Corona-app India kreeg API voor notificatie werkgever over corona-status personeel

coronaOp 22 augustus 2020 heeft het Indiase Ministry of Economics &IT een naar onze begrippen ongehoorde dienstverlening voor het bedrijfsleven gestart. Men begon met een OPEN API Service die werkgevers van bedrijven met meer dan 50 werknemers in staat stelt kennis te nemen van de corona-teststatus van hun personeelsleden, voor zover die gebruik maken van de Indiase corona-app Aarogya Setu. Hetzelfde ministerie lanceerde die app begin april. De naam van de app staat voor: “brug voor de bevrijding van ziekte”. De app is het initiatief van hetzelfde ministerie. Een Application Programming Interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel daarvan. De Aarogya Setu app is in tegenstelling tot de CoronaMelder-app die in Nederland eraan zit te komen een zogenaamde gecentraliseerd werkende app. Daarbij slaat de app de contact-informatie op in een centrale database i.p.v. op de smartphone.

Toestemming???

Het argument op met deze API te komen is volgens het ministerie dat het bedrijfsleven zo veilig uit de corona-lockdown kunnen komen. Positief geteste mensen zouden zo buiten het bedrijf gehouden kunnen worden. Naar verluidt zou het met de Open API Service niet gaan om een publiek toegankelijke dienstverlening. Organisaties/bedrijven zouden alleen toegang krijgen na een door de autoriteiten goedgekeurd verzoek. Vergoelijkend stelt men verder dat als een organisatie/bedrijf toestemming krijgt de data alleen op te vragen zijn als de gebruiker van de corona-app vooraf toestemming gaf om de data te delen. Beide vooronderstellingen zijn zo zacht als boter. De grens tussen overheid en bedrijfsleven in India is diffuus. Het is een illusie te denken dat werknemers daar volledig vrijwillig een corona-app downloaden en gebruiken plus toestemming geven die data te doen delen.

Ongehoord en onbehoorlijk

Naar Nederlandse begrippen is het ongehoord dat een werkgever de beschikking krijgt over gezondheidsinformatie betreffende een werknemer en dat mag gebruiken bij zijn bedrijfsvoering. Het gaat totaal voorbij aan de privacy van het individu hoe naar het rondwaren van het corona-virus ook is. Het is ook zeer onbehoorlijk dat de overheid daar een rechtstreeks faciliterende rol bij speelt.

Gevaar

De handelswijze van de Indiase regering laat zien wat de gevaren zijn van het gebruik maken van gecentraliseerd werkende corona-contact-opsporingsapp. Het is niet voor niets dat in grote delen van Europa gekozen is voor de decentraal-opererende corona-app. Niet al te lang geleden switchte de regering van het Verenigd Koninkrijk van een centraal werkende corona-app naar een decentraal werkende. Wat de regering in India nu doet laat zien dat een regering om haar moverende redenen opeens aan een app allerlei andere computerapplicaties kan hangen die personen schaadt.

Privacybescherming

India kent geen nationale toezichthouder op het gebied van de bescherming van persoonsgegevens.  Ook neemt India niet deel aan enige conventie op dat vlak, die equivalent is aan de Europese GDPR of de Data Protection Directive. Het betekent dat de checks and balances in het systeem daar ontbreken om op een afgewogen manier om te gaan met medische(bijzondere) persoonsgegevens.

Waakzaamheid

India ligt ver weg . We hebben we hier een ander toezicht regime en een andere corona-app in de maak. Toch wil ik met dit artikel de waakzaamheid van een ieder op peil houden. Waakzaamheid over wat overheden kunnen beslissen over het omgaan met bijzondere persoonsgegevens.

Dit artikel berust voor een aanzienlijk deel op berichtgeving die vandaag op de website van het ICT-webmagazine The Register verscheen.

W.J. Jongejan, 25 augustus 2020

Afbeelding van iXimus via Pixabay