Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 19 augustus 2020 en het nader rapport d.d. 21 augustus 2020, aangeboden aan de Koning door de Minister van Volksgezondheid, Welzijn en Sport. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Blijkens de mededeling van de Directeur van Uw Kabinet van 13 juli 2020, no. 2020001500, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 19 augustus 2020, no. W13.20.0254/III, bied ik U hierbij aan.

De tekst van het advies treft u hieronder aan, voorzien van mijn reactie.

Bij Kabinetsmissive van 13 juli 2020, no. 2020001500, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19), met memorie van toelichting.

Het voorstel wijzigt de Wet publieke gezondheid (Wpg), en introduceert het vrijwillige gebruik van een notificatieapplicatie (hierna: de app). Deze app wordt gebruikt ten behoeve van de bron- en contactopsporing door de gemeentelijke gezondheidsdiensten (GGD’en). Het voorstel bevat een wettelijke grondslag voor de met de toepassing van de app samenhangende gegevensverwerking en een regeling voor de verwerkingsverantwoordelijkheid. Voorts is in het voorstel een mogelijkheid van subdelegatie opgenomen wat betreft regels voor de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkene. Ten slotte kent het voorstel een antimisbruikbepaling en regelt het de handhaving en sanctionering daarvan.

De Afdeling advisering van de Raad van State gaat allereerst in op de noodzaak voor een wettelijke grondslag. Ook maakt de Afdeling een aantal opmerkingen over de gegevensbescherming. Zij wijst in het bijzonder op het specificeren van het doeleinde en het beperken van verdere gegevensverwerking. Ook gaat zij in op het verwerken van bijzondere persoonsgegevens, de daarmee samenhangende verwerkingsverantwoordelijkheid, en het zorgdragen voor de uitoefening van de rechten van betrokkenen. Zij maakt in het kader van gegevensbescherming ook een opmerking over de rol van Google en Apple.

Tevens maakt de Afdeling een opmerking over de mogelijkheid tot subdelegatie ten aanzien van de bewaartermijn en de rechten van betrokkenen. Verder wijst zij op het belang van parlementaire betrokkenheid, ook bij het intrekken van (onderdelen) van het voorstel. Voorts maakt zij een opmerking over het opnemen van een juridische grondslag in het voorstel ten behoeve van de interoperabiliteit. Tot slot adviseert ze de criteria voor deactivering nader toe te lichten. In verband daarmee is aanpassing van het wetsvoorstel en de toelichting wenselijk.

1. Inleiding

Het wetsvoorstel hing oorspronkelijk samen met de eerder ingezette versoepeling van de maatregelen ter bestrijding van de epidemie van Covid-19. Bij de afbouw van maatregelen kan een goed functionerend systeem van bron- en contactopsporing door de gemeentelijke gezondheidsdienst (GGD) als onmisbaar worden beschouwd. Het voorstel is evenwel zeker ook goed voorstelbaar in het licht van de recente significante stijging van het aantal Covid-19 besmettingen, en van de daaropvolgende inzet van de overheid om verder oplopende verspreiding van het virus te bestrijden.

De GGD heeft op grond van de Wpg de taak om bron- en contactopsporing te doen bij meldingen van besmetting met een infectieuze ziekte zoals het virus.2 Dit houdt kortgezegd in dat de GGD onderzoekt met wie een besmette patiënt contact heeft gehad, met diegenen contact opneemt en vervolgens hen een handelingsperspectief biedt. Dit heeft als doel de uitbraak van een epidemie te voorkomen of te beheersen. De uitvoering van de bron-en contactopsporing is vormvrij. Uitgangspunt is dat dit in alle gevallen plaatsvindt op grond van vrijwillige medewerking van de betrokkenen.

Het Outbreak Management Team (OMT) heeft geadviseerd om met het oog op het intensievere testbeleid de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp van mobiele applicaties te onderzoeken.3 Ook andere Europese lidstaten ontwikkelen dergelijke apps. De voorgestelde app komt overeen met de notificatieapp zoals die wordt ontwikkeld in Duitsland, Italië en Ierland.4

De notificatieapp is bedoeld als niet-verplichte aanvulling op de analoge bron- en contactopsporing van de GGD en komt niet in plaats van het analoge onderzoek. De aanvulling bestaat eruit dat door de app (sneller) personen worden bereikt die de besmette patiënt niet kent of waarvan de besmette patiënt zich niet kan herinneren daarmee in contact te zijn gekomen.

De notificatieapp werkt kortgezegd als volgt. Een gebruiker installeert de app op de telefoon. De app herkent andere gebruikers door middel van bluetooth. De app geeft een melding als de smartphone van de gebruiker in de buurt is geweest van de smartphone van een besmette persoon en geeft daarbij advies hoe te handelen. Als de (smartphone van de) gebruiker van de app tenminste 15 minuten bij een andere (smartphone van een) gebruiker van de app in de buurt is, wordt een versleutelde code uitgewisseld tussen de gebruikers van de app. Pas in geval van een geconstateerde besmetting kan de besmette patiënt ervoor kiezen met hulp van de GGD een melding van besmetting te doen. In dat geval wordt gecheckt met welke andere app-gebruikers in de afgelopen 14 dagen deze codes zijn uitgewisseld. Vervolgens ontvangen die gebruikers een melding en wordt hen geadviseerd hoe te handelen.5

Het gebruik van de app is expliciet vrijwillig. Voor de effectiviteit van de app is het van belang dat zoveel mogelijk mensen de app gaan gebruiken. Terecht wordt dan ook in de toelichting opgemerkt dat de doeltreffendheid van de app exponentieel evenredig is met het aantal personen dat eenzelfde app installeert en activeert.6 Voor de effectiviteit is daarnaast echter ook relevant dat er zo min mogelijk valspositieve en valsnegatieve meldingen worden gedaan, dat de door de GGD bij de melding geadviseerde handelingsperspectieven zo snel en volledig mogelijk worden opgevolgd (waaronder het zich laten testen), en het testbeleid daarop aansluit. De Afdeling stelt vast dat over de mate waarin de app op dit moment effectief is de opvattingen verschillen.7

Gelet op de maatschappelijke discussie over mogelijk misbruik van de app en de effectiviteit ervan, acht de Afdeling het van belang dat in de voorbereiding van de ingebruikname van de app veel aandacht is besteed aan het onderkennen van de mogelijkheden van misbruik en de risico’s van de met de app samenhangende gegevensverwerkingen, alsmede aan het formuleren van mogelijke oplossingen daarvoor. Ook zal, zo blijkt uit de toelichting, de effectiviteit van de app steeds worden geëvalueerd. Indien nodig kan dit ertoe leiden dat het gebruik van de app wordt beëindigd.8

2. Noodzaak wettelijke grondslag

In de toelichting wordt vermeld dat het wetsvoorstel zo snel mogelijk in werking treedt.9 Uit de kabinetsbrief van 16 juli j.l. kan worden opgemaakt dat wordt beoogd de app per 1 september 2020 in gebruik te nemen.10 Daarmee zal de app naar verwachting in gebruik worden genomen voordat de parlementaire behandeling van het wetsvoorstel is afgerond. De Afdeling is met de regering van oordeel dat dit op zichzelf mogelijk is. Strikt genomen is een wettelijke basis voor vrijwillig gebruik van de app juridisch niet noodzakelijk. Verdedigbaar is dat vanwege het feit dat gebruik vrijwillig is toestemming, gelet op de AVG,11 een toereikende grondslag vormt voor met gebruik van de app samenhangende verwerkingen van persoonsgegevens, mits aan de voorwaarden die op grond van de AVG aan de verlening van rechtsgeldige toestemming worden gesteld,12 wordt voldaan.

Het voorgaande betekent echter niet dat totstandbrenging van een wettelijke basis op zeer korte termijn niet bijzonder gewenst is. Met het in gebruik nemen van de app voordat het wetgevingsproces is afgerond wordt immers afbreuk gedaan aan een belangrijke doelstelling van het wetsvoorstel. Die doelstelling is namelijk maximale duidelijkheid bieden over de inzet van de app en de te verwerken persoonsgegevens op wetsniveau. Dit draagt bij aan de effectieve werking van de voor de bestrijding van de epidemie essentiële bron- en contactopsporing.13 Met een wettelijke grondslag kunnen voorts specifieke waarborgen worden geboden zoals het voorgestelde verbod op misbruik. Deze antimisbruikbepaling borgt immers de vrijwilligheid van het gebruik van de app.

De recente significante stijging van het aantal coronavirusbesmettingen en de grote urgentie om deze zo veel en zo snel als mogelijk onder controle te krijgen kan niettemin een rechtvaardiging zijn de app toch snel in gebruik te nemen zelfs als dat betekent dat de voltooiing van het wetgevingsproces niet kan worden afgewacht. De Afdeling adviseert in dat geval wel deze afweging in overleg met de Tweede Kamer te maken in het licht van de te verwachte duur van de parlementaire behandeling van dit wetsvoorstel. Daarbij zou gelet op de geschetste voordelen van de wet, gestreefd moeten worden naar een behandeling op zo kort mogelijke termijn, zoals ook is aangegeven in de kabinetsbrief van 17 augustus j.l.14

De Afdeling adviseert in de toelichting nader op het voorgaande in te gaan.

Reactie:

Voordat de regering op het advies ingaat, wil zij eerst grote waardering uitspreken voor de snelle advisering door de Afdeling.

De Afdeling is met de regering van oordeel dat, mede in het licht van de huidige ontwikkelingen rondom de toename van het aantal besmettingen en de noodzaak dit een halt toe te roepen, toestemming van betrokkene voldoende basis biedt voor de verwerking van persoonsgegevens in het kader van notificatieapp en daarmee tevens voor een eventuele ingebruikneming van de app voordat het gehele wetgevingsproces is doorlopen. De Afdeling volgt hiermee het oordeel van de Europese Data Protection Board, welke tevens heeft aangegeven dat de verwerking van (bijzondere) persoonsgegevens in het kader van een notificatieapp kan plaatsvinden op basis van toestemming van betrokkene. Ook andere lidstaten zoals onder meer Duitsland en Ierland werken overigens met toestemming als grondslag voor de aldaar gebruikte notificatieapps. Ik lees het advies als een uitnodiging om zo spoedig mogelijk in overleg te treden met de Tweede Kamer over de mogelijkheid, om de app in gebruik te nemen. De toelichting is op dit punt aangevuld in paragraaf 1 en paragraaf 7.1.

3. Gegevensbescherming

a. Doelomschrijving

Voorgesteld wordt dat een notificatieapplicatie kan worden ingezet «ter ondersteuning van de bron- en contactopsporing, waarmee vroegtijdig zicht kan worden verkregen op een mogelijke infectie met dat virus».15

Op grond van de AVG moet het doel van de gegevensverwerking welbepaald en uitdrukkelijk omschreven zijn.16 De richtsnoeren van de Commissie bevelen bovendien aan om het doel dermate specifiek te omschrijven dat er geen twijfel bestaat over het soort persoonsgegevens dat met het oog daarop moet worden verwerkt. Ten aanzien van de functionaliteit «contacttracering en waarschuwing» merkt de Commissie bovendien op dat het enkel vermelden van preventie van verdere besmetting met COVID-19 als doel onvoldoende specifiek is. De richtsnoeren bevelen aan het doel inzake contacttracering en waarschuwing te specificeren als «het bewaren van de contacten van de personen die de app gebruiken en die mogelijk blootgesteld zijn geweest aan besmetting met COVID-19 om degenen te waarschuwen die eventueel besmet kunnen zijn».17

Gelet hierop is de formulering van het doel van de notificatieapp in het wetsvoorstel niet specifiek genoeg.18 De Afdeling adviseert in het voorstel het doel in de hiervoor genoemde zin aan te passen.

Reactie:

Het advies van de Afdeling is overgenomen. Artikel 6d, eerste lid, is in voorgestelde zin aangevuld. Daarnaast is in het tweede lid van artikel 6d gespecificeerd welke gegevens in het kader van de app mogen worden gebruikt.

b. Beperking gegevensverwerking

De met de app verkregen persoonsgegevens mogen niet worden gebruikt voor andere doeleinden dan het in de wet omschreven doel,19 aldus de toelichting.20 Dit is in overeenstemming met de Europese maatstaven. Volgens de richtsnoeren van de Commissie zou in de wettelijke grondslag voor de app onder meer de mogelijkheid moeten worden uitgesloten dat de gegevens voor andere dan de in de wetgeving vermelde doeleinden worden verwerkt.21 Ook de richtsnoeren van het Europees Comité voor de gegevensbescherming vereisen een uitdrukkelijke beperking op het verdere gebruik van persoonsgegevens.22

Dat de gegevens niet mogen worden gebruikt voor andere doeleinden wordt volgens de toelichting onder meer gewaarborgd door de eisen aan de vormgeving van de app, het in de wet omschreven doel, de antimisbruikbepaling, de toegepaste dataminimalisatie en het tijdelijk karakter van de wet.23 Voorts is van belang dat de gegevens zich voornamelijk bevinden op de smartphone van de gebruiker. Deze bewaart alleen de gegevens van de laatste twee weken. De gegevens op de server worden daarnaast gescheiden van het IP-adres van de smartphone.24

De Afdeling erkent dat de voorgaande, ook in de toelichting genoemde elementen met het oog op de doelbinding belangrijke waarborgen zijn. Desalniettemin is het, gelet op de gevoeligheid van het onderwerp, het belang van vertrouwen in de app en de hiervoor genoemde richtsnoeren, aangewezen dat in het wetsvoorstel verder gebruik van persoonsgegevens uitdrukkelijk wordt uitgesloten.

De Afdeling adviseert het wetsvoorstel in die zin aan te passen.

Reactie:

Het advies van de Afdeling is overgenomen. Aan artikel 6d, derde lid, is een extra onderdeel (d), in voorgestelde zin toegevoegd. Ook is in de memorie van toelichting benadrukt dat de gegevens die in het kader van de app worden verwerkt niet voor andere doeleinden mogen worden verwerkt.

c. Verwerking bijzondere persoonsgegevens door GGD

Het wetsvoorstel regelt dat de GGD bij de toepassing van de app bijzondere persoonsgegevens verwerkt.25 Noch uit het voorstel, noch uit de toelichting, volgt echter in welke fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt. In de gegevensbeschermingseffectbeoordeling (hierna: DPIA) wordt opgemerkt dat in de validatie-, koppelings- en notificatiefase sprake is van verwerking van bijzondere persoonsgegevens. In de verschillende fasen betreffen dit verschillende gegevens, zoals de identificatiesleutels, de autorisatiecode, de eerste ziektedag, maar ook bijvoorbeeld het bericht aan de gebruiker dat hij mogelijk besmet is.26

Volgens de DPIA worden de (bijzondere) persoonsgegevens alleen in de validatiefase door de GGD verwerkt.27 Nu de verwerking van bijzondere persoonsgegevens door de GGD in het voorstel wordt geregeld, acht de Afdeling het aangewezen om, in overeenstemming met de DPIA, in de toelichting nader aan te geven welke bijzondere persoonsgegevens door de GGD in welke fase worden verwerkt.28 Voorts acht zij het nuttig om, mede met het oog op de parlementaire behandeling, gedeeltes uit de DPIA te verwerken in de toelichting voor zover ook in andere fase(n) van het gebruik van de app bijzondere persoonsgegevens worden verwerkt.

De Afdeling adviseert in het licht van het voorgaande de toelichting aan te vullen.

Reactie:

De verwerking van gegevens vindt plaats in verschillende fasen. De eerste fase is de fase voorafgaand aan een de melding van een besmetting. De enige verwerking die dan plaatsvindt is de verwerking op de telefoon zelf van de eigen TEK’s en de TEK’s van andere gebruikers waarmee een persoon binnen bluetooth bereik bent geweest. In deze fase worden er dus alleen gegevens opgeslagen op de telefoon van de appgebruiker en worden er dus nog geen bijzondere persoonsgegevens verwerkt door de GGD of de Minister.

De tweede fase is de fase waarbij er gegevensuitwisseling plaatsvindt tussen de GGD en de backend server omtrent een vastgestelde besmetting van een appgebruiker, de validatiefase. Hierin stuurt de appgebruiker waarbij een besmetting is vastgesteld zijn eigen TEK’s naar de backend server en stuurt de GGD de validatiecode, het IP-adres en de dag waarop de eerste ziekteverschijnselen kenbaar werden naar de backend server. In deze fase worden er dus bijzondere persoonsgegevens door de GGD verwerkt.

De derde fase is de fase waarin de telefoon van de gebruikers van de app, de TEK’s van de besmette persoon ophaalt van de server, zodat deze door de api vergeleken kunnen worden met de op de telefoon zelf opgeslagen TEK’s van andere gebruikers waarmee je binnen bluetooth bereik bent geweest. Voor zover een TEK gezien moet worden als persoonsgegeven, is er in deze fase dus sprake van verwerking van persoonsgegevens, maar niet van bijzondere persoonsgegevens, door de beheerder van de server, de Minister.

In de volgende fase worden dus de TEK’s van andere gebruikers waarmee een gebruiker binnen bluetooth bereik is geweest en die opgeslagen zijn op de eigen telefoon vergeleken met de TEK’s van de besmette telefoon. Bij een match ontvangt de gebruiker automatisch een notificatie dat er sprake is geweest van risicovol contact en een handelingsadvies. De GGD en de Minister zijn niet betrokken bij deze notificatie. Hier is dus geen sprake van verwerking van (bijzondere) persoonsgegevens.

De toelichting is in overeenstemming met het bovenstaande in paragraaf 3.1 aangevuld en verduidelijkt.

d. Verwerkingsverantwoordelijkheid

De verwerkingsverantwoordelijkheid is in het voorstel vastgelegd op twee niveaus. Het voorstel bepaalt dat de Minister verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor de verwerking van persoonsgegevens met de app.29 In afwijking daarvan echter wordt de GGD van de verblijfplaats van de betrokkene aangewezen als verwerkingsverantwoordelijke (onder meer) voor wat betreft het uitvoering geven aan de rechten van betrokkenen en het melden van een inbreuk in verband met persoonsgegevens.30 Volgens de toelichting wordt met deze verdeling aangesloten bij respectievelijk de taken van de Minister in het kader van de Wpg, en de bron- en contactopsporing waarmee de GGD is belast.31

De verwerkingsverantwoordelijke is volgens de AVG degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als doel en middelen door de nationale wetgever wordt vastgesteld, kan in de betreffende wet worden bepaald wie de verwerkingsverantwoordelijke is.32 Als twee (of meer) verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijk verwerkingsverantwoordelijken. In dat geval dienen zij, zo schrijft de AVG voor, hun verantwoordelijkheden voor de nakoming van hun verplichtingen onderling vast te stellen.33 Bij een gezamenlijke verwerkingsverantwoordelijkheid kan de betrokkene zijn rechten uitoefenen jegens iedere verwerkingsverantwoordelijke.34 Deze AVG-regels zijn van belang omdat voor de burger duidelijk moet zijn wie waarvoor verantwoordelijk is en hij als gevolg daarvan weet wie hij op de verwerking van zijn persoonsgegevens kan aanspreken.

Met het oog op de noodzakelijke helderheid van de burger is de vraag of het voorstel niet kan worden vereenvoudigd. Het gaat hier ten eerste om de vraag waarom ook de Minister als verwerkingsverantwoordelijke is aangewezen. Ten tweede zou het voorstel vereenvoudigd kunnen worden door de verwerkingsverantwoordelijkheid van de GGD’en in het wetsvoorstel te verduidelijken.

In dat kader merkt de Afdeling allereerst op dat uit onder meer de DPIA blijkt dat in ieder geval de GGD’en persoonsgegevens verwerken in de validatiefase (zie hiervoor onder c). Het ligt derhalve voor de hand dat als het gaat om die verwerkingen de GGD van de verblijfplaats van betrokkene als verwerkingsverantwoordelijken wordt aangewezen. Uit de toelichting volgt echter niet waarom naast de GGD’en ook de Minister verwerkingsverantwoordelijke zou moeten zijn. Dat de Minister verantwoordelijk is voor de inrichting en het beheer van de app leidt niet zonder meer tot de conclusie dat hij ook als verwerkingsverantwoordelijke moet worden aangewezen. Uit de toelichting blijkt immers niet in hoeverre de Minister in het kader van zijn beheerstaak ook persoonsgegevens verwerkt.35

Voorts is de vraag of hetgeen het wetsvoorstel op dit moment regelt inzake de verwerkingsverantwoordelijkheid van de GGD wel afdoende is. Deze beperkt zich tot de toepassing van een aantal bepalingen uit de AVG die betrekking hebben op de specifieke informatieverplichtingen van de verwerkingsverantwoordelijke en de uitoefening van de rechten van betrokkenen. Uit de toelichting blijkt onvoldoende in hoeverre deze beperkingen aansluiten bij de rol van de GGD’en bij de toepassing van de app in de verschillende fasen.36 Daarbij merkt de Afdeling op dat de verwerking van persoonsgegevens door de GGD’en in de validatiefase niet zonder meer samenvalt met de verwerking van persoonsgegevens die samenhangt met de informatieverplichtingen uit de AVG.

De Afdeling merkt ten slotte op dat indien wordt gekozen voor een gezamenlijke verwerkingsverantwoordelijkheid van de Minister en de GGD’en aandacht moet worden besteed aan de onderlinge regeling waarin op grond van de AVG de verantwoordelijkheden tussen de Minister en de GGD’en moet worden geregeld.37 Zij acht het raadzaam de essentiële onderdelen daarvan in de toelichting te expliciteren. Daarbij dient in acht te worden genomen dat bij een gezamenlijke verwerkingsverantwoordelijkheid de betrokkene zijn rechten kan uitoefenen jegens elke verwerkingsverantwoordelijke.38

De Afdeling adviseert in het licht van het voorgaande de regeling van de verwerkingsverantwoordelijkheid nader toe te lichten en zo nodig het voorstel aan te passen.

Reactie:

De Minister van VWS heeft de app ontwikkeld ter uitvoering van zijn taken op grond van de artikelen 3 en 7 van de Wpg; het geven van leiding aan infectieziektebestrijding, de bevordering van de kwaliteit en doelmatigheid van de publieke gezondheidszorg en de instandhouding en verbetering van de landelijke ondersteuningsstructuur. In dat kader voert hij ook het beheer van de app uit, draagt hij zorg voor de back-end server, sluit hij de daarvoor benodigde verwerkersovereenkomst, voorziet hij in de algemene informatieverstrekking over de app en voert hij de evaluatie van de app uit. Ook een mogelijk besluit tot beëindigen van het gebruik van de app wordt door de Minister geïnitieerd. Daarmee bepaalt de Minister van VWS doel en middelen van de verwerking van de gegevens die in het kader van de app plaatsvindt. Naar het oordeel van de regering volgt daar logischerwijs uit dat de Minister van VWS verwerkinsgverantwoordelijke voor deze verwerking is. Tegelijkertijd verwerken de GGD’en, zoals de Afdeling ook terecht opmerkt, in de validatiefase persoonsgegevens in het kader van de app en dient de app ter ondersteuning van de wettelijke taak van de GGD’en tot het doen van bron- en contactopsporing. Ook de GGD’en zijn derhalve (mede)verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die in het kader van de app plaatsvindt. De regering is het met de Afdeling eens dat er sprake moet zijn van goede onderlinge afspraken tussen de GGD’en en de Minister van VWS over hun verantwoordelijkheden voor de nakoming van hun AVG verplichtingen. Het wetsvoorstel regelt daarom dat de Minister van VWS in algemene zin de verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens die in het kader van de app plaats vindt en dat de GGD van de verblijfplaats van de gebruiker als verwerkingsverantwoordelijke optreedt voor zover het gaat om de uitoefening van zijn rechten. Deze verdeling sluit het meest aan bij de praktijk waarbij de Minister van VWS de app beheert en bijvoorbeeld zorg draagt voor de beveiliging van de in het kader van app verwerkte gegevens, verwerkersovereenkomsten sluit en voorziet in algemene informatie over app op bijvoorbeeld coronamelder.nl en in de app zelf. De GGD van de verblijfplaats van een met het virus geïnfecteerde gebruiker verwerkt, als deze gebruiker daarmee instemt, persoonsgegevens over hem. Zo stuurt de GGD de eerste dag waarop hij ziekteverschijnselen kreeg en de validatiecode naar de back-end server. Het ligt dan ook in de rede dat de gebruiker zich tot deze GGD wendt voor bijvoorbeeld een inzage- of verwijderingsverzoek. Zoals de Afdeling terecht opmerkt kan de GGD voorafgaand aan de validatiefase geen gevolg aan dergelijke verzoeken geven. Dat is niet anders voor de Minister van VWS, in deze fase worden er immers alleen gegevens op de telefoon van de gebruikers verwerkt en de Minister en de GGD hebben daar geen toegang toe. Dit is een direct gevolg van het feit dat de app is vormgegeven volgens de principes van dataminimalisatie en privacy by design. Ook in de volgende fases zal een beroep op deze rechten overigens maar beperkt zijn omdat de in deze fases verwerkte gegevens vaak niet meer herleidbaar zijn en na uiterlijk veertien dagen automatisch worden verwijderd. De toelichting is op dit punt aangevuld in paragraaf 4.2. waarbij ook is verwezen naar artikel 11 van de AVG waaruit volgt dat de artikelen 15 tot en met 20 van de AVG niet van toepassing zijn als de verwerkingsverantwoordelijke betrokkene niet (meer) kan identificeren.

Overigens worden er, net als in de pilotfase, ook overeenkomsten gesloten tussen de Minister van VWS en de GGD’en waarin de uitvoering van de AVG verplichtingen duidelijk is vastgelegd.

e. Rechten van betrokkenen

De GGD is in het voorstel verwerkingsverantwoordelijke voor wat betreft het uitvoering geven aan de rechten van betrokkenen en de informatieverstrekking aan gebruikers.39 Volgens de toelichting gaat het dan onder meer om de plicht om gebruikers te informeren, het recht op inzage en het recht op rectificatie.40 Inherent aan de decentrale aanpak is dat de GGD zelf niet beschikt over de gegevens die de gebruiker op zijn telefoon heeft. De plaatselijke GGD verwerkt immers alleen persoonsgegevens tijdens de validatiefase. Daarom is het volgens de DPIA slechts dan mogelijk uitvoering te geven aan de rechten van betrokkenen.41 Buiten de validatiefase is de GGD op grond van artikel 11, tweede lid, AVG daarom niet gehouden uitvoering te geven aan deze rechten.42

De Afdeling wijst erop dat de GGD op grond van het voorstel zoals het nu luidt verwerkingsverantwoordelijke is voor het uitvoeren van de rechten van betrokkenen in álle fasen van het gebruik van de app. Gelet op voorgaande opmerking en op de uitvoerbaarheid van de regeling voor de GGD, ligt echter in de rede dat onderscheid wordt gemaakt tussen de gegevensverwerkingen in de verschillende fasen in relatie tot de verwerkingsverantwoordelijkheid en de rechten van de betrokkenen die in de verschillende fases kunnen worden uitgeoefend.

De Afdeling onderschrijft dat het gebruik van de gepseudonimiseerde identificatiesleutels in de uitwisselings- en koppelingsfase en de daaraan gekoppelde notificatie in de notificatiefase pleit voor toepassing van de hiervoor genoemde uitzondering van artikel 11, tweede lid, AVG. De betrokkene kan immers in deze fasen niet worden geïdentificeerd. Daarom is het niet nodig om de GGD in die fasen uitvoering te laten geven aan de rechten van de betrokkene. Dit ligt echter anders voor de validatiefase, waarin de GGD (bijzondere) persoonsgegevens verwerkt. In de toelichting wordt hier echter niet op in gegaan. In het bijzonder besteedt de toelichting geen aandacht aan de gevallen waarin al dan niet uitvoering zou moeten worden gegeven aan de rechten van betrokkenen als bedoeld in de AVG.

De Afdeling adviseert in de toelichting op het voorgaande in te gaan.

Reactie:

De Afdeling constateert terecht dat de GGD slechts in zeer beperkte mate en alleen in de fase van de validatie toegang heeft tot (bijzondere) persoonsgegevens van de betrokkene en dat zij dan ook alleen in die fase uitvoering kan geven aan rechten van betrokkenen. In overige gevallen is de genoemde uitzondering van artikel 11, tweede lid van de AVG van toepassing. De toelichting is in overeenstemming met hetgeen door de Afdeling is geadviseerd op dit aangevuld in paragraaf 4.2.

f. De rol van Google en Apple

Voor de app wordt gebruik gemaakt van de application programming interface (api) die door Google en Apple is ontwikkeld.43 De api zorgt ervoor dat de pseudonieme identificatiesleutels (RPIs), die gegenereerd zijn op basis van andere pseudonieme identificatiesleutels (TEKs), kunnen worden uitgewisseld tussen smartphones van gebruikers.44

De Autoriteit Persoonsgegevens (AP) acht het «onvoldoende duidelijk […] of, en zo ja welke, persoonsgegevens worden verwerkt door Google en Apple middels het aanbieden van het framework».45 In de Kamerbrief wijst de Minister erop dat Google en Apple geen verwerkers zijn. Wel vindt de Minister het belangrijk dat er goede afspraken zijn met Google en Apple, waarbij wordt verwezen naar de FAQ van Google en Apple.46

Dit doet de vraag rijzen in hoeverre het voor Google en Apple in het kader van het gebruik van de app nu of in de toekomst mogelijk zou zijn persoonsgegevens te verwerken. Ook rijst de vraag in hoeverre de door Google en Apple zelf opgestelde FAQ – waar in de Kamerbrief naar wordt verwezen – toereikend zijn om uit te sluiten dat de ondernemingen persoonsgegevens (kunnen) verwerken. Mede naar aanleiding van het advies van de AP is de Afdeling daarom van oordeel dat in de toelichting nader moet worden ingegaan op de rol van Google en Apple. In het bijzonder dient daarbij aandacht te worden besteed aan de vraag in hoeverre contractueel dan wel in de wet zelf aanvullende waarborgen noodzakelijk zijn.

De Afdeling adviseert in de toelichting nader op het bovenstaande in te gaan en zo nodig het wetsvoorstel aan te passen.

Reactie:

Apple en Google zijn alleen in hun hoedanigheid van softwareleverancier voor de api betrokken bij de verwerking van persoonsgegevens door middel van CoronaMelder. Zij verwerken uitdrukkelijk niet zelf persoonsgegevens uit CoronaMelder in de hoedanigheid van verwerkingsverantwoordelijke of verwerker, noch verwerken zij persoonsgegevens voor andere – eigen – doeleinden. Dat zou op grond van de AVG ook niet zijn toegestaan. Om alle misverstanden uit te sluiten zijn er daar bovenop ook schriftelijke afspraken met Apple en Google gemaakt waarin is vastgelegd dat zij de gegevens uit CoronaMelder niet voor andere doelen verwerken. Tezamen met de door de Afdeling voorgestelde explicitering van de wettelijke bepaling dat de app niet voor andere doelen mag worden gebruikt is de regering van mening dat de door de Afdeling gevraagde helderheid op dit punt afdoende is gegeven. De toelichting is aangevuld op dit punt in paragraaf 3.1.

4. Subdelegatie

Het voorstel regelt dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld over de notificatieapplicatie. Dit betreft de inrichting, het beheer en de beveiliging, de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen.47

De Afdeling merkt op dat dit in elk geval deels onderwerpen zijn die raken aan het recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10 van de Grondwet mag de bevoegdheid tot het stellen van regels inzake de eerbiediging van de persoonlijke levenssfeer worden gedelegeerd aan lagere regelgevers.48 In het licht van het legaliteitsbeginsel dient wel op hoofdlijnen een afweging te worden gemaakt op het niveau van de formele wet. Onderwerpen die betrekking hebben op de uitvoering kunnen worden gedelegeerd naar een ministeriële regeling.49

In ieder geval waar het de bewaartermijn van bijzondere persoonsgegevens en de uitoefening van de rechten van betrokkenen betreft, is geen sprake van uitvoering van een regeling waarvan eventueel op het niveau van een ministeriële regeling regels kunnen worden gesteld. De Afdeling adviseert daarom in ieder geval de bewaartermijnen en de uitoefening van de rechten van betrokkenen op het niveau van de algemene maatregel van bestuur te regelen.50

Het voorstel schrijft bovendien niet dwingend voor dat deze onderwerpen nader worden geregeld, maar laat daartoe slechts de mogelijkheid open. Gelet op het voorgaande is de Afdeling van oordeel dat – in ieder geval waar het de hiervoor genoemde onderwerpen betreft – uitdrukkelijk bepaald dient te worden dat nadere regeling bij algemene maatregel van bestuur zal geschieden.51

De Afdeling adviseert het voorstel in het licht van het voorgaande aan te passen.

Reactie:

In overeenstemming met hetgeen de Afdeling adviseert is het wetsvoorstel op bovenstaand punt aangepast. Er is echter, om de rechten van betrokkenen maximaal te waarborgen en met het oog op de gewenste snelle invoering van de app, niet voor gekozen om de bewaartermijn en de uitoefening van de rechten van betrokkenen op het niveau van algemene maatregel van bestuur te regelen, doch deze direct in het wetsvoorstel op te nemen. Ook welke persoonsgegevens precies worden verwerkt in het kader van de app is om dezelfde reden in de wet zelf opgenomen. Hiertoe is een nieuw tweede lid en derde lid ingevoegd in artikel 6d.

5. Parlementaire betrokkenheid

De door het voorstel aangebrachte wijzigingen in de Wpg vervallen zes maanden na inwerkingtreding van het voorstel. Eventuele verlenging is mogelijk door middel van het op een later tijdstip laten vervallen van de wet, maar niet eerder dan dat het besluit daartoe is voorgehangen bij het parlement.52 Ook kan bij koninklijk besluit worden bepaald dat (onderdelen van) de bepalingen op een eerder tijdstip vervallen.53 In dat geval wordt voorgesteld het parlement daarbij niet vooraf te betrekken.

De Afdeling acht het ongewenst dat parlementaire betrokkenheid bij eerdere vervallenverklaring in de wet ontbreekt.54 Ook als een bepaling of een onderdeel daarvan, wordt ingetrokken, zijn verschillende belangen in het geding die zorgvuldig tegen elkaar moeten worden afgewogen.55 Om die reden ligt het voor de hand dat het parlement ook actief betrokken is bij het intrekken van (onderdelen van) bepalingen op een eerder moment.

De Afdeling adviseert het voorstel aan te vullen.

Reactie:

Het advies van de Afdeling is overgenomen. Ook voor de bepaling die het mogelijk maakt om bij koninklijk besluit bepalingen of onderdelen daarvan op een eerder tijdstip te laten vervallen wordt, net als bij de bepaling die verlenging mogelijk maakt, voorzien in voorhang bij het parlement.

6. Interoperabiliteit

Uit de toelichting blijkt niet dat de app interoperabel is of zal zijn met (decentrale) notificatieapplicaties in andere Europese landen. Wel komt de app grotendeels overeen met de Duitse, Italiaanse en Ierse apps, aldus de Kamerbrief van de Minister.56 In de Kamerbrief wordt aangegeven dat momenteel een «Federation Gateway Service» wordt gecreëerd waarop landen met een decentrale methode hun nationale back-end server kunnen aansluiten.57 De back-end servers van de landen versturen periodiek de sleutels van nieuwe geïnfecteerden naar de Federation Gateway Service. Deze sleutels worden 14 dagen opgeslagen. Het ophalen van de buitenlandse codes kan alleen met aanvullende toestemming van de gebruiker gebeuren. Op basis van testen zal worden bepaald of en wanneer de app interoperabel zal worden met andere Europese decentrale apps. Voor de feitelijke invoering zal, aldus de Kamerbrief, de juridische grondslag nog worden geëxpliciteerd.58

De Europese richtsnoeren sturen aan op interoperabiliteit van (decentrale) apps.59 In een verklaring over de interoperabiliteit licht de EDPB dat nader toe.60 Hierin wordt onder meer opgemerkt dat als voor de wettelijke grondslag een beroep wordt gedaan op het algemeen belang, de nationale wetgeving mogelijk moet worden aangepast.61

De Afdeling merkt op dat de voorgenomen aanpak inzake interoperabiliteit in overeenstemming lijkt met de hiervoor geschetste benadering op Europees niveau. Zij onderschrijft dat een juridische grondslag moet worden geëxpliciteerd, nu in het voorstel de gegevensverwerking plaatsvindt binnen de taken van de Minister en de GGD. De Afdeling meent echter dat gegeven de huidige ontwikkelingen snel moet worden voorzien in deze grondslag. Ook met toestemming als grondslag (zie hiervoor punt 2) dient immers duidelijkheid te worden gecreëerd ten aanzien van de rollen en verantwoordelijkheden van verschillende partijen. Door de grondslag in het huidige voorstel op te nemen, kan het parlement bovendien een volledige afweging maken in relatie tot het voorstel als geheel. De Afdeling is daarom van oordeel dat de juridische grondslag voor het toestaan van interoperabiliteit in het huidige voorstel dient te worden geëxpliciteerd.

De Afdeling adviseert het voorstel aan te passen.

Reactie:

Hoewel Nederland op Europees niveau actief meedenkt over de eisen aan en de vormgeving en ontwikkeling van digitale internationale uitwisseling van gegevens van besmette personen (interoperabiliteit), zijn op het moment van het schrijven van dit nader rapport, de ontwikkelingen nog niet zover dat al precies duidelijk is hoe deze internationale uitwisseling van besmettingsgegevens eruit gaat zien en wat hiervoor nationaal geregeld moet worden. Het streven is er nu daarom vooral op gericht om eerst de nationale verwerking van gegevens in het kader van de Coronamelder goed te regelen.

In het onderhavige wetsvoorstel zal dan ook geen juridische grondslag worden gecreëerd voor het toestaan van interoperabiliteit met andere landen. Bij een eventueel toekomstig wetsvoorstel zal vanzelfsprekend dankbaar gebruik gemaakt worden van het onderhavige advies van de Afdeling op dit punt.

7. Deactivering

Het voorstel regelt niet de deactivering van de app. Uit de toelichting blijkt dat de gebruiker de mogelijkheid heeft zelf de app te verwijderen. Na veertien dagen zijn vervolgens alle gegevens verwijderd van de smartphone.

Het Europees Comité voor gegevensbescherming beveelt in zijn richtsnoeren aan criteria in de wettelijke maatregel op te nemen aan de hand waarvan wordt bepaald wanneer de app buiten gebruik wordt gesteld, alsmede de entiteit die verantwoordelijk en aansprakelijk is voor het nemen van het besluit daartoe.62 Daarbij wordt ervan uitgegaan dat vooraf dient te worden bepaald wanneer de app wordt gedeactiveerd. In de toelichting wordt hier niet op ingegaan.

De Afdeling adviseert in de toelichting op het voorgaande in te gaan.

Reactie:

De app wordt gedeactiveerd als deze onvoldoende effectief blijkt. Daarvan is in ieder geval sprake als uit de monitoring blijkt dat Coronamelder geen bijdrage (meer) levert aan het breder, sneller en efficiënter opsporen van met het virus geïnfecteerde personen. De toelichting is in overeenstemming met het advies van de Afdeling aangevuld op dit punt in paragraaf 3.2.1.

8. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

Reactie:

De redactionele opmerkingen van de Afdeling zijn in overeenstemming met het advies verwerkt.

De vicepresident van de Raad van State,

Th. C. De Graaf

Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no. W13.20.0254/III

  • Stel de grondslag voor het verwerken van bijzondere gegevens in paragraaf 4.2 van de toelichting (artikel 9, tweede lid, onder h, AVG) gelijk met de grondslag zoals genoemd in de DPIA (artikel 9, tweede lid, onder i, AVG).

  • Benoem in paragraaf 4.2 van de toelichting dat als geen directe behandelrelatie bestaat er desalniettemin sprake kan zijn van een afgeleide geheimhoudingsplicht.