Zo langzamerhand beginnen veel mensen genoeg te krijgen van de anderhalve meter. In verband daarmee is de vraag wat de bedoeling is van het wetsvoorstel Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 dat vandaag door de Staatssecretaris van EZ en Klimaat bij de Tweede Kamer is ingediend [1], op grond waarvan telecomproviders mobiele telefoongegevens van alle in Nederland aanwezige mensen aan de overheid moeten afgeven.

Ik had er een kleine twitterdiscussie over, volgens Menno Weij gaat het gewoon over crowd control:

Nee, het gaat om bewegingen + drukte, per gemeente gemeten. Crowd control dus.

— Menno Weij (@MennoWeij) May 29, 2020

Onbegrijpelijk nieuwsbericht
Uit het nieuwsbericht [2] van de regering is niet op te maken welk nut de telecomgegevens voor de coronabestrijding hebben. Er worden vriendelijke dingen geroepen over goede bedoelingen, coronabestrijding en privacy. Daartussen staan onbegrijpelijke teksten als:

onherleidbare tellingen per gemeente waarmee de verspreiding van corona nauwkeuriger kan worden gevolgd en voorspeld

en

De zendmastdata die naar het RIVM gaan, bestaan uit nu al bekende gegevens bij telecomaanbieders. De gegevens worden door de aanbieders ontdaan van alle persoonlijke informatie (zoals bijvoorbeeld telefoonnummer) en daarna opgeteld. Op deze wijze ontstaat sneller een indicatie van hoe het virus zich tussen gemeenten verspreidt. De data zijn ongeschikt om individuele personen te identificeren.

Het gaat om een telling, per uur, per gemeente, van het totaalaantal mobiele telefoons dat daar aanwezig is vanuit welke gemeente.

Daar begrijp ik helemaal niets van.

Aan de telecomgegevens is toch helemaal niet te zien we er wel of niet ziek is? Over verspreiding van het virus tussen gemeenten is daar toch helemaal niets uit de telecomgegevens af te leiden? Verder op staat:

heeft het RIVM aangegeven aanvullende informatie nodig te hebben, die sneller de drukte en verplaatsingen in beeld brengt

Er wordt afgesloten met een schattig voorbeeld waarin ik helemaal niet geloof:

Stel dat uit de zendmastgegevens blijkt dat op een zaterdagmiddag bijzonder veel mensen uit bijvoorbeeld Rijswijk in Delft zijn geweest. Als er in één van de twee gemeenten (nieuwe) besmettingen worden gevonden, kan het RIVM de lokale GGD informeren dat dat ook zo zou kunnen zijn in de andere. Dit maakt het mogelijk om regionaal maatwerk te leveren. Ook als die zaterdagmiddag vooral mensen uit Rijswijk een bezoek aan Delft hebben gebracht, is dit een aandachtspunt voor alleen die gemeenten en de GGD in de Haagse regio. In bijvoorbeeld Friesland, Groningen of Limburg hoeft dan niet direct actie ondernomen te worden.

Autoriteit Persoonsgegevens moet nog adviseren
De Autoriteit Persoonsgegevens heeft advies uitgebracht over een voorontwerp van het vandaag ingediende voorstel en schrijft op de website [3] dat het huidige voorstel nog beoordeeld moet worden. Essentieel is, zo schrijft de Autoriteit, dat de effectiviteit van de inzet van telecomdata in redelijke verhouding moet staan tot de inbreuk op de privacy.

Wetsvoorstel: de gegevens die de telco’s moeten verstrekken
In het wetsvoorstel wordt een nieuw artikel 14.7 Telecommunicatiewet voorgesteld, met de verplichting voor telco’s [4] om de volgende informatie aan het CBS te verstrekken:

de totaalaantallen per Nederlandse gemeente en per uur van de mobiele eindapparaten die op enig moment in dat uur in die gemeente verbonden waren met het openbare mobiele telecommunicatienetwerk van de betreffende aanbieder, uitgesplitst naar afgeleide herkomst van de houder van het mobiele eindapparaat, waarbij:

a. de afgeleide herkomst gelijk staat aan:

1°. de gemeente waar het eindapparaat gemiddeld over de afgelopen 30 dagen het grootste deel van de tijd verbinding heeft gemaakt met het openbare mobiele telecommunicatienetwerk van de betreffende aanbieder, of
2°. in geval van een buitenlands nummer, het land dat is af te leiden uit de mobiele landencode als bedoeld in artikel 1, onderdeel c, van het Nummerplan voor identiteitsnummers ten behoeve van internationale mobiliteit (IMSI-nummers), ingedeeld in negen categorieën, te weten:
– Duitsland;
– België;
– het Verenigd Koninkrijk;
– overige landen binnen Europa;
– landen in Noord-Amerika;
– landen in Zuid-Amerika;
– landen in Azië;
– landen in Afrika;
– landen in Oceanië,

b. geen informatie wordt verstrekt over een totaalaantal met eenzelfde afgeleide herkomst dat kleiner is dan 15, en

c. de informatie die betrekking heeft op een datum na inwerkingtreding van dit artikel telkens eenmaal per 24 uur wordt verstrekt.

Uit de eerste alinea volgt dat de telco’s totaalaantallen per gemeente en per uur verschaffen van de verbonden mobiele telefoons, uitgesplitst naar “afgeleide herkomst“. Die afgeleide herkomst is de ‘thuisgemeente’ (a.1°.) of het land van de mobiele telefoon (a.2°.), waarbij groepen kleiner dan 15 niet worden gemeld (b.).

Wat heeft de overheid aan deze telecomgegevens?
In de memorie van toelichting zou moeten staan welk corona-nut de door de telco’s verschafte gegevens hebben. Ik kon het niet vinden. In de memorie van toelichting hult de regering zich in nevelen. Zo staat er bijvoorbeeld:

Bij het versoepelen van geldende maatregelen en het inzetten van andere maatregelen hoort ook dat er andere middelen moeten kunnen worden ingezet om het effect daarvan te meten.

Maar met de telecomgegevens meet je toch niet het effect van de corona-maatregelen?

Verder op wordt gesproken over bezoekers uit het buitenland en dat de aantallen buitenlandse bezoekers iets over het besmettingsrisico zouden zeggen. Het aantal buitenlandse bezoekers kan toch ook uit de kentekens worden afgeleid, waarom wordt niet van die informatie gebruik gemaakt? Apart is dat gesproken wordt over risico’s van landen buiten Europa (zoals Azië, Noord- en Zuid-Amerika). Europa sluit zich toch momenteel af voor personenverkeer uit die landen? Vooralsnog lijkt het er op dat alleen het reizen naar buurlanden versoepeld gaat worden. De verkregen informatie over buitenlanders lijkt me weinig interessant.

Dan wordt opgemerkt:

Het “mengen” van groepen personen tussen gemeenten kan worden vastgesteld.

en elders:

Verplaatsingsgegevens geven het meest direct inzicht in hoeveel bewegingen er plaatsvinden tussen gemeenten.

Dat klinkt vreemd, want bewegingen tussen gemeenten herkennen lijkt me alleen maar mogelijk als je precies weet welke personen zich wanneer en waar bevinden en is dan in strijd met de zgn. anonimisering waarvan sprake zou zijn.

Het navolgende is voor mij al helemaal abacadabra:

Uit de tellingen die eenmaal per 24 uur aan het CBS worden verstrekt, wordt door het CBS dagelijks een matrix gedestilleerd, die door het RIVM gebruikt kan worden om een schatting te maken in welke gemeenten besmettingen zouden plaatsvinden. Die schattingen kunnen door het RIVM worden gebruikt om lokale signalen af te geven aan de GGD’en om transmissie te stoppen.

Hopelijk komt er iemand die mij in gewone mensentaal kan uitleggen waarom het RIVM aan deze gegevens iets kan hebben. Anders gezegd: ik zie niet in wat doel, nut en noodzaak zijn van het verschaffen van de telecomgegevens via CBS aan het RIVM.

Crowd control kan ook anders
Of de telecomgegevens bij crowd control gaan helpen, moet eveneens worden betwijfeld. Ook zonder de telecomgegevens is wel aan informatie te komen over waar het druk is vanwege mensen die een luchtje willen gaan scheppen.

Het overtuigt niet
Het wetsvoorstel en de memorie van toelichting overtuigen mij niet van de noodzaak om telco’s de genoemde telecomgegevens via het CBS aan het RIVM te laten verstrekken. Een dergelijke ingrijpende maatregel hoort een goede onderbouwing te hebben [5].

Ik ben benieuwd wat maatschappelijke organisaties en privacy- en gezondheidsspecialisten er van gaan vinden.

Oh, even snel een wetswijzigingetje hoor. Anders kunnen onze locatiegegevens niet gebruikt worden om de coronacrisis te beteugelen!

Maar om een ladder te beklimmen begin je met de onderste tree.https://t.co/mGOwiNi3fS

— Bits of Freedom (@bitsoffreedom) May 29, 2020

Lotte Houwing van Bits of Freedom publiceerde het bericht Haastige spoed is zelden goed [6] en schrijft:

Maar opnieuw blijven fundamentele vragen onbeantwoord: Welk probleem moet precies met deze gegevens worden opgelost? Zijn deze gegevens daar wel geschikt voor? Is het verzamelen ervan proportioneel? En zijn er geen minder ingrijpende alternatieven? Naast het beantwoorden van deze vragen moet er bij het gebruik van locatiegegevens rekening gehouden worden met een aantal aandachtspunten.

Lees hun brief aan de leden van de Tweede Kamer.

Privacy First liet weten niet enthousiast te zijn, zie hierna:

Onnodig, disproportioneel en uitermate riskant. Nader kritisch commentaar Privacy First volgt zsm. #telecomdata #noodwet #surveillance #COVID1984 https://t.co/JxIYtWi5rP

— Privacy First (@privacyfirst) May 29, 2020

Noten
[1] Wetsvoorstel op de site van de Tweede Kamer, op rijksoverheid.nl (pdf).
[2] Noodwet: RIVM kan voor coronabestrijding tijdelijk anonieme zendmastdata inzetten, rijksoverheid.nl, 29 mei 2020.
[3] AP beoordeelt tijdelijke wet telecomdata op waarborgen privacy, 29 mei 2020. Het advies over het voorontwerp is hier te vinden.
[4] Aanbieders van openbare mobiele telecommunicatienetwerken die openbare mobiele telefoniediensten aanbieden.
[5] Ook andere corona-maatregelen liggen onder vuur, zoals de beperking van de bewegingsvrijheid. Daarover is hoogleraar Jan Brouwer aan het woord in Hoogleraar rechten: ‘Betaal coronaboete niet’, NPO 24 mei 2020. Groeiend verzet tegen coronaboetes: al ruim 10 duizend bekeuringen uitgedeeld, Volkskrant 14 mei 2020. De Raad van State heeft op 25 mei jl. voorlichting over de grond­rech­te­lij­ke as­pec­ten van (voor)ge­no­men cri­sis­maat­re­ge­len gepubliceerd, zie de samenvatting. Mark Lievisse Adriaanse schreef er over in Raad van State dringt bij kabinet aan op haast om corona-noodwet, NRC 25 mei 2020.
[6] Lotte Houwing, Haastige spoed is zelden goed, Bits of Freedom, 29 mei 2020.

Aanvulling 15 juni 2020
Lees over dit voorstel ook Jaap-Henk Hoepman, Anonieme telecomdata in de strijd tegen Corona?, 15 juni 2020.