Persoonsgegevens en handhaving: liever pro-actiever?
Deze bijdrage over een datalek bij de GGD verscheen op 2 februari op de website van De Jurist.
Een datalek bij de GGD. Daarover ging het de afgelopen week. De GGD werd verantwoordelijk gesteld voor het uitvoeren van het bron- en contactonderzoek maar beschikte niet over de IT, de organisatie en beveiliging die allemaal noodzakelijk is om bescherming van persoonsgegevens te garanderen. Namen, geboortedata, adressen, telefoonnummers, BSN-nummers en testuitslagen. Die combinatie van gegevens is goud waard. Natuurlijk, tegen diefstal en misbruik van persoonsgegevens is geen kruid gewassen. Maar juist daarom is het zo belangrijk om het risico op ongebreidelde toegang tot persoonsgegevens en het delen daarvan te beperken. Kernpunten van de AVG zijn niet voor niets dataminimalisatie en privacy by design.
De AP weet ervan maar laat het in september nog bij een waarschuwing. Daarna volgen berichten in de media over mogelijke malversaties. Een ramp in wording aldus. Althans, dat is wat we kunnen opmaken uit de informatie die wel wordt gedeeld door beide instellingen. Wat zich precies heeft afgespeeld, wie wat wist, wanneer en welke maatregelen zijn genomen, het wordt niet erg duidelijk. Gedane zaken nemen geen keer en met boetes kunnen de problemen niet worden opgelost.
Een duivels dilemma
Op de website van de AP wordt aangegeven dat zij overheden en bedrijven tijdens de coronacrisis ruimte geeft om zich te concentreren op de bestrijding van het virus. De AP zal minder snel handhaven omdat bestrijding van het virus en het redden van levens prioriteit één is. Het voorkomen van schade aan economie en maatschappij staat op twee. Precies deze twee belangen stonden lijnrecht tegenover elkaar. Het bron- en contact onderzoek wordt immers gezien als een cruciaal onderdeel van de terugkeer naar normaal. Maar, de toezichthouder zegt ook te zullen ingrijpen waar privacy echt in gevaar is.
Gezien het grote maatschappelijk belang van het bron- en contactonderzoek, had de AP pro-actiever kunnen zijn en meer sturing kunnen geven, ook de afgelopen maanden toen het bron- en contactonderzoek al in volle gang was. De AP beschikt daartoe ook over veel wettelijke mogelijkheden.
Liever ten halve gekeerd dan ten hele gedwaald
Zo kan de AP behalve waarschuwen, ook meer dwingende maatregelen opleggen. In AVG-taal gaat het er dan om de verwerkingsverantwoordelijke te gelasten om op een "nader bepaalde manier en binnen een nader bepaalde termijn" naleving van de AVG af te dwingen. Het begint bij het beperken van de omvang van de gegevens die worden gevraagd. Is het werkelijk nodig om het BSN nummer te gebruiken voor het doel van contact- en locatieonderzoek, of voor het analyseren van data van groepen mensen ten behoeve van de coronabestrijding? Daarnaast moet gedacht worden aan beperking van de toegankelijkheid, bijvoorbeeld door automatische vergrendeling van dossiers na een paar weken. Of het pseudonimiseren van gegevens of een deel daarvan. Verdergaande maatregelen zouden kunnen zijn het (tijdelijk?) stoppen van (een deel?) van de verwerkingen. Gezien de risico's die steeds meer voorzienbaar leken te worden, rijst de vraag waarom dat op enig moment niet is gedaan. Voor zover angst voor vertraging een rol zou hebben gespeeld, moet worden geconstateerd dat vertraging nu ook onvermijdelijk is. En daar komt bovenop tijd en kosten van onderzoek naar de datalekken en de gevolgen daarvan. Om over civiele claims maar niet te spreken.
Tot slot, de AP kan corrigerende maatregelen opleggen in de vorm van een last onder bestuursdwang of nog sterker, een last onder dwangsom. Dat had de GGD wellicht in staat gesteld een vuist te maken en mankracht en middelen te eisen om haar belangrijke taak uit te voeren.
