelijk ook doet door maar te blijven volharden)
Dan is het ook allemaal nepnieuws wat in het nieuws gezet waarvoor bewijzen ontbreken aannames gedaan worden en er geen defnitieve rechterlijke uitspaak is. Wat je eist is het mond dicht geen kritiek commentaar demonstratie als je het niet bevalt. Het komt neer op een verbod op vrijheid van spreken en verbod op gebruik van fora.

Ik verwees naar B.Jacobs hij is bij door de mand gevallen met zijn uit spraak "als dat waar is dan .." wat als vaststaand bewijs in de media gebruikt is.Hij zit sterk verweven in de privacy dat als iemand wat je van je weet dat het dan bewezen fout is. Ben je consequent dat vraag daarvan ook dat daar gestopt mee moet worden want geen rechtszaak met uitspraak.

Voor wat betreft de corona app met opgelegde werking naar de GGD's dat die, de GGD's, niet mogen weten wie besmet is van Apple/Google dat is terug te lezen is de Api.
Let wel het artikel gaat er over dat de Belgische privacytoezichthouden het terecht vind dat de GGD werkzaamheden in privacyinbreuk inhouden. Het publieke belang gaat boven die van een enkeling..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.