Corona-app niet, horeca-QR wel?

Benieuwd of de tracing-app voor de horeca in Casilla-La Mancha evenveel weerstand kent als de Radar Covid app.

Benieuwd of dit in België ook zou werken. De Spaanse provincie Castilla-La Mancha heropent vandaag 12 februari 2021 de horeca onder voorwaarde: bezoekers moeten de nieuwe QR-code van het etablissement inscannen. Privacy lijkt ineens geen punt meer.

De privacyveilige corona-app Radar Covid wordt nauwelijks gebruikt. Slechts 2 procent van de besmettingsgevallen zijn via de app gemeld, evenveel als op één doordeweekse dag van de afgelopen vijf dramatische maanden. “Privacy, meneer, ze volgen ons overal, nee, bedankt.” Bondige samenvatting van de afwijzing.

Om een bar of restaurant binnen te gaan gelden blijkbaar andere normen. Dan kunnen apps ‘Aziatische stijl’ wel?

In Castilla-La Mancha, provincie ten zuidoosten van Madrid (2,5 keer zo groot als België, twee miljoen inwoners) hebben horeca-uitbaters die open willen, een app moeten downloaden waarmee ze bij de regionale overheid een QR-code hebben aangemaakt die ze aan de ingang moeten afficheren. Wie naar een etablissement wil, moet bij diezelfde overheid een app downloaden en de QR-code van de bar of het restaurant scannen bij het binnengaan.

De bedoeling is duidelijk: traceren wie waar was in gezelschap van wie als er een besmetting is vastgesteld.

Het middel is ingrijpend: de app geeft aan de overheid plaats, etablissement, uur van aankomst en de volgende persoonsgegevens: voornaam, familienamen, nationaal nummer en telefoonnummer. Die worden niet aan het etablissement doorgegeven, wel aan de gezondheidsautoriteiten van de regionale overheid. Al eerder, afgelopen zomer, had Castilla-La Mancha iets dergelijks ingevoerd voor wie later dan het sluitingsuur van 1 uur ‘s nachts toch wilde uitgaan. Toen waren het de horeca- en uitgaanszaken die de gegevens verzamelden.

Benieuwd of een app Aziatische stijl wel veilig genoeg geacht wordt om die cortado, copa de tinto of menú del día te gaan bestellen.

Hoe lang de gegevens worden bijgehouden, wie er toegang toe heeft, waarvoor ze nog kunnen worden gebruikt, ligt in de handen van de regionale gezondheidsautoriteiten. Het is niet duidelijk of wie geen smartphone heeft, toegelaten mag worden.

Het vreemde is dat er nu geen stemmen van afwijzing klinken. De Radar Covid app werkt volgens dezelfde principes als de Belgische, Duitse en vele andere in Europa en wordt ook door privacy-acitivisten geroemd. Er worden géén persoonsgegevens doorgegeven. Alleen wie besmet is en naar de dokter gaat, wordt bekend bij de gezondheidsdienst. Radar Covid helpt de gezondheidsdienst.

Benieuwd of een app zoals waarmee ze in China of Singapore het gedrag van mensen traceren en surveilleren, dan wel privacyveilig genoeg geacht wordt om die cortado, copa de tinto of menú del día te gaan bestellen.

Zou het?

Bericht in El País

Dit moet je weten als je je vingerafdruk moet afgeven voor de eID

Dit moet je zeker weten wanneer het jouw beurt is om je vingerafdrukken te geven voor de nieuwe identiteitskaart.

Vingerafdrukken mogen op de identiteitskaart geplaatst worden. De regering heeft gelijk, vindt het Grondwettelijk Hof. Moeten we het verzet dan maar opgeven en de overheden laten begaan?

Niet helemaal. Op 14 januari 2021 heeft het Grondwettelijk Hof wel het bezwaar verworpen van enkele mensenrechtenorganisaties en burgers (waaronder ikzelf) tegen de wet van de vorige regering waarbij iedere burger verplicht zijn vingerafdrukken moet afstaan voor het elektronisch gedeelte van de identiteitskaart.

Maar het Grondwettelijk Hof veegde onze bezwaren niet allemaal van tafel en heeft de overheid een aantal werkpuntjes en aandachtspuntjes bezorgd. Drie interessante ingrepen van het Hof in problemen die wij [1] als eisende partij opwierpen.

Dit moet je zeker weten wanneer het jouw beurt is: het gaat om twee (2) vingerafdrukken, en wel de wijsvingers. Het Koninklijk Besluit is daarover duidelijk, ook over wat er moet gebeuren als die vingerafdrukken niet goed genoeg zijn of niet beschikbaar.

Laat het geen populair misverstand worden.
Alléén de wijsvingers.

Dit dreigt een populair misverstand te worden, omdat artikels hierover vaak worden geïllustreerd met een foto zoals deze hieronder – die ook en zelfs in De Juristenkrant verscheen.

Vergeet deze foto. Veel gebruikt maar foute illustratie in deze context. Voor de identiteitskaart mogen alleen de wijsvingers ingescand worden.

Mochten ze je in het gemeentehuis bij de aanvraag of de vernieuwing van de identiteitskaart vragen al je vingers in te scannen, dan mag je dat weigeren.

Kan je weigeren vingerafdrukken af te staan? Niet echt. Je kan een paar dingen overwegen.

Dit is het eerste artikel in een reeks van vijf.
1 - 2 - 3 - 4 - 5


[1] Wij, dat wil zeggen: een groepje van vier burgers, waaronder ikzelf, getrokken door Matthias Dobbelaere-Welvaert, privacyjurist, docent, auteur en een van de bezielers van Ministry of Privacy. De zaak voor het Grondwettelijk Hof werd voorbereid en gepleit door Mr. Geert Lenssens. Voor deze actie werd met crowdfunding via stopvingerafdruk.be meer dan 26.000 euro verzameld.

Vingerafdrukken op eID: alleen lezen

Politiediensten mogen de vingerafdrukken op de chip van de identiteitskaart alleen lezen om controles te verrichten, maar onder geen beding opslaan of kopiëren.

De politie kan wel controleren of de vingerafdruk op de identiteitskaart klopt met die van de hand, maar onder geen beding mag ze die opslaan of kopiëren. Dat blijkt heel duidelijk uit het arrest dat het Grondwettelijk Hof op 14 januari 2021 heeft geveld nadat privacy-activisten (waaronder ikzelf [1]) de wet op de vingerafdrukken van de vorige regering had aangevochten.

Door de uitspraak mag de regering doorgaan met haar plannen – die overigens al in uitvoering waren voor het arrest zekerheid gaf. Wij waren uiteraard teleurgesteld maar het Hof gaf de regering een aantal werkpuntjes mee.

Een belangrijk punt is namelijk hoe de vingerafdrukken mogen worden gebruikt door de politie. Politiediensten mogen de vingerafdrukken alleen lezen om controles te verrichten, maar onder geen beding opslaan of kopiëren.

Dat betekent dus in feite dat u uw digitale vingerafdruk op zak hebt net als u uw vingers meedraagt, aldus Mr Geert Lenssens. De digitale versie is niet zichtbaar en kan alleen in beperkte gevallen gelezen worden.

We gaan onze vingerafdrukken op twee manieren meedragen. Voor beide manieren geldt: de politie mag ze alleen lezen.

De overheid zag dat anders. Na zijn bezoek aan Marokko als minister van Binnenlandse Zaken in de vorige regering droomde Jan Jambon al hardop van een databank met de vingerafdrukken van alle inwoners, zoals ze dat in Marokko opbouwen.

Maar dat feest gaat niet door, zoveel heeft het Grondwettelijk Hof duidelijk gemaakt, in drie luiken:

  1. Instanties zijn enkel gemachtigd de vingerafdrukken te lezen. De “bepaling moet in die zin worden geïnterpreteerd dat zij het opslaan van de gegevens bij het lezen daarvan niet mogelijk maakt”. Er komt geen databank. In de parlementaire voorbereiding staat immers dat de vingerafdrukken “in geen geval opgeslagen of gecentraliseerd [zullen] worden, behalve voor de duur die nodig is om de identiteitskaart aan te maken en af te geven”.
  2. Grenspolitie in de 73 landen die hierover samenwerken zijn evenzeer alleen gemachtigd het digitale beeld te lezen voor controles. Zij mogen ook niet kopiëren of opslaan.
  3. De instanties die gemachtigd zijn de vingerafdrukken te lezen, kunnen dat niet doen in de fase van het aanmaken van de identiteitskaart. In die fase worden de vingerafdrukken noodgedwongen gedigitaliseerd en verzonden naar een tijdelijke databank bij het bedrijf dat de kaarten aanmaakt (dat gebeurt namelijk niet in het gemeentehuis). Maar alleen gemachtigde gebruikers, die nodig zijn voor de aanmaak, hebben toegang tot die databank die alleen mag dienen om de kaarten aan te maken.

Stelt dit mij gerust? Ja en nee.

Ja, omdat het Hof zeer expliciete verduidelijkingen heeft aangebracht die de persoonsgegevens beschermen. De ambitie van de wet wordt ingeperkt. Jan Jambon zal nog even moeten blijven dromen.

Nee, omdat, wel, je geeft een vinger en op een goeie keer pakken ze de arm. We moeten het hellend vlak van het verspreiden en gebruiken van persoonsgegevens sterk in het oog blijven houden. Zeker in het geval van vingerafdrukken, want dat zijn biometrische gegevens en die gaan over onze integriteit als persoon.

En nee, omdat een van de argumenten van het Grondwettelijk Hof vóór de wet het feit was dat de Europese Unie sowieso al wetgeving voor de invoering in heel de EU voorbereidt. Er is dus geen ontsnappen aan. En nog eens, het is een hellend vlak. Bij een volgende maatschappelijke crisis, bij een volgende aanslag, bij een volgende conservatieve regering zal de druk voor meer en verdergaande surveillance alleen verhogen. Vrees ik.

Al eerder heeft de overheid uitspraken van het Grondwettelijk Hof of de Raad van State soepel geïnterpreteerd of later op een hellend vlak gezet. Mocht dat gebeuren, dan is het arrest wel gefundenes Fressen voor advocaten om rechtszaken tegen de overheid in te spannen.

Nog even aan herinneren: het gaat om de afdrukken van de wijsvingers alleen.

Dit is het tweede artikel in een reeks van vijf.
1 - 2 - 3 - 4 - 5

[1] Wij, dat wil zeggen: een groepje van vier burgers, waaronder ikzelf, getrokken door Matthias Dobbelaere-Welvaert, privacyjurist, docent, auteur en een van de bezielers van Ministry of Privacy. De zaak voor het Grondwettelijk Hof werd voorbereid en gepleit door Mr. Geert Lenssens. Voor deze actie werd met crowdfunding via stopvingerafdruk.be meer dan 26.000 euro verzameld.