De Europese Commissie vraagt om metadata van burgers in de strijd tegen het coronavirus
In de huidige tijd van de wereldwijde strijd tegen het Coronavirus en het inzetten van alle beschik- en denkbare middelen tegen het bestrijden daarvan, heeft De Europese Commissie (EC) maandag 23 maart jl. de Europese telecombedrijven verzocht om geanonimiseerde gegevens van mobiele apparaten met haar te delen. Deze gegevens wil de EC gebruiken om daarmee de uitbraak van COVID-19 analyseren. De informatie waar de EC om vraagt zijn metadata.
Onder metadata wordt –simpel gezegd – verstaan: informatie over informatie. Denk hier bijvoorbeeld aan data waaruit blijkt hoe vaak je met je collega chat dan wel wanneer je wekelijks het meeste aantal e-mails verzend (bijvoorbeeld altijd op vrijdag 16:00). Het kan ook data betreffen waaruit kan worden afgeleid wanneer je waar bent geweest.
Hoewel metadata niet direct inhoudelijke informatie bevat (dus niet de teksten van de berichten die jij aan je collega stuurt), kan daaruit wel inhoudelijke informatie worden afgeleid. Dit kan bijvoorbeeld al uit een mailtje dat de ene collega naar de andere stuurt op een willekeurige maandagochtend om 9.52 uur met als onderwerp “Koffie?”.
The Economist publiceerde 17 maart jl. een onderzoek over de verspreiding van het coronavirus, waarvoor ze gebruik hebben gemaakt van metadata van Instagram. Zij ontdekten een mogelijk verband tussen de verspreiding van het virus en de informatie over de locaties van Instagramgebruikers die, volgens hen, mogelijk COVID-19 zouden kunnen hebben.
Maar hoe zit het nu eigenlijk met de privacyregelgeving en het gebruik van metadata?
De privacyregelgeving (waaronder de Algemene Verordening Gegevensbescherming “AVG”) is van toepassing op de verwerking van persoonsgegevens. Dit zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Persoonsgegevens kunnen direct informatie verschaffen over een individu, zoals iemands voor- en/of achternaam, dan wel indirect, zoals, bijvoorbeeld, over de locatie waar iemand boodschappen doet, waar je mogelijk informatie over het inkomen van die persoon uit kan afleiden.
In de AVG wordt onderscheid gemaakt tussen normale persoonsgegevens en gevoelige - of bijzondere persoonsgegevens (o.a. over iemands gezondheid, geaardheid, geloof, politieke opvattingen, religieuze overtuigingen, biometrische gegevens en andere gegevens die gevoelig zijn voor een individu). Het gebruik van gevoelige - of bijzondere persoonsgegevens is in beginsel verboden, tenzij je aan bepaalde wettelijke vereisten voldoet.
Metadata zijn eigenlijk bijna altijd persoonsgegevens omdat uit metadata veel informatie kan worden afgeleid over een individu.
De EC wil nu dus graag de telecomgegevens van individuen gebruiken, waaronder locatiegegevens, voor haar onderzoek. In het kader van locatiegegevens heeft het Hof van Justitie van de Europese Unie echter in 2016 (HvJEU 21-12-2016, ECLI:EU:C:2016:970, Tele 2 Sverige) bepaald dat dit gevoelige (dus bijzondere) gegevens kunnen zijn. De Europese privacywaakhond (de European Data Protection Board, “EDPB”) en haar voorganger (de Artikel 29 Werkgroep) maakten eerder ook al duidelijk dat het gebruik van locatiegegevens indringend kan zijn voor betrokkenen en privacyrisico’s kan inhouden voor betrokkenen.
Metadata kwalificeren echter niet meer als persoonsgegevens als ze voldoende worden geanonimiseerd. Dit is het geval wanneer de gegevens niet meer herleidbaar zijn tot een individu. In dat geval is de privacywetgeving niet meer van toepassing op de verwerking van de metadata.
De EC heeft, om die reden, aangegeven alleen geanonimiseerde metadata te willen gebruiken voor haar onderzoek. Maar hoe zorgt de EC ervoor dat de metadata worden geanonimiseerd en dat dit niet afdoet aan het verkrijgen van inzicht in de virusverspreiding? Vooral bij locatiegegevens is het namelijk nog maar de vraag of deze überhaupt kunnen worden geanonimiseerd. Er kan namelijk veel persoonlijke informatie worden afgeleid van een dataset aan locatiegegevens, zelfs zonder dat deze informatie wordt gecombineerd met andere persoonsgegevens.
De EC mag alleen maatregelen nemen die noodzakelijk zijn om haar doel te bereiken, namelijk: inzicht krijgen in de verspreiding van het virus. Daarbij moet zij bovendien ook altijd voorkeur geven aan de minst (voor de betrokkenen) indringende maatregelen. Het belang van gezondheid en het recht op privacy hoeven elkaar niet in de weg te staan, maar kunnen samen geborgd worden. Zo is de hoop dat het gebruik van deze gegevens uiteindelijk zal helpen bij het bestrijden van het coronavirus, en dat die gegevens zo worden gebruikt dat het een minimale inbreuk maakt op de privacy van Europese burgers. Hoe de EC hieraan specifiek invulling denkt te geven, zal uiteindelijk moeten blijken uit aanvullende informatie over het voorgenomen onderzoek.