” Als je deurbeleid maar goed zit: is de privacy in het geding bij een digitaal vaccinatiebewijs? “

19 december 2020

" Krijgt wie gevaccineerd is straks makkelijker toegang tot bijvoorbeeld de horeca? Er gaan stemmen op om dat te regelen. Welke haken en ogen zitten eraan? "

" Bij de entree van het festivalterrein staat een scanner: op je telefoon pak je je digitale vaccinatiebewijs erbij, dat gekoppeld is aan DigiD. Het apparaat piept, het poortje gaat open en je loopt zo de festivalweide op, dat volstroomt met andere ingeënte mensen. Het kan weer, een veilig feest.

Het is een dystopisch beeld, herkenbaar voor kijkers van de film Contagion, waarin de wereld is overvallen door een nieuw gevaarlijk virus. Maar als het aan een meerderheid van de Nederlanders ligt, zou zoiets binnenkort werkelijkheid zijn. Dat bleek uit een representatieve steekproef van de TU Delft met 1.640 deelnemers. 
Zij kregen negen beleidsopties voorgelegd om de vaccinatiegraad te verhogen. Driekwart koos voor de optie waarin gevaccineerden meer vrijheden krijgen dan degenen die een vaccinatie weigeren. Minister De Jonge heeft al gezegd dat hij niet voor het afdwingen of belonen van vaccinatie is. Maar zou het juridisch zijn toegestaan voor ondernemers om naar het bewijs te vragen?

Waakhond
‘Gezondheid geldt als een bijzonder persoonsgegeven’, zegt Menno Weij, als jurist gespecialiseerd in privacy en ict. ‘En dat kun je alleen verwerken onder bijzondere voorwaarden.’ Dat zou eventueel kunnen door toestemming te vragen, zegt privacy- en ict-advocaat Thomas van Essen.
Van de Autoriteit Persoonsgegevens, de waakhond op dit gebied, mogen bedrijven gezondheidsgegevens in principe niet verwerken zonder toestemming. Weij: ‘Maar als je mensen alleen vraagt zo’n bewijs te tonen, is het de vraag of je die gegevens registreert en verwerkt.’

Als er een manier wordt gevonden om geanonimiseerd het vaccinatiebewijs te tonen, is er een kans dat het is toegestaan om bij de ingang van een café of een voetbalstadion ernaar te vragen. Weij: ‘Een probleem is wel: wat is het gevolg als je weigert je bewijs te tonen? Als dat betekent dat je niet binnenkomt, zegt de autoriteit: maar dan is het geen vrije keuze.’

Wettelijke basis
Bij het vragen om persoonsgegevens moet volgens de Algemene Verordening Gegevensbescherming (AVG) het geven van toestemming expliciet, geïnformeerd en in vrijheid gebeuren. ‘Je mag dus niet stiekem toestemming vragen’, zegt Weij. ‘Je moet de keuze goed rechtvaardigen: welk belang wordt gediend hiermee? En je moet de toestemming kunnen weigeren.’ 
Een andere optie is dat er een specifieke wettelijke basis komt voor het al dan niet moeten tonen van een vaccinatiebewijs. Zoals dat ook is gebeurd bij de corona-app of bij het vragen of een kind is ingeënt bij het toelaten tot een kinderdagverblijf. Weij: ‘In dat geval zou de overheid alsnog de wet moeten afstemmen met de Autoriteit Persoonsgegevens. De waakhond is tot nu in de coronacrisis erg terughoudend en streng geweest.’ 

Neem de recente zaak waarbij de autoriteit twee werkgevers op de vingers tikte die de temperatuur van medewerkers opnamen bij binnenkomst op kantoor. ‘Dat vond ik erg streng. In België heeft de privacywaakhond besloten dat er geen sprake is van verwerking van gegevens als er niets geregistreerd wordt. Wat mij betreft een terechte conclusie.’ 

Deurbeleid
Het staat horeca-uitbaters vrij om een deurbeleid te voeren, binnen de bandbreedte van de wet. Stel dat een klant een procedure zou willen beginnen omdat hij geweigerd is bij een restaurant, zegt Van Essen, dan zou die zich op twee grondrechten kunnen beroepen. ‘Het recht op persoonlijke levenssfeer, en godsdienstvrijheid.’
De bewijslast ligt dan bij de uitbater. Van Essen: ‘Hij moet aantonen dat zijn beleid noodzakelijk is om de gezondheid van zijn klanten te waarborgen, dat hij dat doel niet met andere maatregelen zou kunnen bereiken en dat het doel de inbreuk op het grondrecht rechtvaardigt.’ "