Column

ICT tegen covid-19: Hoeveel privacy willen we opgeven voor de volksgezondheid?

Verschillende ICT-toepassingen, zoals apps of tracering, kunnen helpen om de covid-19-pandemie in te dijken. Terwijl sommige toepassingen relatief onschuldig zijn, doen andere ernstige vraagtekens rijzen met betrekking tot privacy. Ethicus Heidi Mertes zet de mogelijke toepassingen op een rijtje.

Medisch advies op maat

Laat ons starten met de minst ingrijpende toepassingen. Er zijn momenteel heel wat coronapatiënten in thuisquarantaine. Bij voorkeur worden zij opgevolgd door hun huisarts zodat die tijdig kan ingrijpen als een ziekenhuisopname nodig is. Maar huisartsen zijn momenteel overbevraagd.

Wat nuttig kan zijn, is een app of website waarop de patiënt zelf haar symptomen ingeeft en waartoe de huisarts toegang heeft om vanop veilige afstand de situatie op te volgen en raad te geven. Op deze manier blijven patiënten zoveel mogelijk weg uit de wachtkamers en de spoedafdeling, terwijl hun medische gegevens toch op een veilige plaats bewaard worden. Voorlopig is daarvoor echter geen financiering voorzien en het is ook niet duidelijk hoe ver de verantwoordelijkheid van artsen in een dergelijk scenario reikt. Wat wel duidelijk is, is dat een dergelijk systeem bij voorkeur in een sterk beveiligde digitale omgeving wordt ingebed, zoals bij voorbeeld het eHealth platform.

Een ander hulpmiddel in deze context is de teleconsultatie, een raadpleging op afstand en dus zonder besmettingsgevaar, waarvoor artsen sinds de coronacrisis ook vergoed kunnen worden.

Blik op de mobiliteit

Een tweede manier om ICT te gebruiken tegen de verspreiding van COVID-19, is gericht op het informeren van beleidsmakers en epidemiologen over de mobiliteit van burgers. Dit kan door telecomdata te verzamelen, bijvoorbeeld om een beeld te krijgen van hoeveel mensen vanuit een corona-hotspot naar andere gebieden reizen. Zo kan men anticiperen op verdere verspreiding.

Voor dit soort toepassingen wordt geen expliciete toestemming van mensen gevraagd. Men gaat er van uit dat telecomproviders kunnen garanderen dat de vrijgegeven informatie beperkt is tot anonieme data en samengevoegde data van veel gebruikers, waardoor deze informatie buiten de GDPR-wetgeving* valt. Toch blijft men ook hier best behoedzaam voor de mogelijkheid dat het verzamelen van deze gegevens tot privacy-inbreuken zou leiden.

Contacten traceren

Ook GPS-technologie kan worden gebruikt, in het bijzonder voor contact-tracering. Dat wil zeggen dat men informatie verzamelt over wie met wie in contact komt (binnen een straal van, bijvoorbeeld, 2 meter). Dit kan op verschillende manieren interessant zijn.

  • Als deze informatie van veel mensen wordt verzameld, geeft ze een idee van het effect van de maatregelen die de overheid oplegt. Zo kan men betere modellen maken van de verwachte verdere verspreiding van het virus. Zorgen de maatregelen er bijvoorbeeld voor dat het aantal contacten gehalveerd is? Zijn er bijkomende maatregelen nodig, of meer controle op de opvolging van maatregelen?
  • Contact-tracering kan ook interessant zijn om personen te waarschuwen wanneer ze in contact zijn geweest met iemand die – zeker of vermoedelijk – geïnfecteerd is met het coronavirus. Dit is vooral interessant bij het begin en het einde van een uitbraak en werd bij voorbeeld in Singapore succesvol ingezet.

Maar deze toepassing vraagt een koppeling van het bewegingspatroon van specifieke individuen aan hun gezondheidsstatus en bovendien het delen van die informatie met derden. Het spreekt voor zich dat de bezorgdheden voor privacy hier al meer de kop op steken dan bij de voorgaande toepassingen.

Een nauwgezette toetsing van zulke systemen aan de Europese GDPR-wetgeving is noodzakelijk omdat er geen anonieme gegevens gebruikt worden. Hoogstens zijn ze ‘gepseudonimiseerd’, dat wil zeggen: de gegevens zijn losgekoppeld van naam en toenaam, maar kunnen er wel terug aan gekoppeld worden.

Dit roept onmiddellijk het doembeeld op van de big-brother verhalen uit China, waar mensen verplicht worden persoonlijke gezondheidsinformatie te delen.

In principe is er ook binnen het Europese kader van gegevensbescherming ruimte voor het verzamelen van persoonlijke informatie indien dit nodig is voor het ‘algemeen belang’. Zo geeft u bijvoorbeeld de politie geen persoonlijke toestemming om een foto van uw nummerplaat te maken wanneer u voorbij een flitspaal raast.

Toch is er in België momenteel geen maatschappelijk draagvlak voor een verplichte tracering, dus zal dit soort app gestoeld moeten worden op vrijwillige deelname. Zelfs als mensen vrijwillig hun persoonlijke gegevens delen, blijft het echter belangrijk de privacy zoveel mogelijk te garanderen en stigmatisering te voorkomen. Een systeem zoals in Zuid-Korea, waarbij mensen de bewegingen van COVID-patiënten in de buurt kunnen volgen, zou bij ons de privacy-toets niet doorstaan.

Een andere, betere manier om met gegevens over contacten om te gaan is door, wanneer iemand rapporteert besmet te zijn, een waarschuwing te sturen naar alle mensen die de afgelopen periode met die persoon in contact zijn geweest. Maar dan zonder mee te delen om welke persoon het precies gaat, welke kenmerken hij/zij heeft, welk traject hij/zij precies heeft afgelegd of waar en wanneer u precies in contact kwam.

Zijn de privacy-zorgen daarmee compleet van de baan? Niet echt, want als ik de afgelopen 2 weken slechts met 1 persoon in contact kwam, dan weet ik natuurlijk om wie het gaat. Toch lijkt dit een aanvaardbare prijs om te betalen voor de voordelen die zo’n app oplevert. Dit soort systemen leiden ertoe dat personen met een infectiegevaar zichzelf afzonderen nog voor er zich ziekteverschijnselen voordoen. En dat is belangrijk, want het is vaak in die fase dat men andere mensen besmet zonder zich van enig kwaad bewust te zijn.

Dat kan dus een zeer positieve impact hebben op de verdere verspreiding van het virus, maar werkt slechts als veel mensen deelnemen aan het systeem. Als er een beperkt deel van de bevolking aan meewerkt, kan het ook een vals gevoel van veiligheid creëren. Mensen denken onterecht dat ze niet in aanraking zijn geweest met een besmet persoon en dus wat losser kunnen omgaan met de maatregelen. In dit opzicht zou het dus ook een negatieve impact kunnen hebben.

Om dit alles in goede banen te leiden en ervoor te zorgen dat de positieve impact de negatieve overtreft, moet er aan minstens twee voorwaarden voldaan zijn:

(1) Er moeten voldoende garanties zijn dat persoonlijke informatie niet misbruikt wordt, dat alle toepassingen minstens conform de GDPR zijn en bij voorkeur verder gaan wat betreft de bescherming van de privacy. De opening die de GDPR laat voor het inwinnen van persoonlijke informatie in het algemeen belang, laat ook misbruiken toe, waarvoor we alert moeten blijven.

(2) Er moet voldoende geïnformeerd worden over de beperkingen van dit soort apps. Er moet benadrukt worden dat ook wanneer men geen weet heeft van contact met een geïnfecteerde persoon, het opvolgen van de geldende maatregelen noodzakelijk blijft.

Mobiliteit beperken

Tot slot kunnen apps ook worden gebruikt om de mobiliteit van mensen met een coronabesmetting te verhinderen of beperken. In bepaalde regio’s van China heeft men geen toegang tot publieke plaatsen of openbaar vervoer als men geen persoonlijke code ‘groen’ kan voorleggen op een app die allerlei informatie verzamelt.

Deze informatie wordt gedeeltelijk door de persoon zelf ingevoerd op basis van een vragenlijst (bij voorbeeld of men weet heeft van recent contact met een besmet persoon). Het andere deel is gebaseerd op allerlei andere bronnen, bijvoorbeeld gegevens over gemaakte verplaatsingen, maar mogelijks ook andere persoonlijke informatie zoals inhoud van sociale media en zelfs gezichtsherkenningstechnologie.

In België moeten we weinig schrik hebben dat we deze kant op zouden gaan, gezien de strikte Europese wetgeving en onze Belgische Gegevensbeschermingsautoriteit die erop toeziet dat de regels worden nageleefd.

Toch horen we her en der stemmen die een ‘nood breekt wet’ idee lanceren en stellen dat mensen in tijden zoals deze graag aanvaarden om hun vrijheid en privacy in te perken in het algemeen belang.

Het komt er dus op aan om met een kritisch oog naar deze nieuwe vormen van controle te blijven kijken zodat men op een creatieve manier de voordelen voor het publiek belang kan combineren met een maximale bescherming van onze privacy en zodat maatregelen die we enkel aanvaarden in deze noodsituatie niet gangbaar blijven wanneer het gevaar binnenkort – hopelijk – geweken is.

*GDPR: Europese wet over de verwerking van persoonsgegevens door bedrijven en overheden.

Deze column verscheen eerder op De Maakbare Mens.