Het gebruik van contact-tracing apps om de verspreiding van het coronavirus tegen te gaan moet vrijwillig zijn en wanneer mensen de app niet installeren mag dit geen nadelige gevolgen voor hen hebben. Daarnaast moet de broncode openbaar zijn, zo stelt het Europees Comité voor gegevensbescherming (EDPB) in een reactie op de voorlopige richtlijnen van de Europese Commissie voor de ontwikkeling van dergelijke apps.

De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). De Europese Commissie werkt op dit moment aan het plan om apps in te zetten die de verspreiding van het coronavirus moeten tegengaan en had de EDPB om advies gevraagd. De privacytoezichthouder merkt op dat er geen one-size-fits-all oplossing is, maar dat de apps in alle gevallen wel aan de Europese privacywetgeving moeten voldoen.

Zo moeten de apps op een controleerbare manier worden ontwikkeld, waarbij alle 'privacy by design' en 'privacy by default' mechanismes worden gedocumenteerd. Tevens moet de broncode openbaar zijn. In de reactie aan de Europese Commissie gaat de EDPB vooral in op de inzet van contact-tracing apps, waarmee wordt bijgehouden met wie de gebruiker in contact is geweest. De privacytoezichthouder steunt het voorstel van de Europese Commissie om het gebruik van dergelijke apps vrijwillig te maken, waarbij individuen als blijk van "gemeenschappelijke verantwoordelijkheid" zelf voor de installatie van de app kiezen.

Overheden zouden dan ook het vrijwillig gebruik van de apps moeten promoten, zonder dat er negatieve gevolgen zijn voor mensen die er geen gebruik van maken, laat de privacytoezichthouder weten. Burgers zouden tevens vrij moeten zijn om de app te installeren en weer te verwijderen. Waarbij verschillende experts en organisaties opriepen om data van de contact-tracing app decentraal op te slaan, stelt de EDPB dat ook centrale opslag een legitiem alternatief is, zolang de beveiliging maar goed is geregeld. Decentrale opslag is echter meer in lijn met het principe van dataminimalisatie, zegt EDPB-voorzitter Andrea Jelinek.

Verder moet het gebruik van de apps na de coronacrisis worden gestapt en zou alle verzamelde data moeten worden verwijderd of geanonimiseerd. Volgens Jelinek moeten de EDPB en diens leden tijdens het gehele proces worden betrokken, om erop toe te zien dat de AVG en ePrivacy-verordening juist worden toegepast. De EDPB komt binnenkort met richtlijnen over het gebruik van locatiegegevens en andere tracingtools in relatie tot de corona-uitbraak (pdf).