In een advies dat maandag gepubliceerd werd, laat de Gegevensbeschermingsautoriteit weinig overeind van het wetsvoorstel voor de databank voor contact-tracing. Dat is vaag en slecht leesbaar, en maakt onvoldoende aannemelijk waarom bijzonder privacygevoelige persoonlijke data in een grote gecentraliseerde databank van het wetenschappelijk instituut Sciensano verzameld moeten worden. Het gaat onder meer over contactgegevens, rijksregisternummers, medische informatie en de handel en wandel van wie mogelijk besmet is of met een besmet persoon contact had. “Dit is een verregaande en bij ons nooit geziene inbreuk op de privacy”, concludeert David Stevens, voorzitter van de GBA. Net daarom moet de wetgeving voor zo’n databank duidelijk maken waarom bepaalde data opgevraagd worden, wat ermee gedaan zal worden en wie er toegang tot heeft. Maar dat ontbreekt volledig, stelt de GBA vast.
Het is al de tweede keer in enkele weken tijd dat de GBA negatief adviseert over de databank, toen nog over een Koninklijk Besluit dat de oprichting van de databank tijdelijk mogelijk maakte. Met die opmerkingen uit het eerste advies werd schijnbaar niets gedaan, zegt onderzoekster Nathalie Smuha (KU Leuven), gespecialiseerd in recht en ethiek van technologie. “Het gaat hier niet om gewone persoonsgegevens, maar onder andere om medische informatie. Dat is van de hoogste sensibiliteit. Er was al een negatief advies, men heeft dus de kans gehad om de fouten recht te zetten. Dat is niet gebeurd.” Een van de heikele punten is volgens haar de centralisatie van alle gegevens in één databank. Dat maakt de data kwetsbaar voor lekken en hacks. “Zoals de databank nu opgericht is, is ze gewoon illegaal”, besluit Smuha. “En vergeet niet: die databank wordt op dit moment al gebruikt.”
Bron: De Morgen