Privacyverklaring
Contactopsporingsapp — België
Versie 1.2 14 april 2022
De precieze werking van Coronalert en de achterliggende gegevensbanken, en de verantwoordelijkheden in dat verband wordt geregeld door het Samenwerkingsakkoord van 25 augustus 2020 tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano.
Dit samenwerkingsakkoord regelt de gebruikte gegevensbanken, inzonderheid artikel 14. Voor de leesbaarheid wordt in deze tekst systematisch verwezen naar Sciensano als verwerkingsverantwoordelijke voor de gegevensbanken. Dit doet geen afbreuk aan het feit dat in de vermelde regelgeving bepaalde verantwoordelijkheden inzake de app zelf worden toegewezen aan de gefedereerde entiteiten.
1. Inleiding tot de app voor het opsporen van contacten
Deze Contactopsporingsapp werd ontwikkeld in het kader van de uitbraak van het Coronavirus en op initiatief van de Belgische regering en de gefedereerde entiteiten.
De Contactopsporingsapp is gebaseerd op het “Decentralized Privacy-Preserving Proximity Tracing” systeem (“DP-3T systeem”) ontwikkeld door een internationaal consortium van technologen, juristen, ingenieurs en epidemiologen van verschillende universiteiten. Meer gedetailleerde informatie over het DP-3T systeem is publiek beschikbaar op https://github.com/DP-3T/documents. Daarnaast maakt de Contactopsporingsapp gebruik van het Exposure Notification System dat door Google en Apple is ontwikkeld. Dit Exposure Notification System stelt de Contactopsporingsapp in staat om meldingen naar de gebruiker te sturen, zoals hieronder nader wordt toegelicht. Meer informatie over het systeem voor kennisgeving van blootstelling is beschikbaar op https://www.google.com/covid19/exposurenotifications/.
Het gebruik van de Contactopsporingsapp is volledig vrijwillig. Met andere woorden, er is geen enkele verplichting om deze Contactopsporingsapp te installeren.
De Contactopsporingsapp is bedoeld voor gebruik in elk land dat ook een DP-3T systeem gebruikt. Dit betekent dat als een gebruiker van de Belgische Contactopsporingsapp zo een land bezoekt, hij/zij ook meldingen kan ontvangen dat hij/zij een risico heeft gelopen in dit land.
2. Wie is de verwerkingsverantwoordelijke voor de app?
Deze Contactopsporingsapp wordt gereguleerd door het Samenwerkingsakkoord van 25 augustus 2020 tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano (hierna “Samenwerkinsakkoord van 25 augustus 2020” genoemd).
Deze Contactopsporingsapp wordt aangeboden door de regionale gezondheidsdiensten en Sciensano is verantwoordelijk voor de serverinfrastructuur van de app. Sciensano is een openbare instelling met rechtspersoonlijkheid opgericht door de wet van 25 februari 2018 betreffende de oprichting van Sciensano, met maatschappelijke zetel te Juliette Wytsmanstraat 14, B-1050 Elsene en geregistreerd bij de Kruispuntbank van Ondernemingen onder het nummer 0693.876.830 (hierna “Sciensano” genoemd).
Volgens het Samenwerkingsakkoord van 25 augustus 2020 treedt Sciensano op als de verantwoordelijke voor het verzamelen en verwerken van persoonsgegevens in de zin van de Algemene Verordening inzake de Gegevensbescherming (“AVG” genoemd).
Sciensano kan worden gecontacteerd op het hierboven vermelde adres en via e-mail op [email protected].
Sciensano heeft een functionaris voor gegevensbescherming aangesteld, die bereikbaar is via [email protected].
3. Wat is het doel van de App voor het opsporen van contacten en hoe werkt het?
Nabijheidstracering
Het doel van de Contactopsporingsapp is om burgers te informeren die in de nabijheid van een COVID-19-positieve persoon zijn geweest en dus zijn blootgesteld aan het virus, zonder de identiteit van het contact te onthullen of waar en wanneer juist het contact heeft plaatsgevonden. De verschillende verwerkingen van persoonsgegevens in het kader van deze meldingsprocedure en in het kader van de registratie als gebruiker van de Contactopsporingsapp zijn gebaseerd op redenen van algemeen belang (art. 6.1 (e) van de AVG) en, voor zover het gegevens met betrekking tot de gezondheid betreft, op redenen van algemeen belang op het gebied van de volksgezondheid (art. 9.2 (i) van de AVG). De Contactopsporingsapp wordt geregeld door het Samenwerkingsakkoord van 25 augustus 2020. De verwerkingsactiviteiten worden inderdaad uitgevoerd in het algemeen belang, aangezien ze tot doel hebben de verspreiding van COVID-19 in te dijken en de bevolking tegen deze epidemie te beschermen.
Om dit doel te bereiken genereert de Contactopsporingsapp Geheime Sleutels en berekent van deze sleutels kortstondige (met andere woorden, tijdelijke), willekeurige ID’s die de telefoon van de gebruiker vertegenwoordigen. Deze ID’s zijn efemeer omdat ze op een hoge frequentie worden aangepast (elke 10-20 minuten), d.w.z. op dezelfde frequentie als het Bluetooth MAC-adres (dit is tijdelijke identifiers die Bluetooth-apparaten gebruiken om de afzender of ontvanger van berichten aan te geven).
De telefoon van de gebruiker zendt deze willekeurige ID’s uit en registreert ook de willekeurige ID’s die worden uitgestuurd door andere telefoons in de buurt en slaat deze op voor 14 dagen samen met de datum, de signaalsterkte en de duur.
Om getest te worden op COVID-19 moet een gebruiker contact opnemen met een zorgverlener die een staal neemt. De zorgverlener of de gebruiker zelf registreren een pseudonieme identificatiecode van de telefoon van de gebruiker in de testserver. Vanaf dat moment zal de Contactopsporingsapp regelmatig de testserver controleren, aan de hand van deze anonieme identificatiecode, om na te gaan of het testresultaat beschikbaar is. Zodra het testresultaat beschikbaar is, zal de Contactopsporingsapp de gebruiker informeren over het testresultaat: negatief of positief. Als het resultaat positief is, moet de gebruiker contact op te nemen met de arts. De gebruiker kan dan toestemming geven om de Geheime Sleutels die de eerder uitgezonden willekeurige ID’s genereren (zoals verder beschreven in paragraaf 4) op te laden naar de centrale server. Om onjuist gebruik tot een minimum te beperken, wordt deze upload geautoriseerd door de testserver die een autorisatiecode naar de centrale server stuurt. Direct na de upload worden al deze Geheime Sleutels van de telefoon verwijderd.
Behalve als ze worden geüpload, blijven de Geheime Sleutels om de uitgezonden willekeurige ID’s te genereren voor een periode van maximaal 14 dagen in de telefoon. De opgenomen willekeurige ID’s van andere gebruikers verlaten nooit de telefoon en worden na 14 dagen vernietigd.
Zodra de Geheime Sleutels om de uitgezonden willekeurige ID’s te genereren door een geïnfecteerde gebruiker naar de centrale server zijn geüpload kan de Contactopsporingsapp van andere gebruikers deze Geheime Sleutels van de server halen. Op deze manier kan de app inschatten of die andere gebruikers aan het virus zijn blootgesteld door de nabijheid van een COVID-19-positieve persoon die zijn gegevens heeft geüpload. Als de Contactopsporingsapp die de gegevens van de server ophaalt een substantieel risico op infectie detecteert (d.w.z. dat de gebruiker gedurende een periode van ten minste 15 minuten in de buurt van een COVID-19-positieve persoon is geweest), zal deze de gebruiker informeren en bepaalde acties aanbevelen door middel van een pushmelding in de Contactopsporingsapp. Het is uitsluitend de verantwoordelijkheid van de gebruiker om deze aanbevelingen op te volgen.
Voor de duidelijkheid en om twijfel te voorkomen, de Contactopsporingsapp doet dit NIET:
- toezicht houden op de naleving van door de overheid opgelegde quarantaine-, isolatie- of sociale afstandsmaatregelen;
- opsporen van COVID-19 positieve patiënten;
- in reële tijd informatie over een hoog-risico contact met een positieve patiënt doorgeven;
- informatie sturen over gebruikers zonder een positief testresultaat; noch
- hotspots of trajecten van COVID-19-positieve patiënten identificeren.
Beperkte verwerking voor statistische doeleinden
Op basis van de informatie die naar de centrale server wordt geüpload, kan Sciensano beperkte geaggregeerde statistieken samenstellen, zoals het tellen van het aantal geüploade sleutels per dag en het aantal mensen die de Contactopsporingsapp gebruiken en die elke dag positief getest zijn. Sciensano zal alleen die cijfers genereren op basis van eerder geanonimiseerde gegevens. Sciensano heeft geen toegang tot de namen, telefoonnummers of andere “persoonlijke gegevens” die door de gebruikers worden verstrekt of gegenereerd door het gebruik van de Contactopsporingsapp.
4. Welke persoonsgegevens worden verzameld en verwerkt bij het gebruik van de app voor het opsporen van contacten?
Het DP-3T systeem is specifiek ontworpen om het verzamelen en verwerken van gegevens tot een minimum te beperken. Bij gebruik van de Contactopsporingsapp worden alleen gegevens verzameld waarmee de gebruiker kan worden geïnformeerd dat hij of zij mogelijk is blootgesteld aan het virus. De Contactopsporingsapp informeert de gebruiker niet wie het mogelijke besmettelijke contact was, of waar het contact plaatsvond. De enige informatie die wordt verstrekt is de datum van het contact met een hoog risico.
Hieronder volgt een gedetailleerde beschrijving van de verzamelde gegevens. Aan de hand van de verzamelde gegevens is het niet mogelijk om personen direct of indirect te identificeren. Sciensano heeft geen toegang tot de namen van de gebruikers van de Contactopsporingsapp, noch tot andere persoonlijke gegevens die het mogelijk maken hen te identificeren (telefoonnummer, nationaal registratienummer, IP-adres, enz.). Het kan echter niet worden uitgesloten dat bijvoorbeeld een gebruiker die ervan op de hoogte is gesteld dat hij/zij in nauw contact is geweest met een persoon die positief is bevonden voor COVID-19, deze persoon kan identificeren. Daarom worden de gegevens over het algemeen als persoonsgegevens beschouwd, zij het pseudonieme persoonsgegevens. De sleutels en willekeurige ID’s (zoals hieronder nader toegelicht) worden als gezondheidsgerelateerde gegevens beschouwd wanneer (i) de Contactopsporingsapp vaststelt dat een persoon een risico op infectie loopt, (ii) de persoon een test registreert en (iii) de persoon een positieve testuitslag deelt.
Geheime sleutel
Na installatie genereert de Contactopsporingsapp elke dag een Geheime Sleutel die op de telefoon van de gebruiker wordt opgeslagen.
De Geheime Sleutel wordt gedeeld met alle andere gebruikers om te bepalen of er een mogelijk besmettelijk contact heeft plaatsgevonden als de gebruiker meldt dat hij/zij is gediagnosticeerd met COVID-19 door deze informatie te uploaden naar de centrale server zoals beschreven in paragraaf 3.
Om de persoonlijke levenssfeer van de gebruikers te beschermen en om het risico te verkleinen dat de personen die Geheime Sleutels opladen na een diagnose met COVID-19 geïdentificeerd kunnen worden, zal de Contactopsporingsapp van elke gebruiker (gemiddeld elke 5 dagen) een dummy Geheime Sleutel opladen naar de centrale server.
Tijdelijke willekeurige ID’s
Telefoons met de Contactopsporingsapp sturen via Bluetooth willekeurige getallen (ID’s) uit, die bestaan uit combinaties van enen en nullen. Deze ID’s worden berekend met behulp van de Geheime Sleutels. Eenmaal uitgezonden worden deze ID’s van de telefoon verwijderd.
De telefoon ontvangt de ID’s die worden uitgezonden door nabijgelegen telefoons en slaat de ontvangen ID’s lokaal op met de volgende informatie: ontvangen ID, signaalsterkte, duur en datum.
Deze gegevens van de ontvangen ID’s worden opgeslagen op de telefoon en verlaten de telefoon nooit.
Testresultaten van het laboratorium
Gebruikers hebben de mogelijkheid om het resultaat van hun COVID-19 laboratoriumtest op te vragen via de app die verbinding maakt met de server om de testresultaten te bekomen.
IP-adres
IP-adressen van gebruikers die sleutels downloaden/uploaden worden expliciet verwijderd uit alle logbestanden of opslagruimten. In de Belgische architectuur zorgt een PROXYserver voor het verwijderen van het IP-adres van de oplader (of de server doet het zelf en dit moet geauditeerd worden).
Verkeersgegevens over de upload
Gebruikers die hun Geheime Sleutels opladen naar de centrale server doen dat via de webservice, samen met de datum waarop de Geheime Sleutel werd gebruikt en de geschatte datum waarop de gebruiker besmettelijk werd.
De Contactopsporingsapp verzamelt geen locatiegegevens. De gebruiker kan echter wel binnen de Contactopsporingsapp aangeven in welk(e) land(en) hij/zij op een bepaalde datum is geweest om interoperabiliteit te bekomen met de Contactopsporingsapps van andere landen. In dit geval wordt de Geheime Sleutel naar het door de gebruiker aangegeven land gestuurd. Dit betekent dat het naar de “European Federation Gateway Service” wordt gestuurd, en van daaruit naar de backoffice van de app van het land waar de sleutel is gebruikt (tegenhanger van Sciensano) en van daaruit naar alle app-gebruikers van dat land. De technische en organisatorische details van deze Europese samenwerking zijn vastgelegd in een besluit van de Europese Commissie (Uitvoeringsbesluit (EU) 2020/1023 van de Commissie van 15 juli 2020, dat beschikbaar is op https://eur-lex.europa.eu/eli/dec_impl/2020/1023/oj). Voor meer informatie over de “European Federation Gateway Service” kan men terecht op https://ec.europa.eu/health/ehealth/covid-19_nl. Voor meer informatie over de identiteit van de gemeenschappelijke verantwoordelijke voor de tracering van contacten per land kan men terecht op https://ec.europa.eu/health/sites/health/files/ehealth/docs/gateway_jointcontrollers_en.pdf.
Alleen gebruikers waarvoor de testserver een autorisatiecode heeft gestuurd (na bevestiging dat de gebruiker positief is getest) naar de centrale server kunnen met succes gegevens opladen naar de centrale server.
Autorisatiecode
Wanneer een gebruiker COVID-19 positief wordt getest, stuurt de testserver een autorisatiecode naar de centrale server. Wanneer een gebruiker zijn/haar Geheime Sleutels wil opladen, controleert de centrale server of hij een autorisatiecode voor deze specifieke gebruiker heeft ontvangen. Als de centrale server inderdaad een autorisatiecode heeft ontvangen voor deze specifieke gebruiker, zal de gebruiker de Geheime Sleutels kunnen opladen.
Bezochte landen
De gebruiker kan ervoor kiezen om in de Contactopsporingsapp aan te geven welke landen hij/zij heeft bezocht. Daarnaast verzamelt en verwerkt de Contactopsporingsapp geen andere locatiegegevens.
Persoonlijke gegevens van kinderen
Rekening houdend met het feit dat de Contactopsporingsapp gericht is op de bescherming van de gezondheid en gezien de garanties die worden geboden om de risico’s voor de gebruikers van de app sterk te verminderen (vrijwillig gebruik, beperkte en gepseudonimiseerde gegevens, kortere opslagtijd van de gegevens), wordt ervan uitgegaan dat een kind vanaf de leeftijd van 13 jaar alleen kan instemmen met de installatie van de app. Onder deze leeftijd is de toestemming van de wettelijke vertegenwoordiger vereist.
5. Neemt de app voor het opsporen van contacten geautomatiseerde beslissingen?
De Contactopsporingsapp neemt geen geautomatiseerde beslissingen met betrekking tot een gebruiker in de zin van artikel 22 van de Algemene Verordening inzake Gegevensbescherming (AVG).
6. Met wie worden persoonlijke (pseudonieme) gegevens gedeeld?
Upload naar de centrale server
Zoals beschreven in paragraaf 3 en 4 kan de gebruiker gegevens opladen naar de centrale server. Deze centrale server wordt gehost door Sciensano in de Europese Unie.
De centrale server bewaart alleen informatie van geïnfecteerde gebruikers als zij besluiten om de Geheime Sleutels naar deze server op te laden.
Distributie naar alle apps
Zoals beschreven in paragraaf 3 en 4 worden de naar de centrale server opgeladen sleutels dagelijks naar alle apps gedistribueerd. Om redenen van efficiëntie kan deze distributie plaatsvinden via een Content Distribution Network, d.w.z. een replicatiedienst die ervoor zorgt dat iedereen dezelfde gegevens ontvangt zonder het netwerk te overbelasten.
Het delen van persoonsgegevens met nationale aanbieders van Europese databanken met betrekking tot vergelijkbare contactopsporingsapps in andere landen.
Als de gebruiker in de Contactopsporingsapp aangeeft dat hij/zij een ander EU-land heeft bezocht, kunnen de Geheime Sleutels rechtstreeks of via de EU-gateway naar de centrale servers van vergelijkbare contactopsporingsapps in die EU-landen worden gestuurd, d.w.z. een server die deze sleutels doorstuurt naar de andere EU-servers. Een sleutel wordt alleen doorgestuurd naar land A als een gebruiker aangeeft dat hij land A heeft bezocht.
Het delen van persoonlijke gegevens met ICT-leveranciers
Door het installeren van de Contactopsporingsapp kunnen Google en Apple zien wie de Contactopsporingsapp heeft geïnstalleerd. Zij zorgen er echter voor dat het systeem de identiteit van de gebruikers niet met hen deelt.
7. Worden persoonsgegevens doorgegeven aan landen buiten de Europese Unie?
Persoonsgegevens worden niet doorgegeven aan landen buiten de Europese Unie, met uitzondering van het Verenigd Koninkrijk in het kader van het Content Distribution Network. De Europese Commissie heeft een adequaatheidsbesluit genomen voor het Verenigd Koninkrijk. Dat wil zeggen dat het beschermingsniveau van persoonsgegevens in het Verenigd Koninkrijk gelijkwaardig wordt beschouwd als dat van de EU.
8. Hoe lang worden de persoonlijke gegevens bewaard?
De persoonlijke gegevens die op de telefoon van elke gebruiker en op de centrale server zijn opgeslagen, worden na 14 dagen automatisch verwijderd.
De Contactopsporingsapp zal in ieder geval gedeactiveerd worden op de datum bepaald door de toepasselijke Belgische wetgeving.
9. Hoe worden de persoonsgegevens beschermd?
De ontwikkelaars van het DP-3T systeem hebben veel belang gehecht aan de bescherming van persoonsgegevens. Het DP-3T systeem voorziet in de volgende privacy- en veiligheidsbescherming:
- Het systeem is ontworpen om te voldoen aan de nieuwste cryptografische technieken en maatregelen.
- Alle overdrachten van persoonlijke gegevens worden beveiligd door middel van encryptie en indien nodig geauthentiseerd.
- Persoonlijke gegevens worden voornamelijk opgeslagen op de telefoon van de gebruiker en er wordt slechts beperkte informatie naar de centrale server gestuurd als de gebruiker besluit deze te versturen (decentrale aanpak).
- De decentrale aanpak beperkt het risico van misbruik van de persoonsgegevens door een centrale autoriteit.
Bovendien wordt de centrale server beschermd door passende technische en organisatorische maatregelen, waaronder een strikt toegangsbeheer.
10. Welke rechten hebben de Gebruikers?
Onder de voorwaarden van de Algemene Verordening inzake Gegevensbescherming (AVG) hebben gebruikers het recht om toegang te krijgen tot hun persoonsgegevens, om rectificatie, uitwissing of beperking van de verwerking te verzoeken of om bezwaar te maken tegen de verwerking van hun persoonsgegevens (“rechten van de betrokkene”).
Sciensano zal alleen kunnen reageren op verzoeken van gebruikers wanneer het mogelijk is om de gegevens die worden verwerkt in het kader van de Contactopsporingsapp te koppelen aan de specifieke gebruiker. Om de gegevens aan de gebruiker te kunnen koppelen, zou Sciensano extra gegevens moeten verkrijgen. Aangezien de Contactopsporingsapp is gebouwd op technologie die de persoonlijke levenssfeer van de gebruikers zoveel mogelijk moet beschermen, is het niet wenselijk dat Sciensano aanvullende gegevens verwerkt om de gebruiker te identificeren. Op grond van artikel 11 van de AVGB kan Sciensano niet worden verplicht om dergelijke aanvullende gegevens te verwerken om de gebruiker te identificeren met als enig doel het naleven van de rechten van de betrokkene op grond van de AVGB. Dit betekent dat gebruikers in de praktijk niet in staat zullen zijn om hun rechten als betrokkene uit te oefenen, tenzij er aanvullende informatie aan Sciensano wordt verstrekt.
Gebruikers hebben het recht om een klacht in te dienen bij de Belgische Toezichtautoriteit (https://www.gegevensbeschermingsautoriteit.be / https://www.autoriteprotectiondonnees.be / https://www.dataprotectionauthority.be).
11. Wijzigingen in deze Privacyverklaring
Sciensano kan deze privacyverklaring van tijd tot tijd wijzigen. In dat geval zal Sciensano de gebruiker van een dergelijke wijziging op de hoogte stellen door middel van een kennisgeving in de Contactopsporingsapp.
Suggesties voor verbeteringen van de privacyverklaring mogen steeds gemeld worden aan [email protected].