Europees Comité voor gegevensbescherming – Dertigste plenaire vergadering: Verklaring inzake de interoperabiliteit van apps voor het traceren van contacten, verklaring inzake het openen van de grenzen en de rechten inzake gegevensbescherming, antwoordbri

17 June 2020 EDPB

Brussel, 17 juni - Tijdens zijn 32e plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) een verklaring aangenomen over de interoperabiliteit van apps voor het traceren van contacten, alsook een verklaring over het openen van de grenzen en de rechten op het gebied van gegevensbescherming. Het Comité heeft ook twee brieven aan EP-lid Körner - over versleuteling en over artikel 25 van de AVG - en een brief aan de CEAOB over de PCAOB-regelingen aangenomen.

Het EDPB heeft een verklaring aangenomen over de interoperabiliteit van apps voor het traceren van contacten die voortbouwt op de EDPB-richtsnoeren 04/2020 inzake het gebruik van locatiegegevens en hulpmiddelen voor het traceren van contacten in de context van de COVID-19-uitbraak. De verklaring biedt een grondiger analyse van de belangrijkste aspecten, waaronder transparantie, rechtsgrondslag, verwerkingsverantwoordelijkheid, rechten van betrokkenen, gegevensbewaring en minimale gegevensverwerking, informatiebeveiliging en nauwkeurigheid van gegevens in de context van het tot stand brengen van een interoperabel netwerk van apps, die in aanvulling op de in de EDPB-richtsnoeren 04/2020 vermelde aspecten in overweging moeten worden genomen.

Het EDPB benadrukt dat het delen van gegevens over personen die met behulp van dergelijke interoperabele apps zijn gediagnosticeerd of positief zijn getest, alleen mag worden geactiveerd door een vrijwillige actie van de gebruiker. Het geven van informatie en controle aan betrokkenen zal hun vertrouwen in de oplossingen en het mogelijke gebruik ervan vergroten. Het doel van interoperabiliteit mag niet worden gebruikt als argument om het verzamelen van persoonsgegevens verder uit te breiden dan noodzakelijk is.

Bovendien moeten apps voor het traceren van contacten deel uitmaken van een uitgebreide volksgezondheidsstrategie ter bestrijding van de pandemie, zoals tests en de daaropvolgende handmatige tracering van contacten om de doeltreffendheid van de uitgevoerde maatregelen te verbeteren.

Het waarborgen van interoperabiliteit is niet alleen een technische uitdaging en soms onmogelijk zonder onevenredige compromissen, maar leidt ook tot een potentieel verhoogd gegevensbeschermingsrisico. Daarom moeten verwerkingsverantwoordelijken ervoor zorgen dat de maatregelen doeltreffend en evenredig zijn en moeten zij beoordelen of met een minder ingrijpend alternatief hetzelfde doel kan worden bereikt.

Het EDPB heeft een verklaring aangenomen over de verwerking van persoonsgegevens in het kader van het heropenen van de Schengengrenzen na de COVID-19-uitbraak. De maatregelen die een veilige heropening van de grenzen mogelijk maken en die momenteel door de lidstaten worden overwogen of uitgevoerd, omvatten COVID-19-tests, waarbij door zorgverleners afgegeven certificaten en het gebruik van een vrijwillige app voor het traceren van contacten vereist zijn. De meeste maatregelen hebben betrekking op de verwerking van persoonsgegevens.

Het EDPB brengt in herinnering dat de gegevensbeschermingswetgeving van toepassing blijft en dat het ook met inachtneming van deze wetgeving mogelijk is doeltreffend op de pandemie te reageren, terwijl tegelijkertijd de fundamentele rechten en vrijheden worden beschermd. Het EDPB benadrukt dat het verwerken van persoonsgegevens noodzakelijk en evenredig moet zijn en dat het beschermingsniveau in de hele EER gelijk moet zijn. In de verklaring dringt het EDPB er bij de lidstaten op aan een gemeenschappelijke Europese aanpak te volgen wanneer zij moeten besluiten welke verwerking van persoonsgegevens in deze context noodzakelijk is.

In de verklaring wordt ook ingegaan op de AVG-beginselen waaraan de lidstaten bijzondere aandacht moeten besteden bij het verwerken van persoonsgegevens in de context van het heropenen van de grenzen. Deze omvatten rechtmatigheid, billijkheid en transparantie, doelbinding, minimale gegevensverwerking, opslagbeperking, beveiliging van gegevens en gegevensbescherming door ontwerp en door standaardinstellingen. Bovendien moet het besluit om de toegang tot een land toe te staan niet alleen gebaseerd zijn op de geautomatiseerde individuele besluitvormingstechnologieën. In ieder geval moeten voor dergelijke besluiten passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Maatregelen voor geautomatiseerde individuele besluiten mogen niet van toepassing zijn op kinderen.

Tot slot benadrukt het EDPB het belang van voorafgaande raadpleging met de bevoegde nationale toezichthoudende autoriteiten wanneer de lidstaten voornemens zijn in deze context persoonsgegevens te verwerken.

Het EDPB heeft een antwoord op een brief van EP-lid Moritz Körner goedgekeurd over de relevantie van versleutelingverboden in derde landen voor de beoordeling van het niveau van gegevensbescherming bij de overdracht van persoonsgegevens naar landen waar deze verboden bestaan. Volgens het EDPB zou elk verbod op versleuteling of elke bepaling die de versleuteling verzwakt, de naleving van de AVG-veiligheidsverplichtingen voor de verwerkingsverantwoordelijken en de verwerkers, zowel in een derde land als in de EER, ernstig ondermijnen. Veiligheidsmaatregelen zijn een van de elementen waarmee de Europese Commissie rekening moet houden bij de beoordeling van de toereikendheid van het beschermingsniveau in een derde land.

In een tweede brief aan EP-lid Körner wordt ingegaan op webcamcovers. EP-lid Körner benadrukte dat deze technologie zou kunnen helpen bij het voldoen aan de AVG en stelde voor nieuwe laptops met deze technologie uit te rusten. In zijn antwoord verduidelijkt het Comité dat laptopfabrikanten weliswaar moeten worden aangemoedigd om bij de ontwikkeling en het ontwerp van dergelijke producten rekening te houden met het recht op gegevensbescherming, maar dat zij niet verantwoordelijk zijn voor de verwerking die met deze producten wordt uitgevoerd. In de AVG worden geen wettelijke verplichtingen voor fabrikanten vastgesteld, tenzij zij ook optreden als verwerkingsverantwoordelijke of verwerker. Verwerkingsverantwoordelijken moeten de risico's van elke verwerking beoordelen en de passende waarborgen kiezen om aan de AVG te voldoen, met inbegrip van de beginselen van privacy door ontwerp en door standaardinstellingen die in artikel 25 van de AVG zijn vastgelegd.

Ten slotte heeft het EDPB een brief aan het Comité van Europese audittoezichthouders (CEAOB) goedgekeurd. Het EDPB heeft een voorstel ontvangen van de CEAOB, een comité dat de nationale audittoezichthouders op EU-niveau bijeenbrengt, om samen te werken en feedback te krijgen over de onderhandelingen over ontwerpen voor administratieve regelingen voor de overdracht van gegevens aan de Amerikaanse toezichthouder voor de accountantsbranche (Public Company Accounting Oversight Board - PCAOB). Het Comité neemt met instemming kennis van dit voorstel en geeft aan dat het beschikbaar is voor een gedachtewisseling met de CEAOB om helderheid te scheppen over eventuele vragen over gegevensbeschermingsvereisten in verband met dergelijke regelingen in het licht van de EDPB-richtsnoeren 2/2020 inzake artikel 46, lid 2, onder a), en artikel 46, lid 3, onder b), van de AVG voor de doorgifte van persoonsgegevens tussen overheidsinstanties van EER-landen en niet-EER-landen. Bij de gedachtewisseling zou ook de PCAOB betrokken kunnen worden, indien de CEAOB en zijn leden dit nuttig achten voor hun werkzaamheden op het gebied van deze regelingen.

 

Informatie voor redacteurs:
Alle documenten die tijdens de zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het Comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_2020_11