Advies Afdeling advisering Raad van State en Nader rapport : Advies Afdeling advisering Raad van State en Nader rapport
35 538 Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19)
Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1
Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State
d.d. 19 augustus 2020 en het nader rapport d.d. 21 augustus 2020, aangeboden aan de
Koning door de Minister van Volksgezondheid, Welzijn en Sport. Het advies van de Afdeling
advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van Uw Kabinet van 13 juli 2020, no. 2020001500,
machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake
het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies,
gedateerd 19 augustus 2020, no. W13.20.0254/III, bied ik U hierbij aan.
De tekst van het advies treft u hieronder aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 13 juli 2020, no. 2020001500, heeft Uwe Majesteit, op voordracht
van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering
van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende
Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de
bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik
daarvan (Tijdelijke wet notificatieapplicatie covid-19), met memorie van toelichting.
Het voorstel wijzigt de Wet publieke gezondheid (Wpg), en introduceert het vrijwillige
gebruik van een notificatieapplicatie (hierna: de app). Deze app wordt gebruikt ten
behoeve van de bron- en contactopsporing door de gemeentelijke gezondheidsdiensten
(GGD’en). Het voorstel bevat een wettelijke grondslag voor de met de toepassing van
de app samenhangende gegevensverwerking en een regeling voor de verwerkingsverantwoordelijkheid.
Voorts is in het voorstel een mogelijkheid van subdelegatie opgenomen wat betreft
regels voor de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere
persoonsgegevens en de uitoefening van de rechten van betrokkene. Ten slotte kent
het voorstel een antimisbruikbepaling en regelt het de handhaving en sanctionering
daarvan.
De Afdeling advisering van de Raad van State gaat allereerst in op de noodzaak voor
een wettelijke grondslag. Ook maakt de Afdeling een aantal opmerkingen over de gegevensbescherming.
Zij wijst in het bijzonder op het specificeren van het doeleinde en het beperken van
verdere gegevensverwerking. Ook gaat zij in op het verwerken van bijzondere persoonsgegevens,
de daarmee samenhangende verwerkingsverantwoordelijkheid, en het zorgdragen voor de
uitoefening van de rechten van betrokkenen. Zij maakt in het kader van gegevensbescherming
ook een opmerking over de rol van Google en Apple.
Tevens maakt de Afdeling een opmerking over de mogelijkheid tot subdelegatie ten aanzien
van de bewaartermijn en de rechten van betrokkenen. Verder wijst zij op het belang
van parlementaire betrokkenheid, ook bij het intrekken van (onderdelen) van het voorstel.
Voorts maakt zij een opmerking over het opnemen van een juridische grondslag in het
voorstel ten behoeve van de interoperabiliteit. Tot slot adviseert ze de criteria
voor deactivering nader toe te lichten. In verband daarmee is aanpassing van het wetsvoorstel
en de toelichting wenselijk.
1. Inleiding
Het wetsvoorstel hing oorspronkelijk samen met de eerder ingezette versoepeling van
de maatregelen ter bestrijding van de epidemie van Covid-19. Bij de afbouw van maatregelen
kan een goed functionerend systeem van bron- en contactopsporing door de gemeentelijke
gezondheidsdienst (GGD) als onmisbaar worden beschouwd. Het voorstel is evenwel zeker
ook goed voorstelbaar in het licht van de recente significante stijging van het aantal
Covid-19 besmettingen, en van de daaropvolgende inzet van de overheid om verder oplopende
verspreiding van het virus te bestrijden.
De GGD heeft op grond van de Wpg de taak om bron- en contactopsporing te doen bij
meldingen van besmetting met een infectieuze ziekte zoals het virus.2 Dit houdt kortgezegd in dat de GGD onderzoekt met wie een besmette patiënt contact
heeft gehad, met diegenen contact opneemt en vervolgens hen een handelingsperspectief
biedt. Dit heeft als doel de uitbraak van een epidemie te voorkomen of te beheersen.
De uitvoering van de bron-en contactopsporing is vormvrij. Uitgangspunt is dat dit
in alle gevallen plaatsvindt op grond van vrijwillige medewerking van de betrokkenen.
Het Outbreak Management Team (OMT) heeft geadviseerd om met het oog op het intensievere
testbeleid de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp
van mobiele applicaties te onderzoeken.3 Ook andere Europese lidstaten ontwikkelen dergelijke apps. De voorgestelde app komt
overeen met de notificatieapp zoals die wordt ontwikkeld in Duitsland, Italië en Ierland.4
De notificatieapp is bedoeld als niet-verplichte aanvulling op de analoge bron- en
contactopsporing van de GGD en komt niet in plaats van het analoge onderzoek. De aanvulling
bestaat eruit dat door de app (sneller) personen worden bereikt die de besmette patiënt
niet kent of waarvan de besmette patiënt zich niet kan herinneren daarmee in contact
te zijn gekomen.
De notificatieapp werkt kortgezegd als volgt. Een gebruiker installeert de app op
de telefoon. De app herkent andere gebruikers door middel van bluetooth. De app geeft
een melding als de smartphone van de gebruiker in de buurt is geweest van de smartphone
van een besmette persoon en geeft daarbij advies hoe te handelen. Als de (smartphone
van de) gebruiker van de app tenminste 15 minuten bij een andere (smartphone van een)
gebruiker van de app in de buurt is, wordt een versleutelde code uitgewisseld tussen
de gebruikers van de app. Pas in geval van een geconstateerde besmetting kan de besmette
patiënt ervoor kiezen met hulp van de GGD een melding van besmetting te doen. In dat
geval wordt gecheckt met welke andere app-gebruikers in de afgelopen 14 dagen deze
codes zijn uitgewisseld. Vervolgens ontvangen die gebruikers een melding en wordt
hen geadviseerd hoe te handelen.5
Het gebruik van de app is expliciet vrijwillig. Voor de effectiviteit van de app is
het van belang dat zoveel mogelijk mensen de app gaan gebruiken. Terecht wordt dan
ook in de toelichting opgemerkt dat de doeltreffendheid van de app exponentieel evenredig
is met het aantal personen dat eenzelfde app installeert en activeert.6 Voor de effectiviteit is daarnaast echter ook relevant dat er zo min mogelijk valspositieve
en valsnegatieve meldingen worden gedaan, dat de door de GGD bij de melding geadviseerde
handelingsperspectieven zo snel en volledig mogelijk worden opgevolgd (waaronder
het zich laten testen), en het testbeleid daarop aansluit. De Afdeling stelt vast
dat over de mate waarin de app op dit moment effectief is de opvattingen verschillen.7
Gelet op de maatschappelijke discussie over mogelijk misbruik van de app en de effectiviteit
ervan, acht de Afdeling het van belang dat in de voorbereiding van de ingebruikname
van de app veel aandacht is besteed aan het onderkennen van de mogelijkheden van misbruik
en de risico’s van de met de app samenhangende gegevensverwerkingen, alsmede aan het
formuleren van mogelijke oplossingen daarvoor. Ook zal, zo blijkt uit de toelichting,
de effectiviteit van de app steeds worden geëvalueerd. Indien nodig kan dit ertoe
leiden dat het gebruik van de app wordt beëindigd.8
2. Noodzaak wettelijke grondslag
In de toelichting wordt vermeld dat het wetsvoorstel zo snel mogelijk in werking treedt.9 Uit de kabinetsbrief van 16 juli j.l. kan worden opgemaakt dat wordt beoogd de app
per 1 september 2020 in gebruik te nemen.10 Daarmee zal de app naar verwachting in gebruik worden genomen voordat de parlementaire
behandeling van het wetsvoorstel is afgerond. De Afdeling is met de regering van oordeel
dat dit op zichzelf mogelijk is. Strikt genomen is een wettelijke basis voor vrijwillig
gebruik van de app juridisch niet noodzakelijk. Verdedigbaar is dat vanwege het feit
dat gebruik vrijwillig is toestemming, gelet op de AVG,11 een toereikende grondslag vormt voor met gebruik van de app samenhangende verwerkingen
van persoonsgegevens, mits aan de voorwaarden die op grond van de AVG aan de verlening
van rechtsgeldige toestemming worden gesteld,12 wordt voldaan.
Het voorgaande betekent echter niet dat totstandbrenging van een wettelijke basis
op zeer korte termijn niet bijzonder gewenst is. Met het in gebruik nemen van de app
voordat het wetgevingsproces is afgerond wordt immers afbreuk gedaan aan een belangrijke
doelstelling van het wetsvoorstel. Die doelstelling is namelijk maximale duidelijkheid
bieden over de inzet van de app en de te verwerken persoonsgegevens op wetsniveau.
Dit draagt bij aan de effectieve werking van de voor de bestrijding van de epidemie
essentiële bron- en contactopsporing.13 Met een wettelijke grondslag kunnen voorts specifieke waarborgen worden geboden zoals
het voorgestelde verbod op misbruik. Deze antimisbruikbepaling borgt immers de vrijwilligheid
van het gebruik van de app.
De recente significante stijging van het aantal coronavirusbesmettingen en de grote
urgentie om deze zo veel en zo snel als mogelijk onder controle te krijgen kan niettemin
een rechtvaardiging zijn de app toch snel in gebruik te nemen zelfs als dat betekent
dat de voltooiing van het wetgevingsproces niet kan worden afgewacht. De Afdeling
adviseert in dat geval wel deze afweging in overleg met de Tweede Kamer te maken in
het licht van de te verwachte duur van de parlementaire behandeling van dit wetsvoorstel.
Daarbij zou gelet op de geschetste voordelen van de wet, gestreefd moeten worden naar
een behandeling op zo kort mogelijke termijn, zoals ook is aangegeven in de kabinetsbrief
van 17 augustus j.l.14
De Afdeling adviseert in de toelichting nader op het voorgaande in te gaan.
Reactie:
Voordat de regering op het advies ingaat, wil zij eerst grote waardering uitspreken
voor de snelle advisering door de Afdeling.
De Afdeling is met de regering van oordeel dat, mede in het licht van de huidige ontwikkelingen
rondom de toename van het aantal besmettingen en de noodzaak dit een halt toe te roepen,
toestemming van betrokkene voldoende basis biedt voor de verwerking van persoonsgegevens
in het kader van notificatieapp en daarmee tevens voor een eventuele ingebruikneming
van de app voordat het gehele wetgevingsproces is doorlopen. De Afdeling volgt hiermee
het oordeel van de Europese Data Protection Board, welke tevens heeft aangegeven dat
de verwerking van (bijzondere) persoonsgegevens in het kader van een notificatieapp
kan plaatsvinden op basis van toestemming van betrokkene. Ook andere lidstaten zoals
onder meer Duitsland en Ierland werken overigens met toestemming als grondslag voor
de aldaar gebruikte notificatieapps. Ik lees het advies als een uitnodiging om zo
spoedig mogelijk in overleg te treden met de Tweede Kamer over de mogelijkheid, om
de app in gebruik te nemen. De toelichting is op dit punt aangevuld in paragraaf 1
en paragraaf 7.1.
3. Gegevensbescherming
a. Doelomschrijving
Voorgesteld wordt dat een notificatieapplicatie kan worden ingezet «ter ondersteuning
van de bron- en contactopsporing, waarmee vroegtijdig zicht kan worden verkregen op
een mogelijke infectie met dat virus».15
Op grond van de AVG moet het doel van de gegevensverwerking welbepaald en uitdrukkelijk
omschreven zijn.16 De richtsnoeren van de Commissie bevelen bovendien aan om het doel dermate specifiek
te omschrijven dat er geen twijfel bestaat over het soort persoonsgegevens dat met
het oog daarop moet worden verwerkt. Ten aanzien van de functionaliteit «contacttracering
en waarschuwing» merkt de Commissie bovendien op dat het enkel vermelden van preventie
van verdere besmetting met COVID-19 als doel onvoldoende specifiek is. De richtsnoeren
bevelen aan het doel inzake contacttracering en waarschuwing te specificeren als «het
bewaren van de contacten van de personen die de app gebruiken en die mogelijk blootgesteld
zijn geweest aan besmetting met COVID-19 om degenen te waarschuwen die eventueel besmet
kunnen zijn».17
Gelet hierop is de formulering van het doel van de notificatieapp in het wetsvoorstel
niet specifiek genoeg.18 De Afdeling adviseert in het voorstel het doel in de hiervoor genoemde zin aan te
passen.
Reactie:
Het advies van de Afdeling is overgenomen. Artikel 6d, eerste lid, is in voorgestelde
zin aangevuld. Daarnaast is in het tweede lid van artikel 6d gespecificeerd welke
gegevens in het kader van de app mogen worden gebruikt.
b. Beperking gegevensverwerking
De met de app verkregen persoonsgegevens mogen niet worden gebruikt voor andere doeleinden
dan het in de wet omschreven doel,19 aldus de toelichting.20 Dit is in overeenstemming met de Europese maatstaven. Volgens de richtsnoeren van
de Commissie zou in de wettelijke grondslag voor de app onder meer de mogelijkheid
moeten worden uitgesloten dat de gegevens voor andere dan de in de wetgeving vermelde
doeleinden worden verwerkt.21 Ook de richtsnoeren van het Europees Comité voor de gegevensbescherming vereisen
een uitdrukkelijke beperking op het verdere gebruik van persoonsgegevens.22
Dat de gegevens niet mogen worden gebruikt voor andere doeleinden wordt volgens de
toelichting onder meer gewaarborgd door de eisen aan de vormgeving van de app, het
in de wet omschreven doel, de antimisbruikbepaling, de toegepaste dataminimalisatie
en het tijdelijk karakter van de wet.23 Voorts is van belang dat de gegevens zich voornamelijk bevinden op de smartphone
van de gebruiker. Deze bewaart alleen de gegevens van de laatste twee weken. De gegevens
op de server worden daarnaast gescheiden van het IP-adres van de smartphone.24
De Afdeling erkent dat de voorgaande, ook in de toelichting genoemde elementen met
het oog op de doelbinding belangrijke waarborgen zijn. Desalniettemin is het, gelet
op de gevoeligheid van het onderwerp, het belang van vertrouwen in de app en de hiervoor
genoemde richtsnoeren, aangewezen dat in het wetsvoorstel verder gebruik van persoonsgegevens
uitdrukkelijk wordt uitgesloten.
De Afdeling adviseert het wetsvoorstel in die zin aan te passen.
Reactie:
Het advies van de Afdeling is overgenomen. Aan artikel 6d, derde lid, is een extra
onderdeel (d), in voorgestelde zin toegevoegd. Ook is in de memorie van toelichting
benadrukt dat de gegevens die in het kader van de app worden verwerkt niet voor andere
doeleinden mogen worden verwerkt.
c. Verwerking bijzondere persoonsgegevens door GGD
Het wetsvoorstel regelt dat de GGD bij de toepassing van de app bijzondere persoonsgegevens
verwerkt.25 Noch uit het voorstel, noch uit de toelichting, volgt echter in welke fase(n) van
het gebruik van de app bijzondere persoonsgegevens worden verwerkt. In de gegevensbeschermingseffectbeoordeling
(hierna: DPIA) wordt opgemerkt dat in de validatie-, koppelings- en notificatiefase
sprake is van verwerking van bijzondere persoonsgegevens. In de verschillende fasen
betreffen dit verschillende gegevens, zoals de identificatiesleutels, de autorisatiecode,
de eerste ziektedag, maar ook bijvoorbeeld het bericht aan de gebruiker dat hij mogelijk
besmet is.26
Volgens de DPIA worden de (bijzondere) persoonsgegevens alleen in de validatiefase
door de GGD verwerkt.27 Nu de verwerking van bijzondere persoonsgegevens door de GGD in het voorstel wordt
geregeld, acht de Afdeling het aangewezen om, in overeenstemming met de DPIA, in de
toelichting nader aan te geven welke bijzondere persoonsgegevens door de GGD in welke
fase worden verwerkt.28 Voorts acht zij het nuttig om, mede met het oog op de parlementaire behandeling,
gedeeltes uit de DPIA te verwerken in de toelichting voor zover ook in andere fase(n)
van het gebruik van de app bijzondere persoonsgegevens worden verwerkt.
De Afdeling adviseert in het licht van het voorgaande de toelichting aan te vullen.
Reactie:
De verwerking van gegevens vindt plaats in verschillende fasen. De eerste fase is
de fase voorafgaand aan een de melding van een besmetting. De enige verwerking die
dan plaatsvindt is de verwerking op de telefoon zelf van de eigen TEK’s en de TEK’s
van andere gebruikers waarmee een persoon binnen bluetooth bereik bent geweest. In
deze fase worden er dus alleen gegevens opgeslagen op de telefoon van de appgebruiker
en worden er dus nog geen bijzondere persoonsgegevens verwerkt door de GGD of de Minister.
De tweede fase is de fase waarbij er gegevensuitwisseling plaatsvindt tussen de GGD
en de backend server omtrent een vastgestelde besmetting van een appgebruiker, de
validatiefase. Hierin stuurt de appgebruiker waarbij een besmetting is vastgesteld
zijn eigen TEK’s naar de backend server en stuurt de GGD de validatiecode, het IP-adres
en de dag waarop de eerste ziekteverschijnselen kenbaar werden naar de backend server.
In deze fase worden er dus bijzondere persoonsgegevens door de GGD verwerkt.
De derde fase is de fase waarin de telefoon van de gebruikers van de app, de TEK’s
van de besmette persoon ophaalt van de server, zodat deze door de api vergeleken kunnen
worden met de op de telefoon zelf opgeslagen TEK’s van andere gebruikers waarmee je
binnen bluetooth bereik bent geweest. Voor zover een TEK gezien moet worden als persoonsgegeven,
is er in deze fase dus sprake van verwerking van persoonsgegevens, maar niet van bijzondere
persoonsgegevens, door de beheerder van de server, de Minister.
In de volgende fase worden dus de TEK’s van andere gebruikers waarmee een gebruiker
binnen bluetooth bereik is geweest en die opgeslagen zijn op de eigen telefoon vergeleken
met de TEK’s van de besmette telefoon. Bij een match ontvangt de gebruiker automatisch
een notificatie dat er sprake is geweest van risicovol contact en een handelingsadvies.
De GGD en de Minister zijn niet betrokken bij deze notificatie. Hier is dus geen sprake
van verwerking van (bijzondere) persoonsgegevens.
De toelichting is in overeenstemming met het bovenstaande in paragraaf 3.1 aangevuld
en verduidelijkt.
d. Verwerkingsverantwoordelijkheid
De verwerkingsverantwoordelijkheid is in het voorstel vastgelegd op twee niveaus.
Het voorstel bepaalt dat de Minister verwerkingsverantwoordelijke is in de zin van
de Algemene Verordening Gegevensbescherming (AVG) voor de verwerking van persoonsgegevens
met de app.29 In afwijking daarvan echter wordt de GGD van de verblijfplaats van de betrokkene
aangewezen als verwerkingsverantwoordelijke (onder meer) voor wat betreft het uitvoering
geven aan de rechten van betrokkenen en het melden van een inbreuk in verband met
persoonsgegevens.30 Volgens de toelichting wordt met deze verdeling aangesloten bij respectievelijk de
taken van de Minister in het kader van de Wpg, en de bron- en contactopsporing waarmee
de GGD is belast.31
De verwerkingsverantwoordelijke is volgens de AVG degene die het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt. Als doel en middelen door de nationale
wetgever wordt vastgesteld, kan in de betreffende wet worden bepaald wie de verwerkingsverantwoordelijke
is.32 Als twee (of meer) verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen
van de verwerking bepalen, zijn zij gezamenlijk verwerkingsverantwoordelijken. In
dat geval dienen zij, zo schrijft de AVG voor, hun verantwoordelijkheden voor de nakoming
van hun verplichtingen onderling vast te stellen.33 Bij een gezamenlijke verwerkingsverantwoordelijkheid kan de betrokkene zijn rechten
uitoefenen jegens iedere verwerkingsverantwoordelijke.34 Deze AVG-regels zijn van belang omdat voor de burger duidelijk moet zijn wie waarvoor
verantwoordelijk is en hij als gevolg daarvan weet wie hij op de verwerking van zijn
persoonsgegevens kan aanspreken.
Met het oog op de noodzakelijke helderheid van de burger is de vraag of het voorstel
niet kan worden vereenvoudigd. Het gaat hier ten eerste om de vraag waarom ook de
Minister als verwerkingsverantwoordelijke is aangewezen. Ten tweede zou het voorstel
vereenvoudigd kunnen worden door de verwerkingsverantwoordelijkheid van de GGD’en
in het wetsvoorstel te verduidelijken.
In dat kader merkt de Afdeling allereerst op dat uit onder meer de DPIA blijkt dat
in ieder geval de GGD’en persoonsgegevens verwerken in de validatiefase (zie hiervoor
onder c). Het ligt derhalve voor de hand dat als het gaat om die verwerkingen de GGD
van de verblijfplaats van betrokkene als verwerkingsverantwoordelijken wordt aangewezen.
Uit de toelichting volgt echter niet waarom naast de GGD’en ook de Minister verwerkingsverantwoordelijke
zou moeten zijn. Dat de Minister verantwoordelijk is voor de inrichting en het beheer
van de app leidt niet zonder meer tot de conclusie dat hij ook als verwerkingsverantwoordelijke
moet worden aangewezen. Uit de toelichting blijkt immers niet in hoeverre de Minister
in het kader van zijn beheerstaak ook persoonsgegevens verwerkt.35
Voorts is de vraag of hetgeen het wetsvoorstel op dit moment regelt inzake de verwerkingsverantwoordelijkheid
van de GGD wel afdoende is. Deze beperkt zich tot de toepassing van een aantal bepalingen
uit de AVG die betrekking hebben op de specifieke informatieverplichtingen van de
verwerkingsverantwoordelijke en de uitoefening van de rechten van betrokkenen. Uit
de toelichting blijkt onvoldoende in hoeverre deze beperkingen aansluiten bij de rol
van de GGD’en bij de toepassing van de app in de verschillende fasen.36 Daarbij merkt de Afdeling op dat de verwerking van persoonsgegevens door de GGD’en
in de validatiefase niet zonder meer samenvalt met de verwerking van persoonsgegevens
die samenhangt met de informatieverplichtingen uit de AVG.
De Afdeling merkt ten slotte op dat indien wordt gekozen voor een gezamenlijke verwerkingsverantwoordelijkheid
van de Minister en de GGD’en aandacht moet worden besteed aan de onderlinge regeling
waarin op grond van de AVG de verantwoordelijkheden tussen de Minister en de GGD’en
moet worden geregeld.37 Zij acht het raadzaam de essentiële onderdelen daarvan in de toelichting te expliciteren.
Daarbij dient in acht te worden genomen dat bij een gezamenlijke verwerkingsverantwoordelijkheid
de betrokkene zijn rechten kan uitoefenen jegens elke verwerkingsverantwoordelijke.38
De Afdeling adviseert in het licht van het voorgaande de regeling van de verwerkingsverantwoordelijkheid
nader toe te lichten en zo nodig het voorstel aan te passen.
Reactie:
De Minister van VWS heeft de app ontwikkeld ter uitvoering van zijn taken op grond
van de artikelen 3 en 7 van de Wpg; het geven van leiding aan infectieziektebestrijding,
de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg en
de instandhouding en verbetering van de landelijke ondersteuningsstructuur. In dat
kader voert hij ook het beheer van de app uit, draagt hij zorg voor de back-end server,
sluit hij de daarvoor benodigde verwerkersovereenkomst, voorziet hij in de algemene
informatieverstrekking over de app en voert hij de evaluatie van de app uit. Ook een
mogelijk besluit tot beëindigen van het gebruik van de app wordt door de Minister
geïnitieerd. Daarmee bepaalt de Minister van VWS doel en middelen van de verwerking
van de gegevens die in het kader van de app plaatsvindt. Naar het oordeel van de regering
volgt daar logischerwijs uit dat de Minister van VWS verwerkinsgverantwoordelijke
voor deze verwerking is. Tegelijkertijd verwerken de GGD’en, zoals de Afdeling ook
terecht opmerkt, in de validatiefase persoonsgegevens in het kader van de app en dient
de app ter ondersteuning van de wettelijke taak van de GGD’en tot het doen van bron-
en contactopsporing. Ook de GGD’en zijn derhalve (mede)verwerkingsverantwoordelijke
voor de verwerking van persoonsgegevens die in het kader van de app plaatsvindt. De
regering is het met de Afdeling eens dat er sprake moet zijn van goede onderlinge
afspraken tussen de GGD’en en de Minister van VWS over hun verantwoordelijkheden voor
de nakoming van hun AVG verplichtingen. Het wetsvoorstel regelt daarom dat de Minister
van VWS in algemene zin de verwerkingsverantwoordelijke is voor de verwerking van
persoonsgegevens die in het kader van de app plaats vindt en dat de GGD van de verblijfplaats
van de gebruiker als verwerkingsverantwoordelijke optreedt voor zover het gaat om
de uitoefening van zijn rechten. Deze verdeling sluit het meest aan bij de praktijk
waarbij de Minister van VWS de app beheert en bijvoorbeeld zorg draagt voor de beveiliging
van de in het kader van app verwerkte gegevens, verwerkersovereenkomsten sluit en
voorziet in algemene informatie over app op bijvoorbeeld coronamelder.nl en in de
app zelf. De GGD van de verblijfplaats van een met het virus geïnfecteerde gebruiker
verwerkt, als deze gebruiker daarmee instemt, persoonsgegevens over hem. Zo stuurt
de GGD de eerste dag waarop hij ziekteverschijnselen kreeg en de validatiecode naar
de back-end server. Het ligt dan ook in de rede dat de gebruiker zich tot deze GGD
wendt voor bijvoorbeeld een inzage- of verwijderingsverzoek. Zoals de Afdeling terecht
opmerkt kan de GGD voorafgaand aan de validatiefase geen gevolg aan dergelijke verzoeken
geven. Dat is niet anders voor de Minister van VWS, in deze fase worden er immers
alleen gegevens op de telefoon van de gebruikers verwerkt en de Minister en de GGD
hebben daar geen toegang toe. Dit is een direct gevolg van het feit dat de app is
vormgegeven volgens de principes van dataminimalisatie en privacy by design. Ook in
de volgende fases zal een beroep op deze rechten overigens maar beperkt zijn omdat
de in deze fases verwerkte gegevens vaak niet meer herleidbaar zijn en na uiterlijk
veertien dagen automatisch worden verwijderd. De toelichting is op dit punt aangevuld
in paragraaf 4.2. waarbij ook is verwezen naar artikel 11 van de AVG waaruit volgt
dat de artikelen 15 tot en met 20 van de AVG niet van toepassing zijn als de verwerkingsverantwoordelijke
betrokkene niet (meer) kan identificeren.
Overigens worden er, net als in de pilotfase, ook overeenkomsten gesloten tussen de
Minister van VWS en de GGD’en waarin de uitvoering van de AVG verplichtingen duidelijk
is vastgelegd.
e. Rechten van betrokkenen
De GGD is in het voorstel verwerkingsverantwoordelijke voor wat betreft het uitvoering
geven aan de rechten van betrokkenen en de informatieverstrekking aan gebruikers.39 Volgens de toelichting gaat het dan onder meer om de plicht om gebruikers te informeren,
het recht op inzage en het recht op rectificatie.40 Inherent aan de decentrale aanpak is dat de GGD zelf niet beschikt over de gegevens
die de gebruiker op zijn telefoon heeft. De plaatselijke GGD verwerkt immers alleen
persoonsgegevens tijdens de validatiefase. Daarom is het volgens de DPIA slechts dan
mogelijk uitvoering te geven aan de rechten van betrokkenen.41 Buiten de validatiefase is de GGD op grond van artikel 11, tweede lid, AVG daarom
niet gehouden uitvoering te geven aan deze rechten.42
De Afdeling wijst erop dat de GGD op grond van het voorstel zoals het nu luidt verwerkingsverantwoordelijke
is voor het uitvoeren van de rechten van betrokkenen in álle fasen van het gebruik
van de app. Gelet op voorgaande opmerking en op de uitvoerbaarheid van de regeling
voor de GGD, ligt echter in de rede dat onderscheid wordt gemaakt tussen de gegevensverwerkingen
in de verschillende fasen in relatie tot de verwerkingsverantwoordelijkheid en de
rechten van de betrokkenen die in de verschillende fases kunnen worden uitgeoefend.
De Afdeling onderschrijft dat het gebruik van de gepseudonimiseerde identificatiesleutels
in de uitwisselings- en koppelingsfase en de daaraan gekoppelde notificatie in de
notificatiefase pleit voor toepassing van de hiervoor genoemde uitzondering van artikel 11,
tweede lid, AVG. De betrokkene kan immers in deze fasen niet worden geïdentificeerd.
Daarom is het niet nodig om de GGD in die fasen uitvoering te laten geven aan de rechten
van de betrokkene. Dit ligt echter anders voor de validatiefase, waarin de GGD (bijzondere)
persoonsgegevens verwerkt. In de toelichting wordt hier echter niet op in gegaan.
In het bijzonder besteedt de toelichting geen aandacht aan de gevallen waarin al dan
niet uitvoering zou moeten worden gegeven aan de rechten van betrokkenen als bedoeld
in de AVG.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
Reactie:
De Afdeling constateert terecht dat de GGD slechts in zeer beperkte mate en alleen
in de fase van de validatie toegang heeft tot (bijzondere) persoonsgegevens van de
betrokkene en dat zij dan ook alleen in die fase uitvoering kan geven aan rechten
van betrokkenen. In overige gevallen is de genoemde uitzondering van artikel 11, tweede
lid van de AVG van toepassing. De toelichting is in overeenstemming met hetgeen door
de Afdeling is geadviseerd op dit aangevuld in paragraaf 4.2.
f. De rol van Google en Apple
Voor de app wordt gebruik gemaakt van de application programming interface (api) die
door Google en Apple is ontwikkeld.43 De api zorgt ervoor dat de pseudonieme identificatiesleutels (RPIs), die gegenereerd
zijn op basis van andere pseudonieme identificatiesleutels (TEKs), kunnen worden uitgewisseld
tussen smartphones van gebruikers.44
De Autoriteit Persoonsgegevens (AP) acht het «onvoldoende duidelijk […] of, en zo
ja welke, persoonsgegevens worden verwerkt door Google en Apple middels het aanbieden
van het framework».45 In de Kamerbrief wijst de Minister erop dat Google en Apple geen verwerkers zijn.
Wel vindt de Minister het belangrijk dat er goede afspraken zijn met Google en Apple,
waarbij wordt verwezen naar de FAQ van Google en Apple.46
Dit doet de vraag rijzen in hoeverre het voor Google en Apple in het kader van het
gebruik van de app nu of in de toekomst mogelijk zou zijn persoonsgegevens te verwerken.
Ook rijst de vraag in hoeverre de door Google en Apple zelf opgestelde FAQ – waar
in de Kamerbrief naar wordt verwezen – toereikend zijn om uit te sluiten dat de ondernemingen
persoonsgegevens (kunnen) verwerken. Mede naar aanleiding van het advies van de AP
is de Afdeling daarom van oordeel dat in de toelichting nader moet worden ingegaan
op de rol van Google en Apple. In het bijzonder dient daarbij aandacht te worden besteed
aan de vraag in hoeverre contractueel dan wel in de wet zelf aanvullende waarborgen
noodzakelijk zijn.
De Afdeling adviseert in de toelichting nader op het bovenstaande in te gaan en zo
nodig het wetsvoorstel aan te passen.
Reactie:
Apple en Google zijn alleen in hun hoedanigheid van softwareleverancier voor de api
betrokken bij de verwerking van persoonsgegevens door middel van CoronaMelder. Zij
verwerken uitdrukkelijk niet zelf persoonsgegevens uit CoronaMelder in de hoedanigheid
van verwerkingsverantwoordelijke of verwerker, noch verwerken zij persoonsgegevens
voor andere – eigen – doeleinden. Dat zou op grond van de AVG ook niet zijn toegestaan.
Om alle misverstanden uit te sluiten zijn er daar bovenop ook schriftelijke afspraken
met Apple en Google gemaakt waarin is vastgelegd dat zij de gegevens uit CoronaMelder
niet voor andere doelen verwerken. Tezamen met de door de Afdeling voorgestelde explicitering
van de wettelijke bepaling dat de app niet voor andere doelen mag worden gebruikt
is de regering van mening dat de door de Afdeling gevraagde helderheid op dit punt
afdoende is gegeven. De toelichting is aangevuld op dit punt in paragraaf 3.1.
4. Subdelegatie
Het voorstel regelt dat bij of krachtens algemene maatregel van bestuur regels kunnen
worden gesteld over de notificatieapplicatie. Dit betreft de inrichting, het beheer
en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening
van de rechten van betrokkenen.47
De Afdeling merkt op dat dit in elk geval deels onderwerpen zijn die raken aan het
recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10 van de
Grondwet mag de bevoegdheid tot het stellen van regels inzake de eerbiediging van
de persoonlijke levenssfeer worden gedelegeerd aan lagere regelgevers.48 In het licht van het legaliteitsbeginsel dient wel op hoofdlijnen een afweging te
worden gemaakt op het niveau van de formele wet. Onderwerpen die betrekking hebben
op de uitvoering kunnen worden gedelegeerd naar een ministeriële regeling.49
In ieder geval waar het de bewaartermijn van bijzondere persoonsgegevens en de uitoefening
van de rechten van betrokkenen betreft, is geen sprake van uitvoering van een regeling
waarvan eventueel op het niveau van een ministeriële regeling regels kunnen worden
gesteld. De Afdeling adviseert daarom in ieder geval de bewaartermijnen en de uitoefening
van de rechten van betrokkenen op het niveau van de algemene maatregel van bestuur
te regelen.50
Het voorstel schrijft bovendien niet dwingend voor dat deze onderwerpen nader worden
geregeld, maar laat daartoe slechts de mogelijkheid open. Gelet op het voorgaande
is de Afdeling van oordeel dat – in ieder geval waar het de hiervoor genoemde onderwerpen
betreft – uitdrukkelijk bepaald dient te worden dat nadere regeling bij algemene maatregel
van bestuur zal geschieden.51
De Afdeling adviseert het voorstel in het licht van het voorgaande aan te passen.
Reactie:
In overeenstemming met hetgeen de Afdeling adviseert is het wetsvoorstel op bovenstaand
punt aangepast. Er is echter, om de rechten van betrokkenen maximaal te waarborgen
en met het oog op de gewenste snelle invoering van de app, niet voor gekozen om de
bewaartermijn en de uitoefening van de rechten van betrokkenen op het niveau van algemene
maatregel van bestuur te regelen, doch deze direct in het wetsvoorstel op te nemen.
Ook welke persoonsgegevens precies worden verwerkt in het kader van de app is om dezelfde
reden in de wet zelf opgenomen. Hiertoe is een nieuw tweede lid en derde lid ingevoegd
in artikel 6d.
5. Parlementaire betrokkenheid
De door het voorstel aangebrachte wijzigingen in de Wpg vervallen zes maanden na inwerkingtreding
van het voorstel. Eventuele verlenging is mogelijk door middel van het op een later
tijdstip laten vervallen van de wet, maar niet eerder dan dat het besluit daartoe
is voorgehangen bij het parlement.52 Ook kan bij koninklijk besluit worden bepaald dat (onderdelen van) de bepalingen
op een eerder tijdstip vervallen.53 In dat geval wordt voorgesteld het parlement daarbij niet vooraf te betrekken.
De Afdeling acht het ongewenst dat parlementaire betrokkenheid bij eerdere vervallenverklaring
in de wet ontbreekt.54 Ook als een bepaling of een onderdeel daarvan, wordt ingetrokken, zijn verschillende
belangen in het geding die zorgvuldig tegen elkaar moeten worden afgewogen.55 Om die reden ligt het voor de hand dat het parlement ook actief betrokken is bij
het intrekken van (onderdelen van) bepalingen op een eerder moment.
De Afdeling adviseert het voorstel aan te vullen.
Reactie:
Het advies van de Afdeling is overgenomen. Ook voor de bepaling die het mogelijk maakt
om bij koninklijk besluit bepalingen of onderdelen daarvan op een eerder tijdstip
te laten vervallen wordt, net als bij de bepaling die verlenging mogelijk maakt, voorzien
in voorhang bij het parlement.
6. Interoperabiliteit
Uit de toelichting blijkt niet dat de app interoperabel is of zal zijn met (decentrale)
notificatieapplicaties in andere Europese landen. Wel komt de app grotendeels overeen
met de Duitse, Italiaanse en Ierse apps, aldus de Kamerbrief van de Minister.56 In de Kamerbrief wordt aangegeven dat momenteel een «Federation Gateway Service»
wordt gecreëerd waarop landen met een decentrale methode hun nationale back-end server
kunnen aansluiten.57 De back-end servers van de landen versturen periodiek de sleutels van nieuwe geïnfecteerden
naar de Federation Gateway Service. Deze sleutels worden 14 dagen opgeslagen. Het
ophalen van de buitenlandse codes kan alleen met aanvullende toestemming van de gebruiker
gebeuren. Op basis van testen zal worden bepaald of en wanneer de app interoperabel
zal worden met andere Europese decentrale apps. Voor de feitelijke invoering zal,
aldus de Kamerbrief, de juridische grondslag nog worden geëxpliciteerd.58
De Europese richtsnoeren sturen aan op interoperabiliteit van (decentrale) apps.59 In een verklaring over de interoperabiliteit licht de EDPB dat nader toe.60 Hierin wordt onder meer opgemerkt dat als voor de wettelijke grondslag een beroep
wordt gedaan op het algemeen belang, de nationale wetgeving mogelijk moet worden aangepast.61
De Afdeling merkt op dat de voorgenomen aanpak inzake interoperabiliteit in overeenstemming
lijkt met de hiervoor geschetste benadering op Europees niveau. Zij onderschrijft
dat een juridische grondslag moet worden geëxpliciteerd, nu in het voorstel de gegevensverwerking
plaatsvindt binnen de taken van de Minister en de GGD. De Afdeling meent echter dat
gegeven de huidige ontwikkelingen snel moet worden voorzien in deze grondslag. Ook
met toestemming als grondslag (zie hiervoor punt 2) dient immers duidelijkheid te
worden gecreëerd ten aanzien van de rollen en verantwoordelijkheden van verschillende
partijen. Door de grondslag in het huidige voorstel op te nemen, kan het parlement
bovendien een volledige afweging maken in relatie tot het voorstel als geheel. De
Afdeling is daarom van oordeel dat de juridische grondslag voor het toestaan van interoperabiliteit
in het huidige voorstel dient te worden geëxpliciteerd.
De Afdeling adviseert het voorstel aan te passen.
Reactie:
Hoewel Nederland op Europees niveau actief meedenkt over de eisen aan en de vormgeving
en ontwikkeling van digitale internationale uitwisseling van gegevens van besmette
personen (interoperabiliteit), zijn op het moment van het schrijven van dit nader
rapport, de ontwikkelingen nog niet zover dat al precies duidelijk is hoe deze internationale
uitwisseling van besmettingsgegevens eruit gaat zien en wat hiervoor nationaal geregeld
moet worden. Het streven is er nu daarom vooral op gericht om eerst de nationale verwerking
van gegevens in het kader van de Coronamelder goed te regelen.
In het onderhavige wetsvoorstel zal dan ook geen juridische grondslag worden gecreëerd
voor het toestaan van interoperabiliteit met andere landen. Bij een eventueel toekomstig
wetsvoorstel zal vanzelfsprekend dankbaar gebruik gemaakt worden van het onderhavige
advies van de Afdeling op dit punt.
7. Deactivering
Het voorstel regelt niet de deactivering van de app. Uit de toelichting blijkt dat
de gebruiker de mogelijkheid heeft zelf de app te verwijderen. Na veertien dagen zijn
vervolgens alle gegevens verwijderd van de smartphone.
Het Europees Comité voor gegevensbescherming beveelt in zijn richtsnoeren aan criteria
in de wettelijke maatregel op te nemen aan de hand waarvan wordt bepaald wanneer de
app buiten gebruik wordt gesteld, alsmede de entiteit die verantwoordelijk en aansprakelijk
is voor het nemen van het besluit daartoe.62 Daarbij wordt ervan uitgegaan dat vooraf dient te worden bepaald wanneer de app wordt
gedeactiveerd. In de toelichting wordt hier niet op ingegaan.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan.
Reactie:
De app wordt gedeactiveerd als deze onvoldoende effectief blijkt. Daarvan is in ieder
geval sprake als uit de monitoring blijkt dat Coronamelder geen bijdrage (meer) levert
aan het breder, sneller en efficiënter opsporen van met het virus geïnfecteerde personen.
De toelichting is in overeenstemming met het advies van de Afdeling aangevuld op dit
punt in paragraaf 3.2.1.
8. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het
voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede
Kamer der Staten-Generaal wordt ingediend.
Reactie:
De redactionele opmerkingen van de Afdeling zijn in overeenstemming met het advies
verwerkt.
De vicepresident van de Raad van State,
Th. C. De Graaf
Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting
aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State
betreffende no. W13.20.0254/III
– Stel de grondslag voor het verwerken van bijzondere gegevens in paragraaf 4.2 van
de toelichting (artikel 9, tweede lid, onder h, AVG) gelijk met de grondslag zoals
genoemd in de DPIA (artikel 9, tweede lid, onder i, AVG).
– Benoem in paragraaf 4.2 van de toelichting dat als geen directe behandelrelatie bestaat
er desalniettemin sprake kan zijn van een afgeleide geheimhoudingsplicht.
Ondertekenaars
-
Eerste ondertekenaar
Th.C. de Graaf, vicepresident van de Raad van State -
Mede ondertekenaar
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen |
|---|---|---|
| VVD | 32 | Voor |
| PVV | 20 | Tegen |
| CDA | 19 | Voor |
| D66 | 19 | Voor |
| GroenLinks | 14 | Voor |
| SP | 14 | Voor |
| PvdA | 9 | Voor |
| ChristenUnie | 5 | Voor |
| PvdD | 4 | Tegen |
| 50PLUS | 3 | Voor |
| DENK | 3 | Tegen |
| SGP | 3 | Voor |
| FVD | 2 | Tegen |
| Krol | 1 | Tegen |
| Van Haga | 1 | Tegen |
| Van Kooten-Arissen | 1 | Tegen |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.