Vorige week kondigde de Belgische Gegevensbeschermingsautoriteit of GBA aan de grootste luchthavens in ons land, Brussels Airport Zaventem en Brussels South Charleroi, respectievelijk 200.000 en 100.000 euro te beboeten. Reden: de volgens haar onwettige temperatuurcontroles die beide partijen uitvoerden tijdens het eerste jaar van de coronapandemie, en het ontbreken van een geldige rechtsgrond daarvoor. Een terechte vingerwijzing, meent Bavo Van den Heuvel, Chief Knowledge Officer en medeoprichter van Cranium. Maar, zelf laat de GBA na dit precedent aan te grijpen om een duidelijk wettelijk kader te scheppen voor het geval een dergelijke noodsituatie zich zou herhalen. Een gemiste kans, zegt Bavo Van den Heuvel in deze bijdrage.
In Zaventem alleen werd tussen juni 2020 en januari 2021 van ongeveer 800.000 passagiers de temperatuur opgemeten met een thermische camera, om te controleren op koorts en dus mogelijk COVID-19. Circa 800 van hen werden aan verdere screening onderworpen. Volgens de GBA ontbrak een geldige rechtsgrond voor de verwerking van die gevoelige gezondheidsgegevens, omdat ze gebaseerd is op een protocol en niet op een duidelijke en nauwkeurige rechtsnorm. Bovendien werden er schendingen vastgesteld op het vlak van informatieverstrekking aan de reizigers en de kwaliteit van de gegevensbeschermingseffectbeoordeling, i.e., de analyse van de risico’s die ontstaan door de gegevensverwerking.
Hoewel dat alles in de grond correct is, zijn er toch vragen te stellen bij de aanpak van de GBA, die van deze zaak vooral een symbooldossier lijkt te willen maken. Zo lijdt het geen twijfel dat het hier uitzonderlijke maatregelen voor uitzonderlijke omstandigheden betrof, en zijn er geen aanwijzingen die suggereren dat ze niet te goeder trouw genomen zijn, of dat de gegevens niet met de grootst mogelijke discretie behandeld zijn. De maatregelen waren bovendien duidelijk begrensd in tijd, en de gegevens werden niet langer bewaard dan nodig. De uiteindelijke privacy-impact was, met andere woorden, beperkt.
Ondanks het nuttige en nodige onderzoek van de GBA naar wat gebeurde en wat misliep, laten deze boetes daarom een ietwat wrange smaak na. Zo wordt er omstandig met de vinger gewezen – de beslissing met betrekking tot Brussels Airport telt maar liefst 75 pagina’s – maar is er een totaal gebrek aan enige toekomstgerichte visie. Terugkijken en analyseren wat misliep is een goede zaak, maar het volstaat niet: volgende keer beter doen is waar het om draait.
Net zoals je het dak best herstelt wanneer de zon schijnt is het daarom zaak om, nu de coronastorm eindelijk gaan liggen is, de blik vooruit te richten en een afdoend wettelijk kader te creëren voor toekomstige noodsituaties (gezondheidscrisissen, oorlogen…) die mogelijk privacy-invasieve maatregelen zouden vereisen. In dat kader moet vastgelegd worden in welke uitzonderlijke omstandigheden en voor welke hogere doelen dit eventueel zou moeten kunnen, hoe dat moet gebeuren, en met welke garanties voor onze privacy. Dit om duidelijkheid en houvast te verschaffen: niet alleen voor onze luchthavens maar ook ziekenhuizen, rusthuispersoneel en werkgevers en werknemers in het algemeen, zodat zij weten wat te doen en niet moeten improviseren met het risico achteraf vervolgd te worden door de GBA, die trouwens genoeg andere katjes te geselen heeft. Onder het motto ‘voorkomen is beter dan genezen’ lanceer ik bij deze daarom graag een warme oproep aan de GBA om hier alsnog werk van te maken.
Wat de zaken van de GBA tot slot ook ten goede zou komen, is beknoptere en toegankelijkere communicatie, met duidelijke ‘lessons learned’. Nu zijn de adviezen en beslissingen telkens bijzonder langdradig en in erg technisch jargon opgesteld, zonder enige vorm van samenvatting, wat het bijzonder moeilijk maakt om er je weg in te vinden. Wil de GBA zijn maatschappelijke rol ten volle opnemen en écht bijdragen tot het vrijwaren en beschermen van onze privacy, dan kan en moet ook dat beter.