:format(webp)/s3/static.nrc.nl/bvhw/files/2020/07/data59564052-949cfe.jpg)
De huidige plannen van het kabinet om burgers via hun telefoon te volgen in de strijd tegen Covid-19 mogen niet doorgaan. Dat zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens (AP). Volgens Wolfsen loopt iedere burger met een mobiele telefoon vanwege die spoedwet – die nu bij de Tweede Kamer ligt – een privacyrisico. „Voorlopig is onvoldoende gegarandeerd dat de gegevens die de overheid wil verzamelen anoniem blijven. De noodzaak om deze hypergevoelige data te vergaren is onduidelijk en er zijn onvoldoende waarborgen dat de informatie goed wordt beveiligd”, zegt Wolfsen.
Volgens de kabinetsplannen gaat het Centraal Bureau voor de Statistiek (CBS) bij alle telecomproviders locatiegegevens van mobiele telefoons verzamelen. Het CBS bewerkt deze gegevens om tellingen van mobiele telefoons aan te kunnen leveren bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). Dat hoopt daarmee nieuwe uitbraken van het coronavirus te kunnen indammen.
In een persbericht van het ministerie van Economische Zaken werd eerder het voorbeeld gegeven van een zaterdagmiddag waarop veel mensen uit Rijswijk in Delft zijn geweest. „Als er in een van die twee gemeenten nieuwe besmettingen worden gevonden, kan het RIVM de lokale GGD informeren dat dat ook in de andere gemeente zo zou kunnen zijn.”
Noodzaak niet aangetoond
Volgens Wolfsen is dit veel te vaag om zo’n ingrijpende maatregel te rechtvaardigen. „Europese wetgeving vereist dat dit soort data alleen mogen worden vergaard als het noodzakelijk is, bijvoorbeeld om een pandemie een halt toe te roepen. Die noodzaak heeft het kabinet nog onvoldoende aangetoond”, zegt Wolfsen.
:format(webp)/s3/static.nrc.nl/bvhw/files/2020/06/data58900166-f7b40b.jpg)
Ook in de Tweede Kamer leven grote zorgen. Een verzoek van het kabinet om het wetsvoorstel nog voor de zomer te behandelen, werd afgewezen. De telecomproviders twijfelen ook. Eerst zeiden ze mee te willen werken, nu verlangen ze betere waarborgen dan in het wetsvoorstel worden omschreven. Naast twijfels over de noodzaak van de gegevens in de strijd tegen Covid-19, is ook onduidelijk of de gegevens niet toch herleidbaar zijn tot personen. „Simpelweg omdat we nog niet precies weten wat we moeten aanleveren”, zegt een woordvoerder van Vodafone/Ziggo.
Messcherp
Volgens Wolfsen van de AP moet dat „messcherp” in de wet worden omschreven. ,,Politie en veiligheidsdiensten kunnen straks ook bij de data. Nu mogen ze die alleen na toestemming van de rechter of officier van justitie opvragen bij de telecomproviders wanneer het noodzakelijk is voor de opsporing. Als de gegevens van bijna alle Nederlanders bij het CBS te de-anonimiseren zijn, dan wordt het verleidelijk om ze daar te gaan bekijken. Bijvoorbeeld om te zien wie er bepaalde demonstraties bezoekt”, aldus Wolfsen.
Een ander belangrijk punt is de bewaartermijn. Volgens het wetsvoorstel moet het CBS de data een jaar lang opslaan. Dat vindt de AP veel te lang. Daarmee worden ze extra kwetsbaar voor hackpogingen. Wolfsen verwijst naar recente datalekken bij het RIVM, waar gegevens van deelnemers aan de Infectieradar waren in te zien, en bij het Centraal Orgaan opvang Asielzoekers. Daar was informatie over slachtoffers van mensenhandel online te bekijken. „Wij vinden dat het CBS de gegevens direct moet vernietigen nadat de tellingen bij het RIVM zijn aangeleverd. Het is ons volstrekt onduidelijk waarom een bewaartermijn van een jaar nodig is”, zegt Wolfsen.
Bezorgde burgers
De AP zegt nu al aan de bel te trekken, omdat het veel telefoontjes krijgt van bezorgde burgers, die willen weten wat de privacywaakhond gaat doen. Eerdere suggesties voor verbetering zijn volgens de AP onvoldoende verwerkt in het uiteindelijke wetsvoorstel. Mocht het kabinet de plannen niet aanpassen, dan denkt Wolfsen dat ze uiteindelijk zullen sneuvelen bij de rechter. „Klachten die bij ons worden ingediend, moeten wij dan gegrond verklaren. Partijen kunnen daarmee naar de rechter stappen, die ons waarschijnlijk gelijk zal geven en de wet buiten werking zal stellen.”
Onlangs bleek het CBS in de voorbije jaren al proefprojecten te hebben gedaan met locatiedata van mobiele bellers. De AP onderzoekt nog of het statistiekbureau hierbij de privacywetgeving heeft gerespecteerd.