Grip op de pandemie door het gebruik van locatiedata
Door: Prof. dr. Andrej Zwitter en dr. Oskar Gstrein
In tijden van crisis, zoals de Coronavirus-pandemie, zijn krachtige en doortastende maatregelen nodig om wereldwijd levens te redden. Er is een toenemende behoefte van regeringen aan toezicht en controle op het publiek, waardoor het mogelijk noodzakelijk is om de individuele vrijheid te beperken. Het gebruik van apps voor het volgen van individuen - waar Europese initiatieven zoals Pepp-PT op dit moment onderzoek naar doen - belooft een 'snelle terugkeer naar het dagelijkse' voor de bevolking in het algemeen. Daarom overweegt ook de Nederlandse overheid het gebruik ervan. Het systematische gebruik van gegevens op deze schaal heeft echter gevolgen voor de bescherming van gegevens, de privacy en de informatievoorziening. Dergelijke maatregelen moeten zorgvuldig worden gepland, met effectief toezicht en een transparante evaluatie. Potentiële risico's moeten idealiter worden beperkt door middel van specifieke wettelijke kaders. Bij het gebruik van locatiegegevens moeten op zijn minst de algemene beginselen van de bescherming van de grondrechten in acht worden genomen.
Sociale stabiliteit versus vrijheid
Crisistijden vereisen dat de overheid handelend optreedt en de bevolking in de gaten houdt, wat beperking van individuele vrijheden kan betekenen. Om dergelijke ontwikkelingen in een formeel perspectief te plaatsen is het nuttig om naar het juridische en institutionele raamwerk van de Raad van Europa (RvE) te kijken. Deze internationale organisatie is uitvoerder van en toezichthouder op een van de belangrijkste verdragen omtrent individuele vrijheid: het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). De RvE heeft procedures en jurisprudentie ontwikkeld voor crises zoals deze. De leidraad bij artikel 15 EVRM voor afwijkingen in tijden van nood is onlangs bijgewerkt, op 31 december 2019. De leidraad stelt dat een land van artikel 15 mag afwijken in het geval van
- oorlog of een andere noodsituatie die een bedreiging is voor het leven in het land,
- door strikte maatregelen te nemen die de situatie vereist,
- onder de voorwaarde dat de maatregelen niet in strijd zijn met andere verplichtingen die onder internationaal recht vallen.
Artikel 4 van het internationaal verdrag inzake burgerrechten en politieke rechten (IVBPR) bevat gelijkluidende bewoordingen, en voegt daaraan toe dat elk land de andere partijen van de afwijking op de hoogte moet brengen met rapportages aan het VN-secretariaat. Van bepaalde rechten mag niet worden afgeweken, zoals het recht op leven (behalve in geval van sterfgevallen door ‘rechtmatige’ oorlogsdaden), het verbod op marteling en andere vormen van mishandeling, het verbod op slavernij en het legaliteitsbeginsel (nulla poena sine lege). Andere rechten zijn echter wel onderhevig aan afwijkingen, zoals met name het recht op privacy, het recht op vrijheid, het recht op meningsuiting en het recht op vereniging en vergadering. Dergelijke afwijkingen zijn alleen toegestaan op tijdelijke basis.
Locatiedata om de bevolking in de gaten te houden
Bij de bestrijding van een grootschalige crisis als een pandemie moeten overheden weten waar de dreiging vandaan komt, hoe het dreigingsscenario zich ontwikkelt en of de bevolking zich houdt aan maatregelen om besmetting te voorkomen. Overheden en onderzoeksinstituten hebben data nodig om daar inzicht in te krijgen en locatiedata in het bijzonder zijn aantrekkelijk, zoals onderzoek in menswetenschappen de laatste jaren heeft laten zien. Een belangrijke naam in dit veld is het Centre for Humanitarian Data van het Bureau voor de coördinatie van humanitaire zaken van de Verenigde Naties (UN-OCHA), dat samen met data- experts werkt aan gedetailleerde richtlijnen voor verantwoordelijk omgaan met data.
Wat datagebruik en COVID-19 betreft, reageerden commentatoren enkele weken geleden verrast op het feit dat de Chinese overheid een mobiele app had ontwikkeld die gebruikers informeerde of zij in contact waren geweest met iemand die besmet was met COVID-19. De inzichten van deze app zijn hoogstwaarschijnlijk gebaseerd op locatiedata, verzameld door mobiele netwerken, wifi-verbindingen en andere vormen van toezicht die de locaties van individuen en groepen in de gaten houden. Soortgelijke apps werden al snel ook in Hong Kong en Zuid-Korea gebruikt. In China lijkt deze benadering te hebben geleid tot de ‘Alipay Health Code’, een systeem dat inwoners classificeert volgens een schimmige methode. Zodra de gebruiker een vragenlijst invult worden deze data gecombineerd met andere bronnen, zoals locatiedata. Na data-analyse krijgt de gebruiker de uitslag via een gekleurde QR-code: een groene code geeft de gebruiker toestemming om zich zonder beperkingen te verplaatsen, een gebruiker met een gele code moet zeven dagen thuisblijven en een rode QR-code verplicht de gebruiker tot een quarantaine van twee weken.
Toen COVID-19 naar het westen trok, stelde Israël de noodhulpspionagemachten in staat om de mobiele-telefoongegevens van mensen met een vermoeden van coronavirus op te sporen, terwijl mobiele telefoonoperators in Duitsland, Oostenrijk en meer Europese landen hun inzichten over de (niet-)verplaatsing van groepen van de bevolking, verdeeld in stukken van twintig tot dertig personen, begonnen te delen met onderzoeksinstituten en de overheid. Terwijl deze maatregelen in het begin vooral gericht waren op geaggregeerde gegevens, zijn de gegevens in de loop van de crisis steeds individueler geworden. Op het moment van schrijven lijkt de opkomst van verschillende tracking apps om individuen op vrijwillige basis te volgen in Duitsland op handen te zijn. De Amerikaanse regering is actief in gesprek met verschillende grote technologiebedrijven zoals Google en Facebook om te onderzoeken hoe locatiegegevens kunnen worden gebruikt om de pandemie te bestrijden, inclusief het volgen van de vraag of mensen elkaar op veilige afstand houden om de verspreiding van het virus tegen te gaan. Het is moeilijk te voorspellen hoe dit zich zal ontwikkelen nu de crisis in de VS steeds heviger wordt, maar Google is al begonnen met het delen van enkele gegevens op eigen initiatief. Tot slot adverteren surveillancebedrijven als Athena Security en het beruchte spywarebedrijf NSO met gespecialiseerde bewakingscamera's en speciale gegevensanalyseservices, waarbij locatiegegevens worden gebruikt om de verspreiding van de ziekte te volgen op basis van de bewegingen van individuen en groepen.
Mogelijke bezwaren
Het nut van deze maatregelen is onderworpen aan een kritische, publieke controle vanwege de ethische gevolgen. Het effect van een dergelijk potentieel zeer indringend systeem op lange termijn is namelijk onbekend. Hoe zullen we over een week, over een maand, over een jaar en over tien jaar denken over grootschalige locatiebepaling? Zoals bij elke bewakingsactiviteit van deze dimensie (bv. het bewaren van telecommunicatiegegevens) zal het opsporen van locaties om de huidige pandemie te bestrijden in de loop van de tijd ongetwijfeld indringender worden, en de mogelijkheid van 'mission creep' doemt op als deze eenmaal is ingevoerd. De speciale VN-rapporteur voor het recht op privacy heeft het onlangs zo geformuleerd: "Als je een overheid hebt die het systeem wil misbruiken, dan is het systeem er."
Over de balans tussen veiligheid en individuele vrijheid is veel geschreven, met name over het valse compromis tussen privacy en veiligheid. Hoewel deze pandemie om uitgebreide maatregelen vraagt, moeten we niet vergeten dat het gebruik op een dergelijke schaal van locatiedata en andere naar een individu terug te herleiden persoonlijke en demografische data, leidt tot een grote ‘uitstoot van data’. Dat heeft onvermijdelijk consequenties voor databescherming en privacy. Dat we momenteel in een noodsituatie zitten, betekent niet dat alles is toegestaan.
Het is eigenlijk verrassend hoe ondoordacht het gebruik van locatiedata op dit punt is, als we bijvoorbeeld denken aan de militairen die onbedoeld via de fitness-app Strava geheime militaire bases onthulden, of aan een artikel van The New York Times over hoe recent geanonimiseerd datagebruik toch tot ‘Zero Privacy’ leidt. Deze data waren zonder raamwerk van regelgeving te verkrijgen en te analyseren, wat bewijst dat het onze samenleving nog ontbreekt aan duidelijke, officiële richtlijnen voor dergelijke praktijken. Het schort niet alleen aan overzicht over datagebruik. Ook ligt nog open hoe mensen kunnen worden beschermd tegen datamisbruik, en wat ze er zelf tegen kunnen doen. Door zaken als eerder genoemd misbruik van locatiedata stelde de Federal Communications Commission in de VS onlangs een boete voor van 200 miljoen dollar, voor mobiele-netwerkbeheerders die data verzamelen en doorverkopen.
Onderzoek wijst keer op keer uit dat het door grootschalige dataproductie in combinatie met verbeterde technieken om die grote datasets te analyseren, steeds moeilijker wordt om datasets anoniem te houden. De Special Rapporteur privacyrecht van de VN heeft de risico’s van de combinatie van open en gesloten datasets terecht onder aandacht gebracht. In ons onderzoek naar naar mobiele apparaten als stigmatiserende veilgheidssensoren we het over ‘technologische gentrificatie’, wat inhoudt dat ons leven constant wordt gemonitord en dat we dat als normaal zien; wie het er niet mee eens is, wordt in feite bestempeld als ouderwets.
Hoewel een crisis zoals de huidige coronapandemie snelle en effectieve maatregelen vereist, moeten we niet vergeten dat we data in hun context moeten zien. Dezelfde dataset kan afhankelijk van context een heel andere betekenis en gevoeligheid krijgen. Er zijn weloverwogen kaders nodig om ervoor te zorgen dat data verantwoordelijk en legitiem worden verkregen, geanalyseerd, opgeslagen en gedeeld. Vanuit de context van COVID-19 zijn locatiedata erg nuttig voor epidemiologische analyse, maar bekijk deze data vanuit een politieke crisis en ze vormen een bedreiging voor de democratie, de wet en de mensenrechten.
De behoefte aan passende bestuurskaders
Gelukkig reageren in de hele wereld al deskundigen op de mogelijke dreiging van ondoordacht gebruik van locatiedata om de crisis te beteugelen. Op 16 maart 2020 publiceerde het Europees Comité voor gegevensbescherming (EDPB) een verklaring waarin voorzitter Andrea Jelinek benadrukt dat “[...] zelfs in deze uitzonderlijke tijden, de beheerder van de gegevens de bescherming van persoonlijke data moet verzekeren. Daarom moet een aantal zaken worden overwogen om het rechtmatig verwerken van persoonlijke data te garanderen. [...].” Europese autoriteiten op het gebied van data hebben inmiddels een lijst opgesteld met begeleidende documenten. Bovendien heeft de Nederlandse overheid tot nu toe bevestigd dat zij alleen zal kiezen voor oplossingen die de privacy beschermen. Verder zijn maatschappelijke organisaties begonnen met het opstellen van bruikbare criteria ad-hoc en in principe.
Deze inspanningen zijn een stap in de goede richting, maar idealiter zouden regeringen officiële, wettelijke kaders moeten ontwikkelen. Het is waar dat er bij crises snel gehandeld moet worden, maar er zou op zijn minst van overheden verwacht mogen worden dat ze maatregelen nemen die geworteld zijn in een degelijke wettelijke basis en dat ze genomen maatregelen op een transparante manier kunnen toelichten. Het lijkt er echter op dat de overheden in deze situatie ad hoc maatregelen nemen, die later gerechtvaardigd moeten worden door onafhankelijke organisaties op het gebied van gegevensbescherming, die op die manier hun langetermijndoelen opofferen voor kortetermijnmaatregelen ten behoeve van het algemeen belang. Crisisrespons wordt steeds meer een samenwerking tussen ngo’s, overheden en bedrijven. In dat opzicht zijn de internationale data guides van UN-OCHA van onschatbare waarde, al helemaal omdat het bij datamisbruik niet alleen om landen, maar ook om bedrijven gaat.
Meer diepgaande vragen over de betekenis van individuele toestemming en effectieve pseudonimisering en anonimisering blijven onbeantwoord. Het ligt helaas buiten het bereik van dit korte artikel om die zaken in detail te behandelen, maar ‘groepsprivacy’ en zelfbeschikking over data in het digitale tijdperk zijn goede startpunten voor diepgaande discussies. Het onderzoeksveld voor de geesteswetenschappen heeft veel aandacht voor deze onderwerpen. De focus ligt hierbij veelal op verantwoordelijk omgaan met data en niet slechts op het nakomen van regelgeving, omdat die regelgeving zelf nog niet volledig is. Men wordt al gauw teruggeworpen op abstracte voorschriften voor mensenrechten. Hopelijk wordt deze kloof snel overbrugd, zodat we onze volle aandacht kunnen richten op het onder controle krijgen van de crisis, in plaats van dat we juist hindernissen creëren omtrent verantwoordelijk datagebruik.
Conclusie
Het gebruik van locatiedata om de coronapandemie onder controle te krijgen kan erg nuttig zijn. Overheden en onderzoeksinstellingen kunnen daarmee de dreiging sneller aanpakken. Locatiedata zijn echter niet de enige data die nuttig zijn in dit opzicht: ook genetische data kunnen relevant zijn (om bijvoorbeeld vaccins te ontwikkelen), en het in de gaten houden van online communicatie op sociale media kan ons helpen de vrede en veiligheid te handhaven. Door het gebruik van zoveel data leveren we wel in op individuele vrijheid en collectieve autonomie. Deze risico’s worden idealiter verkleind met wettelijke bestuurskaders die de doelen van datagebruik beschrijven en die licht werpen op de manier van dataverzameling, -analyse, - opslag en het delen en uiteindelijk vernietiging ervan. Nu zulke normen nog ontbreken, kunnen we enkel terugvallen op fundamentele mensenrechten, zoals artikel 8, paragraaf 2 van de EVRM, dat ons eraan herinnert dat inbreuk op onze privacy alleen rechtmatig is als het in overeenstemming met de wet gebeurt, nodig is voor de democratie, een duidelijk wettig doel dient en evenredig is in toepassing. Het naleven van deze principes is in het bijzonder relevant in tijden van crisis, waar naleving het verschil maakt tussen een samenleving die focust op politieke controle en onderdrukking, en een samenleving die gelooft in vrijheid en autonomie.
Laatst gewijzigd: | 16 april 2020 15:31 |
Meer nieuws
-
10 juni 2024
Om een wolkenkrabber heen zwermen
In Makers van de RUG belichten we elke twee weken een onderzoeker die iets concreets heeft ontwikkeld: van zelfgemaakte meetapparatuur voor wetenschappelijk onderzoek tot kleine of grote producten die ons dagelijks leven kunnen veranderen. Zo...
-
21 mei 2024
Uitslag universitaire verkiezingen 2024
De stemmen zijn geteld en de uitslag van de universitaire verkiezingen is binnen!