Onlangs werd bekend dat het Kroatische voorzitterschap de handdoek in de ring heeft gegooid en het hoofdpijndossier dat de ePrivacyverordening inmiddels wel is geworden, heeft overgedragen aan Duitsland dat op 1 juli 2020 het stokje van Kroatië overneemt. Volgens Kroatië is het door de uitbraak van de COVID-19 pandemie niet gelukt om in het eerste half jaar van 2020 binnen de Raad noemenswaardige vooruitgang in dit dossier te boeken. Dat betekent dat de ePrivacyverordening die oorspronkelijk op 25 mei 2018 samen met de AVG (verordening (EU) 2016/679) in werking had moeten treden, nog meer vertraging ondervindt en waarschijnlijk niet voor 2022 in werking treedt. Tot die tijd moeten we het dus doen met de – inmiddels op verschillende punten achterhaalde – regels van de ePrivacyrichtlijn (richtlijn 2002/58/EG) in Nederland neergelegd in de Telecommunicatiewet (Tw).
Telecomdata en de strijd tegen COVID-19
Een van de problemen waar we als gevolg hiervan tegenaan lopen is dat telecomdata van mobiele operators niet eenvoudig kan worden ingezet in de strijd tegen datzelfde COVID-19 virus. In deze strijd wordt dergelijke data juist een grote rol toegedicht, omdat daarmee mensenmassa’s en bewegingspatronen in kaart kunnen gebracht. Aan de hand van deze ‘heatmaps’ kan vervolgens worden bepaald waar het risico op verspreiding van COVID-19 het grootst is. Zo kan worden bepaald waar de behoefte aan medisch materiaal het hoogst is en waar maatregelen moeten worden aangescherpt of juist kunnen worden versoepeld in het kader van de exit-strategie. Het is dan ook niet verwonderlijk dat verschillende landen plannen hebben om telecomdata bij mobiele operators op te vragen of dat zelfs al doen. Ook de Europese Commissie heeft gevraagd om dergelijke gegevens om internationaal een coördinerende rol te kunnen spelen.
Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19
In Nederland moet het eind mei 2020 bij de Tweede Kamer ingediende voorstel voor een Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19 het gebruik van telecomdata in de strijd tegen het coronavirus mogelijk maken. Dit wetsvoorstel creëert een tijdelijke grondslag in hoofdstuk 14 Telecommunicatiewet om aanbieders van openbare mobiele telecommunicatienetwerken (lees KPN, Vodafone en T-Mobile) te verplichten informatie via het CBS aan het RIVM te verstrekken ten behoeve van diens taak op grond van artikel 6c Wet publieke gezondheid (Wpg) bij de bestrijding van infectieziekten.
Meer specifiek gaat het bij deze informatie om de totaalaantallen per Nederlandse gemeente en per uur van de mobiele eindapparaten die op enig moment in dat uur verbonden waren met het openbare mobiele telecommunicatienetwerk van de betreffende aanbieder uitgesplitst naar afgeleide herkomst van de houder van het mobiele eindapparaat. Bij die afgeleide herkomst gaat het om de gemeente waar het eindapparaat in de voorgaande 30 dagen gemiddeld het grootste deel van de tijd verbinding heeft gemaakt of, bij een buitenlands nummer, het land van herkomst. Deze informatie moet door de aanbieders eenmaal per 24 uur aan het CBS worden verstrekt die alles vervolgens samenvoegt, bewerkt en aan het RIVM verstrekt.
Het gaat bij deze totaalaantallen niet meer om zeer privacygevoelige informatie te meer omdat geen informatie wordt verstrekt over een totaalaantal met eenzelfde afgeleide herkomst dat kleiner is dan 15. Dat maakt dat de informatie lastig te herleiden is tot individuele personen. Of dat ook betekent dat de data anoniem is, zoals in de toelichting bij het wetsvoorstel wordt gesteld, is vers twee. Telecomproviders hebben daar enige zorgen over. Mijns inziens terecht: locatiegegevens zijn notoir lastig te anonimiseren.
Gebruik telecomdata en ePrivacyrichtlijn
Maar in ieder geval laat dat onverlet dat de telecomdata waar die informatie uit wordt gehaald, verkeers- en locatiegegevens, wel zeer gevoelig is omdat daaruit een zeer gedetailleerd beeld oprijst van het privéleven van individuele personen en hun communicatie. Om die reden bevat de ePrivacyrichtlijn in artikel 6 en 9 hele strikte regels voor de verwerking van dergelijke gegevens, in Nederland geïmplementeerd in artikel 11.5 en 11.5a Tw. Op grond daarvan mogen verkeers- en locatiegegevens slechts voor een limitatief aantal doeleinden door aanbieders worden verwerkt. Het samenstellen van heatmaps ten behoeve van de bestrijding van infectieziekten is daar niet een van.
Het wetsvoorstel onderkent ook dat de artikelen 11.5 en 11.5a Tw geen grondslag bieden voor de verwerking ten behoeve van het verstrekken van informatie aan het RIVM, maar stelt dat artikel 15 ePrivacyrichtlijn ruimte zou bieden om deze bepalingen ook buiten toepassing te laten ter waarborging van de openbare veiligheid daaronder begrepen de bestrijding van de epidemie van een infectieziekte en andere doelstellingen van algemeen belang van de Unie of van een lidstaat, met inbegrip van volksgezondheid (zie Kamerstukken II 2019-2020, 35479, nr. 3, p. 5).
Artikel 15 ePrivacyrichtlijn biedt inderdaad ruimte voor een uitzondering ter waarborging van de openbare veiligheid, maar het is maar de vraag of deze zover gaat als in de toelichting bij het wetsvoorstel wordt aangenomen. Daartegen pleit dat de Europese wetgever er in artikel 15 ePrivacyrichtlijn expliciet voor heeft gekozen om niet de volledige lijst van beperkingsgronden uit artikel 13 van de Privacyrichtlijn (richtlijn 95/46/EG) over te nemen, maar slechts een selectief aantal beperkingsgronden toe te staan. Bestrijding van infectiezieken en volksgezondheid zijn niet op de short list met toegestane beperkingsgronden gekomen.
Meer ruimte onder ePrivacyverordening
Het een en ander maakt het des te wranger dat de ePrivacyverordening nog steeds niet in werking is getreden. Die verordening bevat weliswaar ook nog steeds hele strikte regels voor het gebruik van telecomdata, maar staat wel expliciet toe dat telecomdata onder bepaalde voorwaarden gebruikt kan worden voor het samenstellen van heatmaps (vgl. overweging 17 bij de ePrivacyverordening).
Daarnaast geeft de ePrivacyverordening door een expliciete verwijzing naar artikel 23 van de AVG meer ruimte voor uitzonderingen dan thans de ePrivacyrichtlijn waaronder ook voor andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met inbegrip van de volksgezondheid. Het gebruik van telecomdata voor de bestrijding van COVID-19 zou dus onder de ePrivacyverordening wel mogelijk zijn, mits uiteraard ook aan de overige voorwaarden wordt voldaan die door de ePrivacyverordening (en de AVG) aan beperkingen worden gesteld.
Afsluitend
Dit maakt eens te meer duidelijk dat de ePrivacyverordening een echt hoofdpijndossier is. Het is te hopen dat het volgende voorzitterschap erin slaagt om hiervoor een geneesmiddel te vinden.
Deze bijdrage verschijnt ook in bewerkte vorm als editorial in Computerrecht 2020-04.