Dat zijn vergaande gevolgen die worden verbonden aan de werking van een app. Veel mensen stellen zich de vraag of dit een voorbode is van een samenleving waarin de overheid ons kan volgen. Een samenleving waarin een overheid ons niet alleen kan volgen, maar wellicht ook controleren en naar aanleiding hiervan sancties op kan leggen. Een situatie die in China al aan de orde van de dag is.

Allereerst terug naar de corona-app. Aan een dergelijke app dienen eisen te worden gesteld die verdergaan dan aandacht voor privacy en beveiliging alleen.

Een fundamentele vraag is bijvoorbeeld hoe het signaal dat iemand positief is getest in de app terecht komt. Mag je bijvoorbeeld als je besmet bent zelf op de noodknop in de app drukken of mag alleen de GGD-arts dat? Stel dat de GGD-arts dit als enige zou mogen doen, hoe gaat dit dan in zijn werk? Bestaat er een centrale database waarin de arts jouw gegevens invoert? Of krijg je bijvoorbeeld een unieke code bij de uitkomst van je corona-test die je zelf kan scannen in de app? Wat zijn hier de fundamentele uitgangspunten en randvoorwaarden om te voorkomen dat verkeerde signalen in de app terechtkomen?

Een ander zeer fundamenteel punt is de rechtsbescherming. Bestaan er mogelijkheden om de uitkomst van de app aan te vechten? Stel je krijgt een melding dat je de afgelopen 48 uur in de buurt bent geweest van iemand die positief is getest en je moet de komende twee weken binnen blijven. Echter, de afgelopen 48 uur zat je geheel alleen in je eigen appartement. Dat weet je heel zeker. De app heeft het dus bij het verkeerde eind. En overmorgen heb je nog wel een belangrijke zakelijke bespreking of de begrafenis van een dierbare. Welke mogelijkheden tot betrouwbare en effectieve rechtsbescherming zijn er dan?

Uiteraard beschermen de Grondwet en mensenrechtenverdragen het recht op bewegingsvrijheid en het recht van vereniging en betoging. Beperkingen van die rechten zijn alleen toegestaan als de wet daarin voorziet. De wettelijke basis voor veel van de huidige beperkende maatregelen is te vinden in de Wet publieke gezondheid (Wpg) en de Wet veiligheidsregio’s (Wvr). Of die wetten ook een voldoende basis vormen voor eventuele vrijheidsbeperkende maatregelen die samenhangen met een corona-app zal moeten worden bezien. Bovendien is een beperking van grondrechten alleen toegestaan als de maatregelen noodzakelijk en proportioneel zijn. Ook daar zal zorgvuldig naar gekeken moeten worden.

Ook de Algemene verordening gegevensbescherming (AVG) bevat een relevant kader. Zo zal de partij die verantwoordelijk is voor de app de gebruikers daarvan moeten informeren over de “onderliggende logica” van die applicatie (artikel 13 en 14 AVG). Daarvoor is niet nodig dat de werking van de app in technisch detail wordt uitgelegd of dat het algoritme openbaar wordt gemaakt. Wel moet op begrijpelijke wijze duidelijk worden gemaakt hoe de app werkt en op basis van welke criteria tot een besluit wordt gekomen. Voor de acceptatie van en het vertrouwen in zo’n app lijkt dit ook van groot belang te zijn.

Verder kent de AVG als uitgangspunt dat niemand onderworpen mag worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem of haar belangrijke (rechts)gevolgen zijn verbonden (artikel 22 AVG). In dat geval moet de burger altijd de mogelijkheid hebben een mens (alsnog) naar het besluit te laten kijken, zijn standpunt kenbaar te maken of het besluit in rechte aan te vechten. Vergelijkbare waarborgen vloeien voort uit de Algemene wet bestuursrecht (Awb), voor zover het besluit zou gelden als een besluit van een bestuursorgaan.

Een eventuele corona-app moet dus niet alleen aan de beginselen van privacy by design voldoen en passende bescherming bieden tegen cyberdreigingen, maar ook de bredere, grondrechtelijke inbedding van die app moet op orde zijn. Naarmate de gevolgen van de app verder reiken, zal ook kritischer gekeken moeten worden naar zaken als zorgvuldigheid, proportionaliteit en effectieve rechtsbescherming.

Het feit dat de overheid bijna een maand na de aankondiging van de corona-app nog geen app heeft geïntroduceerd, toont wel aan dat het niet eenvoudig is een app te introduceren waarbij antwoord wordt gegeven op bovenstaande vragen en waarbij wordt voldaan aan alle wettelijke vereisten. Ook bij de introductie van gelijksoortige apps in de toekomst, zullen deze punten moeten kunnen worden “afgevinkt”. Het ligt dan ook niet in de lijn der verwachting dat wij op korte termijn naar een situatie toegaan waarin wij door middel van apps door onze overheid worden gevolgd.

Vragen?

Heeft u vragen? Neem dan contact op met Natascha van Duuren, advocaat/partner IT, Privacy & Cybersecurity