Op 31 maart hebben de European Data Protection Board (EDPB) en de Europan Data Protection Supervisor (EDPS) een gezamenlijk advies uitgebracht over het voorstel van het Parlement en de Raad betreffende het instellen van een systeem van digitale groene certificaten. Dit certificatenstelsel moet het vrije verkeer van personen opnieuw ten volle mogelijk maken door de status (gevaccineerd, hersteld of beschikkend over een negatief testresultaat) van elke burger en/of ingezetene van de Unie te bevestigen. Gezien de potentieel grote privacy-impact, werd reikhalzend uitgekeken naar het advies van deze autoriteiten.
Het systeem van digitale groene certificaten
Het voorgestelde digitale groene certificaatsysteem zal zowel duidelijke en voor iedereen leesbare gegevens bevatten, zoals naam of voornaam, als gegevens die zijn gecodeerd in de vorm van een QR-code, bedoeld om (bijvoorbeeld) door douanebeambten te worden gescand. Het Europese initiatief heeft tot doel de afgifte en de verwerking van certificaten door de lidstaten te coördineren en te harmoniseren.
Alleen de absoluut noodzakelijke gegevens zullen op het certificaat worden vermeld, hoewel het voorstel in dit stadium geen limitatieve lijst bevat. In het advies wordt er ook op aangedrongen de draagwijdte van het certificaat niet te ruim uit te leggen: het digitale groene certificaat getuigt niet van immuniteit (hetgeen een medische en wetenschappelijke vraag is, waarvan het antwoord onzeker blijft), maar wel van het bereiken van een medisch feit (of resultaat) op een bepaald tijdstip.
Let er echter op dat het feit dat men gevaccineerd is, afhankelijk van het nationale vaccinatiebeleid, kan leiden tot een ruimere verwerking van en inzage in de persoonsgegevens van de certificaathouder dan op het eerste zicht lijkt. Denk bijvoorbeeld aan de situatie waarbij een bepaald land de strategie hanteert om alle risicopatiënten te vaccineren in de maanden mei en juni. Aan de hand van de vaccinatiedatum, weet men dat het een risicopatiënt betreft.
Het – in het algemeen positieve – advies
In het algemeen staat men positief tegenover het voorstel voor een digitaal groen certificaat. Zoals het er nu uitziet, is het voorgestelde systeem in dit opzicht zeer privacyvriendelijk. Geen gecentraliseerde database, opname van gegevens in QR-codes, geen bewaring van gegevens door het land van bestemming, etc. De verwerking van persoonsgegevens is dus beperkt.
De uitlegging en interpretatie van het advies moet echter beperkt blijven tot de strikte rol van de EDPB/EDPS: namelijk de wettigheid van gegevensbeschermingskwesties. Voor het overige wordt de Commissie verzocht een holistische en ethische benadering te volgen ten aanzien van de doeltreffendheid, de noodzaak en de evenredigheid van het digitale groene certificaat, vooral met betrekking tot maatschappelijke en aan volksgezondheid gerelateerde vraagstukken.
Tussen de regels van zijn advies door leert de EDPB/EDPS de lezer echter twee of drie lessen die nuttig kunnen blijken voor de toekomst.
Covid-19 en énkel Covid-19
Het digitale groene certificaat is een uitzonderlijke maatregel en moet dat ook blijven. In dit opzicht is het van essentieel belang dat het gebruik ervan op hetzelfde ogenblik eindigt als de huidige pandemie. Het is logisch dat de EDPB/EDPS er geen voorstander van is dat het systeem opnieuw wordt ingevoerd voor andere soortgelijke besmettelijke ziekten met een epidemierisico. Het advies smoort dus elke mogelijkheid om een duurzaam systeem op te zetten in de kiem. Deze kritiek sluit aan bij de kritische stemmen die reeds opgingen over het toebedelen van teveel macht aan de autoriteiten onder het mom van urgentie.
Het digitale groene certificaat als vrijkaart?
De doeleinden van de voor het digitale groene certificaat vereiste verwerking zijn eenvoudig: het verkeer van personen tussen twee lidstaten vergemakkelijken. De auteurs van het project hebben geen ander doel voor ogen (binnenlands of internationaal).
De EDPB en de EDPS waarschuwen ten slotte echter voor de ongewenste neveneffecten van het certificaat. Sommige lidstaten (of zelfs individuele personen) zullen in de verleiding komen het te gebruiken als een soort ‘vrijkaart’ (b.v. toegang tot winkels, restaurants, bioscopen, etc.). Dit zou derhalve kunnen leiden tot ongerechtvaardigde discriminatie tussen individuen.
Vanuit het oogpunt van strikte gegevensbescherming is er volgens de EDPB/EDPS geen reden waarom dergelijke maatregelen niet zouden worden ingevoerd, op voorwaarde dat de lidstaten passende wetgevende maatregelen nemen.
Richtlijn 2006/24 & Digital Rights Ireland arrest – lessons learned
De EDBP en de EDPS passen de lessen die zijn getrokken uit het Digital Rights Ireland-arrest ook toe op digitale groene certificaten. In het advies wordt aanbevolen de doelstellingen van het voorstel nader te specificeren, evenals de minimale wettelijke voorwaarden die de lidstaten in acht moeten nemen indien zij later gebruik willen maken van digitale groene certificaten.
Nog in de kinderschoenen
Bij het lezen van het advies wordt duidelijk dat veel vragen en details nog moeten worden uitgewerkt, wat veel speelruimte laat aan de lidstaten die het systeem op hun grondgebied in de praktijk zullen moeten brengen. Dit voorspelt niet veel goeds voor de toekomst, aangezien de 27 lidstaten soms sterk van mening verschillen over kwesties inzake gegevensbescherming.
Zoals vaak het geval is, ligt de oplossing voor de EDPB/EDPS in een grotere transparantie voor de burgers. Een volledige lijst van de verwerkingsverantwoordelijken, verwerkers en ontvangers van gegevens is dan ook een van de suggesties in het advies. In het advies wordt de auteurs van de tekst ook gevraagd of gegevens al dan niet buiten de EU kunnen worden doorgegeven.
Het is nu aan de auteurs van de tekst om al dan niet rekening te houden met de aanbevelingen van de instanties die onze gegevens beschermen. Wordt zeker en vast vervolgd!
Via deze link kan je het volledige advies terugvinden.
Heb je vragen over de verwerking van je persoonsgegevens of over je rechten als burger? Vind je antwoorden op www.ifori.be of neem contact op met ons team.
