Overheden die mobiele locatiegegevens van burgers willen gebruiken in de strijd tegen het coronavirus mogen dit niet zomaar doen. Daarnaast gelden er regels voor bedrijven die namen van besmette medewerkers bekend willen maken. Dat laat het Europees Comité voor gegevensbescherming (EDPB) vandaag weten. Eerder kwam de voorzitter van de EDPB al met een verklaring dat ook bij de bestrijding van corona de AVG van kracht is.

De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Nu heeft de toezichthouder een uitgebreidere verklaring over de verwerking van persoonlijke gegevens in de strijd tegen het coronavirus gepubliceerd (pdf). Het gaat voornamelijk over de rechtmatigheid van de gegevensverwerking, de kernprincipes voor het verwerken van persoonlijke data, het gebruik van mobiele locatiegegevens en spelregels voor werkgevers.

Eén van de vragen waar de EDPB op ingaat is of overheden persoonlijke locatiegegevens van mobiele telefoons mogen gebruiken om de verspreiding van corona te monitoren, beperken of voorkomen. Het gaat dan bijvoorbeeld om de mogelijkheid om mensen in een bepaald gebied via berichten te waarschuwen. Autoriteiten die locatiegegevens willen gebruiken moeten dit in eerste instantie op een anonieme manier doen, door gegevens op een geaggregeerde wijze te verwerken zodat personen niet zijn te identificeren.

Wanneer het verwerken van anonieme gegevens niet mogelijk is kan er wetgeving worden geïntroduceerd om de openbare veiligheid te beschermen, waardoor ook niet geanonimiseerde locatiegegevens mogen worden verwerkt. Hierbij gelden wel de principes van proportionaliteit en moet de minst indringende manier worden gekozen. Volgens de EDPB zijn indringende maatregelen zoals het tracken van personen in bepaalde bijzondere omstandigheden als proportioneel te beschouwen.

Werkgevers

De toezichthouder gaat ook in op informatie die werkgevers mogen opvragen of verwerken. Het gaat bijvoorbeeld om de vraag of werkgevers van werknemers of bezoekers specifieke gezondheidsinformatie over het coronavirus mogen vragen. Ook hierbij gelden de principes van proportionaliteit en dataminimalisatie, merkt de EDPB op. Daarnaast mogen werkgevers alleen gezondheidsinformatie vragen zover dat door nationale wetgeving wordt toegestaan.

Ook bij het uitvoeren van medische controles van medewerkers en het vrijgeven van namen van besmette medewerkers speelt nationale wetgeving een rol. "Werkgevers moeten personeel over coronagevallen informeren en voorzorgsmaatregelen treffen, maar zouden niet meer informatie dan nodig moeten communiceren. In gevallen waarbij het nodig is om de naam van besmette medewerkers vrij te geven en dit wordt toegestaan door nationale wetgeving, zou de betreffende medewerker van tevoren moeten worden ingelicht en hun waardigheid en integriteit moeten worden beschermd", aldus de toezichthouder.