Is corona een vrijbrief om privacy te schenden?
Er wordt in de zorg hard gewerkt om zieke mensen te behandelen en verdere verspreiding van corona te voorkomen. Niet het moment om het over privacy te hebben. Of toch wel? Bij de bestrijding van een infectieziekte zijn gegevens van levensbelang. Dit gaat onder andere over persoonsgegevens en daarmee komen er privacyvragen naar boven, net als bij veel thuiswerken en zieke collega’s. In dit artikel stip ik enkele aspecten aan.
Er zijn al diverse meldingen van e-mailcampagnes die misbruik maken van de verwarrende situatie rond het coronavirus. Er is een mail gesignaleerd met een bijlage hoe men zich zou kunnen beschermen tegen corona. Deze bijlage bevat een macro om de computer te besmetten met malware. Ook is er een wereldkaart op internet gepubliceerd met het aantal wereldwijde coronabesmettingen. In die wereldkaart zit malware die probeert informatie te stelen die is opgeslagen in de browser.
Alle bekende alarmbellen moeten gaan rinkelen: inspelen op gevoel van urgentie, adviezen om normale procedures te omzeilen, wonderbaarlijke geneesmiddelen, berichten of telefoontjes van officiële partijen die aandringen op onmiddellijke actie, enzovoorts… Wees alert.
Grootschalige monitoring ter bestrijding van corona
China kennen we als land dat technologie niet schuwt om burgers te controleren. Precies dat doen ze ook bij coronabestrijding. Met warmtemetende drones die bepalen wie er koorts heeft tot gezichtsherkenning om isolatie van besmettelijke personen te handhaven. Mensen die geen mondkapjes dragen worden door de drones gewaarschuwd. En er zijn interactieve kaarten waarop je huis- en werkadressen van besmette personen kunt zien. In Israël gebruikt men in de coronabestrijding de software die anders ingezet wordt in de strijd tegen terrorisme. Er is veel geld geïnvesteerd in de technologie, waar ook gezichtsherkenning gebruikt wordt. Deze volgsystemen via mobiele telefoons zijn, naar eigen zeggen, nog nooit eerder ingezet tegen Israëlische burgers. Premier Netanyahu noemt corona “de onzichtbare tegenstander”. Van alle kanten wordt ontkend dat verzamelde gegevens gebruikt zullen worden voor iets anders dan coronabestrijding. Net als in China zijn in Israël mensen met een mening die afwijkt van het regeringsstandpunt wel op hun hoede. Worden verzamelde gegevens bewaard en wellicht toch gebruikt om tegenstanders te volgen? Wie denkt dat onze Nederlandse overheid verzamelde gegevens nooit zal misbruiken, die wil ik vragen nog even te denken aan de kinderopvangtoeslagaffaire en de geheime zwarte lijst met “verdachte burgers” van de Belastingdienst.Privacy van de thuiswerker
Er wordt veel thuis gewerkt dezer dagen. Dit brengt ook aspecten van privacy en informatieveiligheid met zich mee. Is het veilig om thuis te werken: veilige verbinding, geen opslag van gegevens op privécomputers, al of niet meenemen van documenten, de afscherming van gegevens voor huisgenoten, en meer van dit soort zaken. Een ander aspect van thuiswerken is de privacy van de werknemer. Overbezorgde werkgevers willen graag controleren of er wel echt gewerkt wordt daar thuis, en schuwen het opzoeken van grenzen niet. Controle door middel van het regelmatig automatisch nemen van screenshots tot gebruik van webcams om te zien of de medewerker wel achter zijn computer zit. “Mag het? Nee, natuurlijk niet.”, schrijft Arnoud Engelfriet in een lezenswaardig artikel: “Nee, het coronavirus is geen ontheffing voor de AVG”.Verwerkt de werkgever corona-gegevens?
Een werkgever heeft bijna nooit het recht om zelf medische gegevens van medewerkers te registreren. Wel kan de werkgever de arbodienst of bedrijfsarts inschakelen om te controleren op corona. Artikel 9 van de AVG verbiedt het verwerken van medische gegevens, tenzij er sprake is van een uitzondering. Als verwerking noodzakelijk is voor preventieve of arbeidsgeneeskunde (art. 9h) of om redenen van algemeen belang op het gebied van de volksgezondheid (art. 9i), dan is dit toegestaan. Volgens de Wet publieke gezondheid is er een meldplicht voor het coronavirus. Deze verwerkingen zullen over het algemeen plaatsvinden bij de bedrijfsarts. Als werkgever mag je wel praten over een besmetting, je mag het alleen niet administreren. Werkgevers mogen ook vragen of medewerkers op reis zijn geweest, en op basis daarvan vragen om niet op het werk te komen. Raadpleeg een arbeidsjurist voor de arbeidsrechtelijke gevolgen. Lees meer bij de Autoriteit Persoonsgegevens.Misleiding door inspelen op informatiebehoefte
Er zijn al diverse meldingen van e-mailcampagnes die misbruik maken van de verwarrende situatie rond het coronavirus. Er is een mail gesignaleerd met een bijlage hoe men zich zou kunnen beschermen tegen corona. Deze bijlage bevat een macro om de computer te besmetten met malware. Ook is er een wereldkaart op internet gepubliceerd met het aantal wereldwijde coronabesmettingen. In die wereldkaart zit malware die probeert informatie te stelen die is opgeslagen in de browser.
Alle bekende alarmbellen moeten gaan rinkelen: inspelen op gevoel van urgentie, adviezen om normale procedures te omzeilen, wonderbaarlijke geneesmiddelen, berichten of telefoontjes van officiële partijen die aandringen op onmiddellijke actie, enzovoorts… Wees alert.
Tijd om privacybescherming en bewustwording voor te bereiden
Binnen zorginstellingen moet je de zorgverleners nu met rust laten, het is geen tijd om langs te komen voor een gesprek over privacy. Maar nu waarschijnlijk alle locatiebezoeken zijn afgezegd, heb je misschien wel tijd om achter je bureau een mooi onderzoek naar privacyrisico’s en allerlei informatieve acties voor te bereiden. Zodat je straks goed voorbereid aan de start staat.Meer informatie
- Het Europees Comité voor gegevensbescherming (EDPB, European Data Protection Board) heeft een verklaring afgegeven waarin zij aangeven dat gegevensverwerking mag, als betrokkenen en persoonsgegevens adequaat beschermd zijn.
- SANS Securing the Human heeft een toolkit samengesteld over veilig thuiswerken.
[learn_press_profile]
0 Comments