17 SEPTEMBER 2020. - Koninklijk besluit tot uitvoering van het koninklijk besluit nr. 44 van 26 juni 2020 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano

RAAD VAN STATE, afdeling Wetgeving advies 67.953/1/V van 31 augustus 2020 over een ontwerp van koninklijk besluit `tot uitvoering van het koninklijk besluit nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano' Op 24 augustus 2020 is de Raad van State, afdeling Wetgeving, door de Minister van Sociale Zaken en Volksgezondheid, en van Asiel en Migratie verzocht binnen een termijn van vijf werkdagen een advies te verstrekken over een ontwerp van koninklijk besluit `tot uitvoering van het koninklijk besluit nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano'.

Het ontwerp is door de eerste vakantiekamer onderzocht op 27 augustus 2020. De kamer was samengesteld uit Marnix VAN DAMME, kamervoorzitter, Carlo ADAMS en Kaat LEUS, staatsraden, en Astrid TRUYENS, griffier. Het verslag is uitgebracht door Cedric JENART, adjunct-auditeur.

De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Koen MUYLLE, staatsraad.

Het advies, waarvan de tekst hierna volgt, is gegeven op 31 augustus 2020. 1. Volgens artikel 84, § 1, eerste lid, 3°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973, moeten in de adviesaanvraag de redenen worden opgegeven tot staving van het spoedeisende karakter ervan. In het onderhavige geval wordt het verzoek om spoedbehandeling in de adviesaanvraag(1) gemotiveerd als volgt: "Het verzoek om spoedbehandeling is gemotiveerd door de omstandigheid dat dit ontwerp betrekking heeft op een buitengewone crisissituatie, namelijk de gevolgen van de COVID-19-pandemie die momenteel in België heerst, wat bijzondere en ernstige problemen oplevert in termen van de volksgezondheid;

Dat het van vitaal belang is voor de volksgezondheid en voor het vermijden van een heropflakkering van de COVID-19 pandemie, dat de nodige maatregelen inzake contactonderzoek kunnen worden genomen;

Dat momenteel het bijzondere volmachtenbesluit nr. 44 van 26 juni 2020 omwille van de dringende noodzakelijkheid nog tot ten laatste 15 oktober 2020 voorziet in een voorlopige regelgeving m.b.t. deze materie, in afwachting van een meer duurzame en rechtszekere oplossing onder de vorm van een samenwerkingsakkoord;

Dat de goedkeuring van het ontwerp van samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano, dat eerder voor advies aan de afdeling wetgeving van de Raad van State werd voorgelegd, nog enige tijd in beslag zal nemen gelet op de te vervullen procedurele stappen;

Dat de bevoegde regeringen in afwachting van de goedkeuring van dit samenwerkingsakkoord reeds gestart zijn met de voorbereiding van een uitvoerend samenwerkingsakkoord m.b.t. de digitale contactopsoringsapplicatie(s), voorzien in artikel 14 § 9 van het ontwerp van samenwerkingsakkoord;

Dat gelet op de dringende noodzakelijkheid om de volksgezondheid te beschermen niet kan worden gewacht op de goedkeuring van bovengenoemde samenwerkingsakkoorden om met de digitale contactopsporing en eventuele test-projecten hieromtrent van start te gaan;

Dat er bijgevolg nood is aan een voorlopige regelgeving in afwachting van een meer rechtszeker juridisch kader dat de goede werking, de continuïteit en het vertrouwen van de burger in het systeem van het contactonderzoek kan garanderen;

Dat het bijgevolg van belang is dat dit ontwerp van koninklijk besluit zo snel mogelijk kan worden goedgekeurd en in het Belgisch Staatsblad kan worden gepubliceerd." 2. Met toepassing van artikel 84, § 3, eerste lid, van de gecoördineerde wetten op de Raad van State, heeft de afdeling Wetgeving zich moeten beperken tot het onderzoek van de bevoegdheid van de steller van de handeling, van de rechtsgrond, alsmede van de vraag of aan de te vervullen vormvereisten is voldaan. STREKKING VAN HET ONTWERP 3. Het om advies voorgelegde ontwerp van koninklijk besluit beoogt, ter uitvoering van artikel 14, § 9, van het koninklijk besluit nr.44 van 26 juni 2020,(2) nadere uitwerking te geven aan het digitale contactopsporingssysteem dat bestaat uit een mobiele applicatie die is ontwikkeld volgens het DP3T-protocol(3) . In het ontwerp worden onder meer de functionaliteiten en verwerkingen van de contactopsporingsapplicatie en de technische specificaties en interoperabiliteit van de applicatie omschreven, worden de informatieverplichtingen geregeld die op de ontwikkelaars en beheerders van de applicatie rusten en wordt in een controle op de applicatie voorzien.

De ontworpen regeling is tijdelijk van opzet in afwachting van de goedkeuring van het uitvoerend samenwerkingsakkoord tussen de Federale Staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, dat inzake de digitale contactopsporingsapplicatie zal worden gesloten.

BEVOEGDHEID 4. De federale overheid is weliswaar bevoegd met betrekking tot bepaalde aspecten van de ontworpen regeling inzake digitale contactopsporing,(4) maar in zoverre erin voorschriften zijn vervat die specifiek gericht zijn op digitale contactopsporingsapplicaties om COVID-19 besmettingen op te sporen, wordt ermee de gemeenschapsbevoegdheid inzake preventieve gezondheidszorg betreden.(5) De regeling die is opgenomen in het ontworpen koninklijk besluit heeft derhalve betrekking op zowel federale als gemeenschapsbevoegdheden en kan niet in haar geheel door de federale overheid alleen worden tot stand gebracht door middel van het om advies voorgelegde ontwerp van koninklijk besluit.

In de adviezen 67.425/3, 67.426/3 en 67.427/3 van 26 mei 2020 van de Raad van State, afdeling Wetgeving, over een wetsvoorstel `tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19' en een aantal amendementen op dat voorstel,(6) adviseerde de Raad dat voor de beoogde regeling inzake de verwerking van persoonsgegevens met betrekking tot de manuele en de digitale contactopsporing een samenwerkingsakkoord tussen de federale overheid en de gemeenschappen zou worden gesloten.(7) In de voornoemde adviezen werd onder meer het volgende opgemerkt: "De conclusie is derhalve dat het wetsvoorstel betrekking heeft zowel op federale als op gemeenschapsbevoegdheden. Bovendien blijken de twee aspecten in de voorgestelde regeling nauw met elkaar verbonden te zijn.

Het voor advies voorgelegde wetsvoorstel kan in zijn huidige vorm enkel doorgang vinden indien het zou worden omgevormd tot een samenwerkingsakkoord waarvoor parlementaire instemming is vereist. Het zou immers Belgen persoonlijk kunnen binden en het heeft betrekking op aangelegenheden die - gelet op het in artikel 22 van de Grondwet vervatte wettigheidsbeginsel - bij wet moeten worden geregeld.(8) Een dergelijk samenwerkingsakkoord biedt overigens de meest rechtszekere oplossing. In de gegeven omstandigheden, mede gelet op de omstandigheid dat het koninklijk besluit nr. 18 van 4 mei 2020 reeds in de praktijk wordt toegepast, kan aan het samenwerkingsakkoord terugwerkende kracht worden verleend tot 4 mei 2020, namelijk de dag waarop het betrokken besluit in werking is getreden (...)." In navolging van de aangehaalde adviezen wordt een wetgevend samenwerkingsakkoord voorbereid zij het dat, in afwachting van de toepassing daarvan, de federale overheid omwille van de continuïteit van de contactopsporing en met het oog op het vermijden van een juridisch vacuüm, in een tijdelijke regeling heeft voorzien die is opgenomen in het koninklijk besluit nr. 44 van 26 juni 2020 waaraan het om advies voorgelegde ontwerp van koninklijk besluit uitvoering beoogt te geven.

Aan de Raad van State, afdeling Wetgeving, is uiteengezet dat het de bedoeling is om het voornoemde wetgevend samenwerkingsakkoord te laten terugwerken in de tijd(9) en dat de wet tot instemming met het samenwerkingsakkoord een aantal koninklijke besluiten, waaronder het koninklijk besluit nr. 44 van 26 juni 2020, zal intrekken.(10) De inhoud van het wetgevend samenwerkingsakkoord zou in ruime mate aansluiten bij die van het in te trekken koninklijk besluit nr. 44 van 26 juni 2020. Het zou tevens de bedoeling zijn dat, met het oog op de tenuitvoerlegging van het wetgevend samenwerkingsakkoord, een uitvoerend samenwerkingsakkoord met betrekking tot de digitale contactopsporing zou worden gesloten. De federale overheid ziet zich evenwel omwille van een efficiënte bestrijding van het coronavirus COVID-19, nu al genoodzaakt om een koninklijk besluit tot uitvoering van het koninklijk besluit nr. 44 van 26 juni 2020 tot stand te brengen en het ontwerp ervan om advies aan de Raad van State, afdeling Wetgeving, voor te leggen. Zoals met betrekking tot het koninklijk besluit nr. 44 van 26 juni 2020 de bedoeling is, zal evenwel ook de om advies voorgelegde ontworpen regeling worden ingetrokken door het uitvoerend samenwerkingsakkoord waarvan, zoals aan de Raad van State is meegedeeld, de inhoud eveneens nauw zal aansluiten bij die van het heden om advies voorgelegde ontwerp van koninklijk besluit.

Gelet op de geschetste bevoegdheidsproblematiek en de wijze waarmee daar onder de dwingende omstandigheden van de Coronapandemie is omgegaan, zal de Raad van State, afdeling Wetgeving, ook nu het hem om advies voorgelegde ontwerp van koninklijk besluit inhoudelijk verder onderzoeken.

RECHTSGROND 5. Onder voorbehoud van hetgeen opgemerkt wordt sub 6 kan het ontworpen koninklijk besluit in beginsel worden geacht rechtsgrond te vinden in artikel 14, § 9, van het koninklijk besluit nr.44 van 26 juni 2020, waarin de Koning wordt opgedragen om, bij een besluit zoals bedoeld in artikel 1, § 4, van dat koninklijk besluit (11), de verdere werking van de contactopsporingsapplicatie en de in dat kader nuttige gegevensverwerkingen te regelen zonder dat kan worden afbreuk gedaan aan de bepalingen van het artikel. Het aldus uit te werken besluit dient ten minste de elementen te bevatten die worden opgesomd in artikel 14, § 9, 1° tot 7°, van het koninklijk besluit nr. 44 van 26 juni 2020.

De Raad van State, afdeling Wetgeving, beschikt niet over de vereiste technische expertise om met zekerheid te bevestigen dat de ontworpen regeling in haar praktische toepassing steeds effectief van aard zal zijn om tegemoet te komen aan de vereisten en de waarborgen die samenhangen met de in artikel 14, § 9, 1° tot 7°, van het koninklijk besluit nr. 44 van 26 juni 2020, opgesomde elementen. Wel kan de Raad van State vaststellen dat in het om advies voorgelegde ontwerp diverse specifieke garanties zijn ingebouwd om daaraan tegemoet te komen. Zo wordt bijvoorbeeld in artikel 14, § 9, 5°, van het koninklijk besluit nr. 44 van 26 juni 2020, melding gemaakt van "de specifieke garanties om het risico van her-identificatie op basis van de authentisering van de besmette gebruiker te beperken" en bevatten de artikelen 2 tot 4 van het ontwerp wat dat betreft op het eerste gezicht alvast voldoende garanties om het risico op dergelijke her-identificatie van de besmette gebruiker op zijn minst te beperken. 6. In artikel 2, § 1, 2°, b) van het ontwerp, wordt bepaald dat "de testcode (...) op initiatief van de gebruiker samen met de datum van de staalafname en de datum waarop de gebruiker besmettelijk is geworden, opgeslagen [wordt] in Gegevensbank I". In artikel 2, § 1, 3°, a), van het ontwerp, wordt vermeld dat "als een resultaat van een test beschikbaar is in Gegevensbank I, (...) de testcode, de datum van staalafname en de datum waarop de gebruiker besmettelijk is geworden, door Gegevensbank I meegedeeld [worden] aan de Gegevensbank VI".

De aangehaalde bepalingen doen de vraag rijzen op welke wijze het gebruik van Gegevensbank I voor digitale contactopsporing zich verhoudt tot de functie van die gegevensbank zoals die wordt geregeld in het koninklijk besluit nr. 44 van 26 juni 2020. De gemachtigde verstrekte in dat verband de volgende toelichting: "De gegevens in Gegevensbank I worden in het kader van de app enkel gebruikt om de betrokkene zelf mee te delen dat hij besmet is. Artikel 14 § 2 laat uitdrukkelijk toe dat een persoon categorie II of III de coronavirus COVID-19-besmetting daarna op een vrijwillige, geanonimiseerde, minstens gepseudonimiseerde, wijze kan melden door middel van een eigen actieve handeling. Artikel 14 § 3 [6° ] verplicht de gebruiker om een autorisatiecode te gebruiken, teneinde te waarborgen dat enkel gevalideerde informatie inzake besmettingen kan worden meegedeeld aan de verwerkingsverantwoordelijke van Gegevensbank V. De betrokkene heeft het recht om de nodige informatie hiertoe zo snel mogelijk te ontvangen. Die beste manier om deze snelle en accurate informatie aan de betrokkene te waarborgen is een automatische melding op basis van de gegevens in Gegevensbank I." Er lijken voor de toepassing van de ontworpen regeling aan Gegevensbank I verwerkingsdoeleinden te worden toegeschreven die niet kunnen worden teruggevonden in artikel 3, § 1, van het koninklijk besluit nr. 44 van 26 juni 2020. Overeenkomstig deze laatste bepaling beoogt de verwerking van persoonsgegevens in Gegevensbank I immers enkel verwerkingsdoeleinden die betrekking hebben op het ter beschikking stellen van persoonsgegevens aan contactcentra, mobiele teams en Gegevensbank II. De in het ontwerp beoogde gegevensuitwisseling met Gegevensbank V - via de nieuw ingevoerde Gegevensbank VI - wordt evenwel niet vermeld. Dit is evenmin het geval voor de finaliteit om de betrokkene zelf mee te delen dat hij of zij besmet is. Rekening houdend hiermee behoeft het gebruik van Gegevensbank I in de uitwerking van de digitale contactopsporing een bijkomende wettelijke basis en bijgevolg een aanvulling van de regels die in het koninklijk besluit nr. 44 van 26 juni 2020 zijn vervat.

VORMVEREISTEN 7. Het advies van de Gegevensbeschermingsautoriteit werd gevraagd op 21 augustus 2020 maar is nog niet uitgebracht.Indien de aan de Raad van State voorgelegde tekst van het ontwerp ten gevolge van het inwinnen van het voornoemde advies nog wijzigingen zou ondergaan, moeten de gewijzigde of toegevoegde bepalingen, ter inachtneming van het voorschrift van artikel 3, § 1, eerste lid, van de gecoördineerde wetten op de Raad van State, alsnog eveneens om advies aan de afdeling Wetgeving worden voorgelegd. 8. Een aantal bepalingen van het ontwerp kunnen worden beschouwd als technische voorschriften in de zin van artikel 1, lid 1, f), van richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 `betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij', meer bepaald als regels betreffende diensten van de informatiemaatschappij in de zin van artikel 1, lid 1, e), van die richtlijn. Dergelijke technische voorschriften moeten overeenkomstig artikel 5 van richtlijn (EU) 2015/1535 worden aangemeld bij de Europese Commissie. In dat geval geldt een wachtperiode van (minstens) drie maanden vooraleer het ontwerp kan worden aangenomen, overeenkomstig artikel 6 van de richtlijn. Die wachtperiode geldt evenwel niet, overeenkomstig artikel 6, lid 7, als een lidstaat om dringende redenen wegens een ernstige en onvoorziene situatie die verband houdt met de bescherming van (onder meer) de gezondheid van mensen, op zeer korte termijn technische voorschriften moet uitwerken en deze onmiddellijk daarop moet vaststellen en invoeren, zonder dat raadpleging mogelijk is. In dat geval is de mededeling aan de Commissie nog steeds vereist; in de mededeling moet de reden voor de urgentie worden vermeld. De Commissie spreekt zich dan zo spoedig mogelijk uit over de mededeling.

Bijgevolg dient het ontwerp te worden aangemeld bij de Europese Commissie, waarbij dan de urgentie van de goedkeuring ervan wordt uiteengezet ter verantwoording van het niet in acht nemen van de voorgeschreven wachttermijn. 9. De vraag rijst of de ontworpen regeling onder het toepassingsgebied valt van de dienstenrichtlijn.(12) Het ter beschikking stellen van een digitale contactopsporingsapplicatie moet worden beschouwd als een dienst, waarvan het mogelijk is dat die tegen een vergoeding wordt aangeboden, of die vergoeding nu afkomstig is van de overheid of - eventueel via reclame inkomsten - van de gebruiker. Het ontwerp waarborgt alleszins niet dat de applicaties worden aangeboden als een niet economische dienst van algemeen belang.(13) De uitzondering voor de diensten van de gezondheidszorg(14) kan ook niet worden ingeroepen, omdat de applicaties geen betrekking hebben op activiteiten die in de lidstaat waar de dienst wordt verricht, zijn voorbehouden aan beoefenaren van gereglementeerde beroepen in de gezondheidszorg.(15) Het is dan ook mogelijk dat de dienstenrichtlijn toepasselijk is,(16) zodat het ontwerp moet worden getoetst aan de artikelen 14 en 15 ervan met betrekking tot de eisen die worden gesteld aan de uitoefening van een dienstenactiviteit op het grondgebied van België.(17) Op het eerste gezicht lijkt het ontwerp geen verboden eisen als bedoeld bij artikel 14 te bevatten, evenmin als niet-discriminerende eisen als bedoeld bij artikel 15, lid 2. De Raad van State beschikt evenwel niet over het vereiste technische inzicht in de specifieke eisen ten aanzien van de digitale contactopsporingsapplicaties om daarover een sluitend oordeel te kunnen vellen. In voorkomend geval zou toch nog een aanmelding bij de Europese Commissie overeenkomstig artikel 15, lid 7, van de dienstenrichtlijn vereist kunnen zijn.

ALGEMENE OPMERKINGEN Legaliteitsbeginsel bij het recht op bescherming van de persoonlijke levenssfeer (artikel 22 van de Grondwet) 10.1. Doordat artikel 22 van de Grondwet aan de bevoegde wetgever de bevoegdheid voorbehoudt om vast te stellen in welke gevallen en onder welke voorwaarden afbreuk kan worden gedaan aan het recht op eerbiediging van het privéleven, waarborgt het aan elke burger dat geen enkele inmenging in dat recht kan plaatsvinden dan krachtens regels die zijn aangenomen door een democratisch verkozen beraadslagende vergadering. Een delegatie aan een andere macht is evenwel niet in strijd met het wettigheidsbeginsel voor zover de machtiging voldoende nauwkeurig is omschreven en betrekking heeft op de tenuitvoerlegging van maatregelen waarvan de essentiële elementen voorafgaandelijk door de wetgever zijn vastgesteld.

Daarom moeten in beginsel minstens de categorieën van te verwerken persoonsgegevens, de bewaartermijn voor deze gegevens en de finaliteit van de gegevensverwerking als essentiële elementen van de verwerking van persoonsgegevens worden beschouwd en door de wetgevende norm zelf worden bepaald.

Aangezien Gegevensbank VI in dit ontwerp wordt geïntroduceerd kunnen noch de categorieën van te verwerken persoonsgegevens, noch de bewaartermijn, noch de finaliteit van de gegevensverwerking uit het koninklijk besluit nr. 44 van 26 juni 2020 worden afgeleid.

De gemachtigde deelde in verband met Gegevensbank VI het volgende mee: "De Gegevensbank VI [is] een louter technische buffergegevensbank waarin slechts zeer tijdelijk zeer beperkte informatie wordt opgeslagen tussen het ogenblik dat een persoon besmet blijkt en het ogenblik dat hij zijn beveiligde sleutels oplaadt in Gegevensbank V. De instelling ervan is nodig om de mogelijkheid tot heridentificatie te vermijden." Hoewel aanvaard kan worden dat in de gekozen invulling van digitale contactopsporing Gegevensbank VI essentieel is om heridentificatie te vermijden, doet dit geen afbreuk aan het legaliteitsbeginsel in artikel 22 van de Grondwet. De noodzaak om alle gegevensbanken met betrekking tot contactopsporing in te voeren door middel van een norm op het hiërarchische niveau van een wet vindt bevestiging in het gegeven dat andere tijdelijke en beperkte databanken, zoals Gegevensbank III met de belorders en orders voor de medewerkers van het contactcentrum, wel degelijk in het koninklijk besluit nr. 44 van 26 juni 2020 zijn geregeld. 10.2. Daarenboven wordt van een aantal elementen, die bij voorkeur evenzeer door een wetgevende norm zouden moeten worden geregeld, in het geheel geen melding gemaakt in het ontwerp. Zo wordt bijvoorbeeld de geldingsduur van de Gegevensbank VI niet geregeld. Het gegeven dat, zoals door de gemachtigde is meegedeeld, in het wetgevende samenwerkingsakkoord zal worden bepaald dat, met uitzondering van Gegevensbanken II en IV, alle gegevensbanken en de werking ervan door de verwerkingsverantwoordelijke gedesactiveerd en opgeheven of gewist worden ten laatste vijf dagen na de dag van publicatie van het koninklijk besluit dat het einde van de toestand van het coronavirus COVID-19-epidemie afkondigt, kan niet de vaststelling ongedaan maken dat het koninklijk besluit nr. 44 van 26 juni 2020, dat de ontworpen regeling tot rechtsgrond strekt, geen bepaling in die zin bevat. 10.3. Uit wat voorafgaat volgt dat er, zowel wat de inrichting van Gegevensbank VI betreft als de essentiële elementen betreffende de werking ervan, een voldoende wettelijke basis zou moeten worden tot stand gebracht.

Verhouding met manuele contactopsporing 11. De samenhang tussen de ontwikkelde digitale contactopsporing en de bestaande manuele contactopsporing zou ter wille van de rechtszekerheid duidelijker tot uitdrukking moeten worden gebracht in het ontwerp, temeer daar verschillende stappen van de digitale contactopsporing parallel lopen met de manuele contactopsporing, zoals die inzake het afleggen van de test en de notificatie van het testresultaat. Zo werd bijvoorbeeld de gemachtigde om bijkomende uitleg verzocht over de precieze werking van het aanmaken en overmaken van een testcode bij de aanvraag van een test en over de praktische toepassing van het bepaalde in artikel 2, § 1, 2°, a) en b), van het ontwerp. Naar aanleiding daarvan deelde de gemachtigde het volgende mee: "De gebruiker geeft in de app aan dat hij/zij zich wil laten testen; de app genereert dan de testcode en berekent de datum waarop de gebruiker vermoedelijk besmettelijk is geworden. (...) De testcode wordt gegenereerd en getoond in de app. Zij wordt daarna samen met het identificatienummer van de sociale zekerheid (INSZ) van de geteste patiënt elektronisch aan Sciensano doorgegeven hetzij door de arts die de test voorschrijft, via zijn softwarepakket, hetzij door de patiënt via een webtoepassing. Een doorgave van testcode en INSZ van de app naar Sciensano is niet mogelijk omdat de app volledig gedepersonaliseerd moet functioneren." Dat het identificatienummer van de sociale zekerheid (INSZ) aan Sciensano wordt doorgegeven door de patiënt via een webtoepassing of door de arts die de test voorschrijft via een softwarepakket, valt evenwel onvoldoende duidelijk af te leiden uit de tekst van het ontwerp.

Omvorming tot samenwerkingsakkoord 12. Uit de in dit advies sub 6 geformuleerde opmerking met betrekking tot de rechtsgrond volgt dat de verwerkingsdoeleinden die door Gegevensbank I worden nagestreefd een bijkomende wettelijke basis en bijgevolg een aanvulling impliceren van de regels die nu in het koninklijk besluit nr.44 van 26 juni 2020 zijn vervat. Sub 10.1. en 10.2. werd erop gewezen dat het versterkt legaliteitsbeginsel dat voortvloeit uit artikel 22 van de Grondwet ertoe noopt dat ook voor de inrichting en de werking van Gegevensbank VI een voldoende wettelijke basis zou moeten worden tot stand gebracht en dat daartoe in het voornoemde koninklijk besluit nr. 44 van 26 juni 2020 in een aantal essentiële elementen zou moeten worden voorzien.

Deze opmerkingen zullen moeten worden betrokken op het door de stellers van het ontwerp in het vooruitzicht gestelde wetgevend samenwerkingsakkoord waarvan het de bedoeling is dat het in de plaats komt van de regeling die nu is opgenomen in het koninklijk besluit nr. 44 van 26 juni 2020. Zoals het zaak zal zijn om het laatstgenoemde koninklijk besluit aan te passen teneinde ermee een voldoende wettelijke basis te bieden in het licht van de sub 6 en sub 10.1. en 10.2. geschetste problematiek, zal dit ook dienen te gebeuren in het wetgevend samenwerkingsakkoord waaraan het toekomstige uitvoerende samenwerkingsakkoord nader uitwerking zal geven.

Het uitvoerende samenwerkingsakkoord dat bedoeld is om in de plaats te komen van het om advies voorgelegde ontwerp van koninklijk besluit dient immers beperkt te blijven tot een loutere tenuitvoerlegging van de maatregelen waarin het wetgevend samenwerkingsakkoord voorziet.

Terwijl het laatstgenoemde samenwerkingsakkoord betrekking dient te hebben op de essentiële elementen van de beoogde regeling, betreft een uitvoerend samenwerkingsakkoord slechts de minder essentiële en technische aspecten ervan.(18) Uit de bewoordingen van artikel 92bis, § 1, derde lid, van de bijzondere wet van 8 augustus 1980 `tot hervorming der instellingen' vloeit voort dat dergelijke uitvoerende samenwerkingsakkoorden niet ter instemming aan de respectieve parlementen hoeven te worden voorgelegd(19) (20) en beperkt moeten blijven tot "de uitvoering" van (wetgevende) samenwerkingsakkoorden die wel de instemming van de bevoegde wetgevers verkregen hebben.

Uitvoerende samenwerkingsakkoorden dienen wel nog steeds te worden bekendgemaakt in het Belgisch Staatsblad.(21) Er zal derhalve moeten worden op toegezien dat het uitvoerende samenwerkingsakkoord geen bepalingen bevat die, vanwege hun aard, de instemming van de bevoegde wetgevers vereisen in de zin van artikel 92bis, § 1, tweede lid, van de bijzondere wet van 8 augustus 1980. De opzet zelf van deze laatste bepaling staat er immers aan in de weg dat, via het procedé van uitvoerende samenwerkingsakkoorden, het vereiste van een instemming vanwege de bevoegde wetgever zou worden uitgehold of dat daaraan in ruime mate voorbijgegaan zou worden in de gevallen waarin dat vereiste geldt.(22) ONDERZOEK VAN DE TEKST Aanhef 13. In het eerste lid van de aanhef van het ontwerp moet de verwijzing naar artikel 6 van de wet van 27 maart 2020 `die machtiging verleent aan de Koning om maatregelen te nemen in de strijd tegen de verspreiding van het coronavirus COVID-19 (II)' worden geschrapt.14. In het tweede lid van de aanhef moet uiteraard melding worden gemaakt van de datum (26 juni 2020) van het koninklijk besluit nr. 44.(23) 15. De verwijzingen naar de vormvereisten die met betrekking tot de ontworpen regeling zijn nageleefd, moeten worden vervolledigd met een verwijzing naar de regelgevingsimpactanalyse die op 20 augustus 2020 is gebeurd.Tevens zal moeten worden verwezen naar het advies van de Gegevensbeschermingsautoriteit dat weliswaar werd gevraagd maar nog niet werd uitgebracht. 16. Overeenkomstig artikel 84, § 1, tweede lid, van de gecoördineerde wetten op de Raad van State, dient de motivering van het spoedeisend karakter, die in de adviesaanvraag wordt opgegeven, in de aanhef van het ontworpen koninklijk besluit te worden overgenomen. Artikel 1 17. Artikel 1, 1°, van het ontwerp, moet aanvangen als volgt: "koninklijk besluit nr.44: het koninklijk besluit nr. 44 van 26 juni 2020 betreffende ...". 18. In de omschrijving van het begrip "testnummer", in artikel 1, 11°, van het ontwerp, wordt melding gemaakt van een "correcte app".Aan de gemachtigde werd gevraagd wat precies dient te worden verstaan onder een "correcte app". De gemachtigde deelde in dat verband het volgende mee: "De rol van het testnummer is om het testresultaat naar de juiste app te kunnen sturen zonder contactgegevens van de gebruiker (naam, telefoonnummer, email adres) te gebruiken. Met `correcte app' wordt bedoeld een authentieke Coronalert app die geïnstalleerd is op de smartphone van de gebruiker op het moment dat hij/zij een test aanvraagt." Ter wille van de duidelijkheid verdient het aanbeveling om in de omschrijving van het begrip "testnummer", in artikel 1, 11°, van het ontwerp, te preciseren wat dient te worden verstaan onder een "correcte app".

Artikel 2 19. Aan het einde van de inleidende zin van artikel 2, § 1, 1°, van de Nederlandse tekst van het ontwerp, komt het woord "zonder" voor.Van dat woord wordt geen melding gemaakt in de overeenstemmende Franse tekst van het ontwerp. Daarnaast is de betekenis ervan in de context van de ontworpen bepaling onduidelijk en is het gebruik van het betrokken woord bovendien redactioneel niet in overeenstemming met de wijze waarop de diverse onderdelen van artikel 2, § 1, 1°, zijn geformuleerd. De redactie van de inleidende zin van artikel 2, § 1, 1°, van het ontwerp, zal op dat punt moeten worden herzien. 20. In artikel 2, § 1, 2°, a), van het ontwerp, kan de zinsnede "laat een gebruiker van de app zich testen" de indruk wekken dat gebruikers van de app een bijkomende verplichting wordt opgelegd om zich te laten testen, in tegenstelling tot de personen die geen app gebruiken, hetgeen evenwel op gespannen voet zou komen te staan met het bepaalde in artikel 14, § 5, tweede lid, van het koninklijk besluit nr.44 van 26 juni 2020.(24) Voorts wordt, zolang de gebruiker zich nog in het stadium bevindt waarin het nog niet effectief vaststaat dat hij besmet is, in artikel 2, § 1, 2°, van het ontwerp, beter van een "vermoedelijke besmetting" melding gemaakt, naar analogie van artikel 14, § 3, 7°, van het voornoemde koninklijk besluit. 21. In de inleidende zin van artikel 2, § 1, 3°, van het ontwerp, wordt melding gemaakt van het "pollen naar een resultaat van test" ("récupération du résultat d'un test").Vraag is of, zeker wat de Nederlandse tekst van het ontwerp betreft, niet het best wordt geopteerd voor een beter toegankelijke en in het algemeen spraakgebruik meer verspreide term dan de term "pollen". 22. In artikel 2, § 1, 4°, d), van het ontwerp, wordt bepaald dat Gegevensbank V "op geregelde tijdstippen [nagaat] (...) of de ontvangen testnummers overeenkomen met de testcodes en met de data waarop de gebruikers besmettelijk zijn geworden en [nagaat] of er een autorisatiecode bestaat voor elke testcode en datum".

Aan de gemachtigde werd gevraagd op welke wijze Gegevensbank V tot een onderlinge verbinding van de betrokken gegevens komt. De gemachtigde beantwoordde deze vraag als volgt: "Als de gebruiker een positief testresultaat heeft en besluit om zijn/haar beveiligde sleutels op te laden, zal de app de beveiligde sleutels, de data waarop deze sleutels gebruikt werden, de testcode en een bijkomende geheime parameter van de eenwegsfunctie opladen naar Gegevensbank V. Gegevensbank V kan dan het testnummer berekenen uit de testcode en nagaan of er een autorisatiecode is voor deze testcode.

Misschien is het duidelijk om dit als volgt te herformuleren: Op geregelde tijdstippen genereert Gegevensbank V uit de gegevens vermeld onder 4° a) het testnummer en gaat ze na of er een geldige autorisatiecode bestaat voor elke testcode en datum; als aan alle voorwaarden voldaan is [...]." Er kan worden ingestemd met de door de gemachtigde gedane suggestie. 23. In artikel 2, § 1, 5°, a), van het ontwerp, wordt bepaald dat de betrokken lijst "digitaal gehandtekend" wordt ("est signée par la voie numérique").Indien hiermee wordt gedoeld op het vereiste dat de lijst digitaal moet worden voorzien van een concrete handtekening rijst de vraag door wie de lijst op die wijze dient te worden gehandtekend; indien het daarentegen de bedoeling is om met de betrokken omschrijving tot uitdrukking te brengen dat de lijst automatisch via digitale weg van een dagtekening wordt voorzien, wordt in artikel 2, § 1, 5°, a), van het ontwerp, beter geschreven "wordt digitaal gedagtekend" in plaats van "wordt digitaal gehandtekend". 24. In tegenstelling tot wat het geval is in de Nederlandse tekst van artikel 2, § 2, tweede lid, van het ontwerp, waarin telkens melding wordt gemaakt van "beveiligde sleutels", wordt in de Franse tekst melding gemaakt van zowel "clés sécurisées" als "requêtes fictives". Ter wille van de redactionele uniformiteit en de duidelijkheid wordt ook in de Franse tekst het best voor een meer eenvormige terminologie geopteerd. In ieder geval zouden de Nederlandse en de Franse tekst van de ontworpen bepaling op dat punt beter op elkaar moeten worden afgestemd.

Artikel 3 25. In artikel 3 van het ontwerp wordt de app beperkt tot de besturingssystemen "iOS" en "Android".Deze beperking zal moeten kunnen worden verantwoord in het licht van het grondwettelijk gewaarborgde gelijkheidsbeginsel, het beginsel inzake vrij verkeer van diensten en richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 `inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties'.

De gemachtigde verstrekte in verband met de in artikel 3 opgenomen beperking de volgende toelichting: "Het is helaas technisch niet haalbaar om deze oplossing op alle smartphones aan te bieden. Zo zal de ontwikkelde app niet werken op telefoons met een Linux besturingssysteem, op telefoons die 'geroot' zijn en op Android telefoons die geen Google App store hebben. In deze laatste categorie vallen een aantal recente Huawei telefoons. Het gaat in totaal om een beperkt marktaandeel. De bijkomende inspanning, kost en tijd om de app hiervoor ook te ontwikkelen zou zeer groot zijn en niet in verhouding tot het marktaandeel. De 17 andere EU lidstaten die hetzelfde protocol gebruiken hebben dezelfde pragmatische beslissing genomen. Als de epidemie nog langer aanhoudt, kan dit opgelost worden door bijkomende software te ontwikkelen of door een klein mobiel toestel te bouwen (10-20 EUR) dat enkel contactopsporing doet met dezelfde methoden; dit gebeurt best op EU niveau om de zeer hoge vaste kosten te delen." De aldus door de gemachtigde verduidelijkte beperking lijkt op het eerste gezicht naar redelijkheid verantwoord en proportioneel. De bevoegde overheid zal er wel blijvend moeten over waken dat, als gevolg van de uitsluiting van bepaalde besturingssystemen, het voor de meest kwetsbare groepen in de maatschappij, die mogelijk bijkomend kwetsbaar zijn voor de coronapandemie, niet onevenredig moeilijk wordt gemaakt om toegang te krijgen tot het beschermingsmechanisme van de digitale contactopsporing.

Artikel 4 26. In artikel 4, § 2, 3°, van het ontwerp, wordt bepaald dat de gegevensbank V en de gegevensbank VI, en de daarvoor gebruikte infrastructuur, valse of incorrecte rapportering van besmettingen moeten vermijden en dat de rapportering van een besmetting enkel kan na een positief resultaat van een test of "na een vaststelling door een arts van een ernstig vermoeden dat een persoon besmet is met het coronavirus COVID-19".In andere bepalingen van het ontwerp wordt geen melding gemaakt van een vaststelling door een arts van een ernstig vermoeden dat een persoon besmet is met het coronavirus COVID-19.(25) De gemachtigde ziet een parallellisme met een positieve besmetting en deelt mee dat "het ernstig vermoeden van een besmetting (...) door de huisarts [wordt] gemeld aan Gegevensbank I" en dat "[v]oor het overige (...) dezelfde werkwijze [geldt] als bij een patiënt die positief getest is". Deze zienswijze kan op zich verdedigd worden in het licht van de nauwe samenhang in het koninklijk besluit nr. 44 van 26 juni 2020 tussen categorieën personen waarvan de besmetting ernstig vermoed wordt ("Personen Categorie III"), en categorieën personen waarvan de besmetting bevestigd is ("Personen Categorie II").

Met het oog op de rechtszekerheid zou er in het ontwerp een analoge werkwijze voor de ernstige vermoedens van een besmetting moeten worden uitgewerkt. 27. De draagwijdte van artikel 4, § 4, van het ontwerp, is niet duidelijk, temeer daar de Nederlandse en de Franse tekst van elkaar verschillen.Hierover om nadere toelichting verzocht, deelde de gemachtigde het volgende mee: "De Franse vertaling is niet juist en zal verbeterd worden. Het gaat niet over financiële lasten, maar over administratieve lasten. Het is de bedoeling dat de testcode kan [worden] ingegeven op een eenvoudige manier bij het aanvragen van een test." De door de gemachtigde gesuggereerde correctie van de Franse tekst van artikel 4, § 4, van het ontwerp, kan in voorkomend tevens te baat worden genomen om de beoogde draagwijdte van de betrokken paragraaf in zowel de Nederlandse als de Franse tekst duidelijker te verwoorden.

DE GRIFFIER DE VOORZITTER Astrid TRUYENS Marnix VAN DAMME _______ Nota's (1) In artikel 84, § 1, tweede lid, van de gecoördineerde wetten op de Raad van State, wordt voorgeschreven dat, wanneer met toepassing van artikel 84, § 1, eerste lid, 3°, om spoedbehandeling van een adviesaanvraag over een ontwerp van reglementair besluit wordt verzocht, de motivering van het spoedeisend karakter, die in de aanvraag wordt opgegeven, in de aanhef van het besluit wordt overgenomen.In casu is dit niet gebeurd. (2) Koninklijk besluit nr.44 van 26 juni 2020 `betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano'. (3) Decentralized Privacy-Preserving Proximity Tracing (dp3t).(4) Dit is bijvoorbeeld het geval in zoverre persoonsgegevens in de betrokken databanken worden verwerkt met het oog op wetenschappelijk, statistisch of beleidsondersteunend onderzoek door onderzoeksinstellingen, met inbegrip van Sciensano (zie ook artikel 3, § 1, 4°, van het koninklijk besluit nr.44 van 26 juni 2020), hetgeen kan worden ingepast in de federale bevoegdheden inzake wetenschappelijk onderzoek (artikel 6bis, §§ 2 en 3, van de bijzondere wet van 8 augustus 1980 `tot hervorming der instellingen'). (5) Zie in die zin o.m. adv.RvS nr. 67.424/3 van 26 mei 2020 over een wetsvoorstel `betreffende het gebruik van digitale contactopsporingsapplicaties ter voorkoming van de verdere verspreiding van het coronavirus COVID-19 onder de bevolking', nrs. 6 en 7. (6) Parl.St. Kamer, 2019-2020, nrs. 55-1249/001, 1249/002 en 1249/003. (7) Zie in die zin ook, benevens het reeds vermelde adv.RvS 67.424/3 van 26 mei 2020, nr. 8, adv.RvS 67.719/VR van 15 juli 2020 over een voorontwerp van wet `houdende instemming met het Samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVlD-19 besmet zijn op basis van een gegevensbank bij Sciensano, afgesloten te Brussel op 2 juli 2020 en tot intrekking van het koninklijk besluit nr. 18 van 2 mei 2020, het koninklijk besluit nr. 25 van 28 mei 2020 en het koninklijk besluit nr. 44 van 26 juni 2020 inzake een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19', nrs. 6 en 43. (8) Voetnoot 11 van het aangehaalde advies: Zie artikel 92bis, § 1, tweede lid, van de bijzondere wet van 8 augustus 1980. (9) In het samenwerkingsakkoord zoals dat tegelijk om advies werd voorgelegd met het daarop betrekking hebbend voorontwerp van instemmingswet en dat aanleiding gaf tot het reeds aangehaalde adv.RvS nr. 67.719/VR van 15 juli 2020, werd er in een terugwerkende kracht voorzien tot 4 mei 2020. (10) Ook het koninklijk besluit nr.18 van 4 mei 2020 `tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19' en het koninklijk besluit nr. 25 van 28 mei 2020, dat het eerstgenoemde koninklijk besluit heeft gewijzigd, zouden worden ingetrokken. Het betreft koninklijke besluiten die op het vlak van de manuele contactopsporing zijn tot stand gekomen om gelijksoortige motieven als die welke aan het koninklijk besluit nr. 44 van 26 juni 2020 ten grondslag liggen. (11) In artikel 1, § 4, van het koninklijk besluit nr.44 van 26 juni 2020 wordt de Koning bevoegd gemaakt om, bij een besluit vastgesteld na overleg in de Ministerraad en in de Interministeriële Conferentie Volksgezondheid, de nadere regels te omschrijven die zijn vereist voor het uitvoeren van het eerstgenoemde koninklijk besluit. (12) Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 `betreffende diensten op de interne markt'.(13) Zie artikel 2, lid 2, a), van de dienstenrichtlijn.(14) Zie artikel 2, lid 2, f), van de dienstenrichtlijn.(15) Handboek voor de implementatie van de Dienstenrichtlijn, Europese Commissie, 2007, p.12. Zie ook overweging 22 bij de dienstenrichtlijn. (16) De uitzonderingsgronden in artikel 2, lid 2, c) en i), lijken alleszins ook niet toepasselijk in dit geval.(17) Er wordt immers niet voorzien in een vergunningsstelsel, zodat niet moet worden getoetst aan de artikelen 9 tot 13 van de dienstenrichtlijn. (18) Zie in de zin o.m. adv.RvS 63.373/VR van 14 juni 2018 over een voorontwerp dat heeft geleid tot de wet van 16 juni 2019`houdende instemming met het samenwerkingsakkoord van 30 januari 2019 tussen de Federale Staat, de Gemeenschappen en de Gewesten betreffende de preventie en beheersing van de introductie en verspreiding van invasieve uitheemse soorten', nr. 3.5. (19) Uit artikel 3 van de gecoördineerde wetten op de Raad van State valt a contrario af te leiden dat de afdeling Wetgeving niet bevoegd is om advies te verlenen over (ontwerpen van) samenwerkingsakkoorden als dusdanig, maar enkel indien deze samen met een ontwerp van instemmingstekst worden voorgelegd.Over ontwerpen van uitvoerende samenwerkingsakkoorden op zich, die in beginsel geen parlementaire instemming behoeven, zal de afdeling Wetgeving derhalve niet kunnen adviseren (zie in die zin o.m. adv.RvS 64.981/3 van 11 januari 2019 over een ontwerp dat heeft geleid tot de samenwerkingsovereenkomst van 31 januari 2019 `tot uitvoering tussen de Gemeenschappelijke Gemeenschapscommissie en de Franse Gemeenschapscommissie betreffende de oprichting en de werking van de Permanente Overlegcommissie', nr. 2). (20) Wat betreft uitvoerende samenwerkingsakkoorden bepaalt artikel 92bis, § 1, derde lid, van de bijzondere wet van 8 augustus 1980 uitdrukkelijk dat ze "gelden zonder dat de instemming bij de wet of het decreet vereist is". (21) Zie in die zin o.m. adv.RvS 63.447/VR van 12 juni 2018 over een voorontwerp dat heeft geleid tot de wet van 15 februari 2019 `houdende instemming met het samenwerkingsakkoord van 5 oktober 2018 tussen de federale Staat, het Vlaamse Gewest, het Waalse Gewest en het Brusselse Hoofdstedelijk Gewest betreffende de financiering van de strategische spoorweginfrastructuren', nr. 5.3, en adv.RvS 63.753/VR/V van 24 juli 2018 over een voorontwerp van decreet van de Franse Gemeenschap `portant assentiment à l'Accord de coopération du 20 novembre 2017 entre les autorités fédérales, régionales et communautaires pour la coordination du traitement de données dans les domaines de la politique de santé et de l'aide aux personnes', nr. 3.5. (22) O.m. het reeds vermelde adv.RvS 63.447/VR van 12 juni 2018 is in dezelfde zin. (23) Ook in het opschrift van het ontwerp dient van die datum melding te worden gemaakt. (24) Zoals door de gemachtigde werd bevestigd, wordt beter geschreven "in geval een gebruiker van de app zich laat testen ...". De gemachtigde wees er ook op dat het in elk geval essentieel is dat "personen zich enkel als besmet kunnen melden indien ze dat ook zijn.

Anders zouden valse hoogrisicocontacten worden gedetecteerd en deze mensen onnodig aan quarantainemaatregelen worden onderworpen". (25) In artikel 2, § 1, 3° en 4°, van het ontwerp, wordt integendeel uitsluitend melding gemaakt van respectievelijk "het pollen naar een resultaat van test' en "het doorsturen van de beveiligde sleutels naar Gegevensbank V in geval van een positief resultaat van een test'. 17 SEPTEMBER 2020. - Koninklijk besluit tot uitvoering van het koninklijk besluit nr. 44 van 26 juni 2020 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 27 maart 2020 die machtiging verleent aan de Koning om maatregelen te nemen in de strijd tegen de verspreiding van het coronavirus COVID-19 (II), artikelen 2 en 5, § 1, 1° ;

Gelet op het koninklijk besluit nr. 44 van 26 juni 2020 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano, artikel 14, § 9;

Gelet op het advies van de Inspecteur van Financiën, gegeven op 19 augustus 2020;

Gelet op de akkoordbevinding van de Minister van Begroting van 21 augustus 2020;

Gelet op de regelgevingsimpactanalyse van 20 augustus 2020;

Gelet op het advies van de Interministeriële Conferentie Volksgezondheid van 19 augustus 2020;

Gelet op het advies nr. 79/2020 van de Gegevensbeschermingsautoriteit, gegeven op 7 september 2020;

Gelet op advies 67.953/1/V van de Raad van State, gegeven op 31 augustus 2020, met toepassing van artikel 84, § 1, eerste lid, 3°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;

Het verzoek om spoedbehandeling is gemotiveerd door de omstandigheid dat dit ontwerp betrekking heeft op een buitengewone crisissituatie, namelijk de gevolgen van de COVID-19-pandemie die momenteel in België heerst, wat bijzondere en ernstige problemen oplevert in termen van de volksgezondheid;

Dat het van vitaal belang is voor de volksgezondheid en voor het vermijden van een heropflakkering van de COVID-19-pandemie, dat de nodige maatregelen inzake contactonderzoek kunnen worden genomen;

Dat momenteel het bijzondere volmachtenbesluit nr. 44 van 26 juni 2020 omwille van de dringende noodzakelijkheid nog tot ten laatste 15 oktober 2020 voorziet in een voorlopige regelgeving m.b.t. deze materie, in afwachting van een meer duurzame en rechtszekere oplossing onder de vorm van een samenwerkingsakkoord;

Dat de goedkeuring van het ontwerp van samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano, dat eerder voor advies aan de afdeling wetgeving van de Raad van State werd voorgelegd, nog enige tijd in beslag zal nemen gelet op de te vervullen procedurele stappen;

Dat de bevoegde regeringen in afwachting van de goedkeuring van dit samenwerkingsakkoord reeds gestart zijn met de voorbereiding van een uitvoerend samenwerkingsakkoord m.b.t. de digitale contactopsoringsapplicatie(s), voorzien in artikel 14 § 9 van het ontwerp van samenwerkingsakkoord;

Dat gelet op de dringende noodzakelijkheid om de volksgezondheid te beschermen niet kan worden gewacht op de goedkeuring van bovengenoemde samenwerkingsakkoorden om met de digitale contactopsporing en eventuele test-projecten hieromtrent van start te gaan;

Dat er bijgevolg nood is aan een voorlopige regelgeving in afwachting van een meer rechtszeker juridisch kader dat de goede werking, de continuïteit en het vertrouwen van de burger in het systeem van het contactonderzoek kan garanderen;

Op de voordracht van de minister van Sociale Zaken en Volksgezondheid en op het advies van de in Raad vergaderde Ministers, Hebben Wij besloten en besluiten Wij : HOOFDSTUK I. - Definities

Artikel 1.Voor de toepassing van dit besluit wordt verstaan onder: 1° koninklijk besluit nr.44: het koninklijk besluit nr. 44 van 26 juni 2020 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano; 2° Gegevensbank I: de Gegevensbank I bedoeld in artikel 1, § 1, 5° van het koninklijk besluit nr.44; 3° Gegevensbank V: de Gegevensbank V bedoeld in artikel 1, § 1, 9° van het koninklijk besluit nr.44; 4° Gegevensbank VI: een gegevensbank waarvoor Sciensano de verwerkingsverantwoordelijke is en waarin zeer tijdelijk de testresultaten worden opgeslagen, samen met de testcode, de datum van staalafname en de datum waarop de gebruiker besmettelijk is geworden overeenkomstig het proces beschreven in artikel 2, § 1, 3° ;5° test: een coronavirus COVID-19 test waarmee wordt nagegaan of een persoon met het coronavirus COVID-19 besmet is;6° app: de digitale contactopsporingsapplicatie CoronAlert, die door de gefedereerde entiteiten ter beschikking wordt gesteld;7° beveiligde sleutel: een beveiligde sleutel die na installatie van de app elke dag wordt gegenereerd en opgeslagen op de smartphone waarop de app is geïnstalleerd;8° niet-gepersonaliseerd tijdelijk serienummer: willekeurige combinatie van enen en nullen, die door een smartphone waarop de app is geïnstalleerd via een Bluetooth baken wordt uitgezonden en die bestaat uit een willekeurig getal en de vercijfering van anonieme gegevens van de smartphone, zoals de sterkte van het verzonden signaal;9° autorisatiecode: de anonieme autorisatiecode die de Gegevensbank VI aanmaakt om de gebruiker die positief getest is toe te laten beveiligde sleutels op te laden in Gegevensbank V;10° risicocontact: een contact gedurende minstens vijftien minuten binnen een afstand van minder dan twee meter met een besmet persoon; dat contact wordt vastgesteld wanneer op een smartphone een niet-gepersonaliseerd tijdelijk serienummer wordt gevonden dat overeenkomt met een niet-gepersonaliseerd serienummer dat werd uitgezonden door de smartphone van een besmette gebruiker; 11° testnummer: willekeurige combinatie van enen en nullen, die wordt gebruikt om aan te tonen dat de beveiligde sleutels afkomstig zijn van een correcte app, met name een authentieke Coronalert app die geïnstalleerd is op de smartphone van de gebruiker op het moment dat hij/zij een test aanvraagt, zonder deze app te identificeren;12° testcode: een code die bestaat uit willekeurige cijfers en wordt aangemaakt door de app bij de aanvraag van een test. HOOFDSTUK II. - Algemeen

Art. 2.§ 1. Overeenkomstig artikel 14, § 1 van het koninklijk besluit nr. 44 biedt de app de volgende functionaliteiten aan en voert volgende verwerkingen uit: 1° Het registreren, op niet-gepersonaliseerde wijze, van de contacten van de gebruiker van de app met andere gebruikers van de app: a) elke app genereert elke dag een andere beveiligde sleutel;b) de beveiligde sleutel is enkel gekend op de smartphone waarop de app is geïnstalleerd;c) op basis van de beveiligde sleutel worden niet-gepersonaliseerde tijdelijke serienummers gegenereerd;d) op geregelde basis stuurt elke smartphone waarop de app is geïnstalleerd een niet-gepersonaliseerde tijdelijk serienummer uit als een Bluetooth baken;minstens om de twintig minuten wordt een ander niet-gepersonaliseerd tijdelijk serienummer uitgestuurd om te beletten dat deze niet-gepersonaliseerde tijdelijke serienummers kunnen gebruikt worden om een gebruiker te volgen; na de uitzendperiode wordt een niet-gepersonaliseerd tijdelijk serienummer niet bewaard op de smartphone die het serienummer verzonden heeft; e) elke smartphone waarop de app is geïnstalleerd, slaat de Bluetooth bakens met de niet-gepersonaliseerde tijdelijke serienummers op die door andere smartphones op een beperkte afstand worden uitgezonden, samen met de dag waarop het baken is ontvangen en de signaalsterkte;f) de niet-gepersonaliseerde tijdelijke serienummers worden bewaard op de ontvangende smartphone gedurende veertien dagen en daarna verwijderd.2° Het aanmaken en overmaken van een testcode bij de aanvraag van een test: a) in geval van symptomen van of risico op besmetting met het coronavirus COVID-19 wordt, in geval een gebruiker van de app zich laat testen, de datum vastgesteld waarop de gebruiker vermoedelijk besmettelijk is geworden;de app genereert een testnummer en berekent de testcode als een éénwegsfunctie van het testnummer en van de datum waarop de gebruiker besmettelijk is geworden; b) de testcode wordt op initiatief van de gebruiker samen met het identificatienummer van de sociale zekerheid (INSZ) elektronisch aan Sciensano doorgegeven hetzij door de arts die de test voorschrijft, via een softwarepakket, hetzij door de patiënt via een webtoepassing en samen met de datum van de staalafname en de datum waarop de gebruiker besmettelijk is geworden, opgeslagen in Gegevensbank I;3° Het opvragen van een resultaat van de test: a) als een resultaat van een test of een ernstig vermoeden van besmetting met het coronavirus COVID-19 beschikbaar is in Gegevensbank I, worden de testcode, de datum van staalafname en de datum waarop de gebruiker besmettelijk is geworden, door Gegevensbank I meegedeeld aan de Gegevensbank VI;na bevestiging van ontvangst van deze gegevens door Gegevensbank VI, wordt de testcode automatisch verwijderd uit Gegevensbank I, waardoor geen connectie meer mogelijk is tussen de gegevens in Gegevensbank I en de gegevens van de app; b) de app contacteert op geregelde tijdstippen de Gegevensbank VI om na te gaan of er al een resultaat van een test of een ernstig vermoeden van besmetting met het coronavirus COVID-19 beschikbaar is voor de combinatie testcode en datum waarop de gebruiker besmettelijk is geworden;de app kan dus het resultaat van een test bekomen zonder dat de gebruiker geïdentificeerd moet worden; c) na bevestiging van ontvangst van het resultaat van een test door de app worden het resultaat van de test en de bijhorende testcodes en data verwijderd uit Gegevensbank VI;als het resultaat van een test veertien dagen na de opslag ervan in Gegevensbank VI niet gedownload is, worden het resultaat van de test en de bijhorende testcodes en data verwijderd uit Gegevensbank VI; d) het testresultaat wordt ten laatste vierentwintig uur na het tonen van het resultaat aan de gebruiker uit de app verwijderd;e) als de app veertien dagen na de datum van het aanmaken van de testcode nog geen resultaat van de test heeft ontvangen, worden het testnummer, de testcode en de datum waarop de gebruiker besmettelijk is geworden uit de app verwijderd;4° het doorsturen van de beveiligde sleutels naar Gegevensbank V in geval van een positief resultaat van een test a) na ontvangst van een positief resultaat van een test kan de gebruiker toestemming geven om de beveiligde sleutels, het testnummer en de datum waarop hij besmettelijk is geworden, op te laden in Gegevensbank V;b) de app verzamelt geen locatiegegevens;de gebruiker kan echter wel binnen de app vrijwillig aangeven in welk(e) land(en) hij op een bepaalde datum is geweest om te kunnen samenwerken met de contactopsporingsapplicaties van andere landen; desgevallend worden de beveiligde sleutels naar het door de gebruiker aangegeven land gestuurd; c) na bevestiging van ontvangst door Gegevensbank V van de gegevens vermeld onder a) en b), worden het resultaat van de test, de beveiligde sleutels, de lijst van landen, het testnummer, de testcode, en de datum waarop de gebruiker besmettelijk is geworden uit de app verwijderd;d) op geregelde tijdstippen genereert Gegevensbank V uit de gegevens vermeld onder 4° a) het testnummer en gaat ze na of er een geldige autorisatiecode bestaat voor elke testcode en datum;als aan alle voorwaarden voldaan is, worden de beveiligde sleutels opgenomen in Gegevensbank V; e) de beveiligde sleutels worden veertien dagen na de datum van ontvangst uit Gegevensbank V verwijderd;5° Het opsporen van contacten: a) de app contacteert op geregelde tijdstippen Gegevensbank V en downloadt de sleutels en de bijhorende besmettelijke dagen van alle besmette gebruikers;deze lijst wordt digitaal gedagtekend zodat de app de authenticiteit van deze lijst kan nagaan aan de hand van de publieke sleutel van Gegevensbank V; b) de app ontcijfert met deze beveiligde sleutels de door deze sleutels gegenereerde niet-gepersonaliseerde tijdelijke serienummers en gaat na of deze serienummers ook opgeslagen zijn in de app;de app berekent op basis van het verschil van de sterkte tussen het verzonden en ontvangen signaal de signaalverzwakking en schat de afstand van het contact in; de totale duur van mogelijke contacten wordt berekend op basis van het aantal serienummers dat overeenkomt; op deze manier kan de app nagaan of in de voorbije veertien dagen een risicocontact heeft plaatsgevonden; c) als de app een risicocontact detecteert, informeert de app de gebruiker over een mogelijk risico op besmetting met het coronavirus COVID-19. § 2. De app laadt op geregelde basis dummy sleutels op in Gegevensbank V. Voor zij dat doet stuurt de app een aantal dummy verzoeken naar Gegevensbank VI, die dummy antwoorden terugstuurt. De dummy sleutels hebben geen geldige autorisatiecode en worden dus niet opgenomen in Gegevensbank V. Op deze manier kan men besmette gebruikers niet onderscheiden van niet-geteste of niet-besmette gebruikers op basis van de communicatiepatronen van de app.

Als er minder dan tien beveiligde sleutels zijn opgeladen op één dag, worden in Gegevensbank V bijkomende dummy beveiligde sleutels opgeladen tot het totaal van tien bereikt wordt. HOOFDSTUK III. - Technische specificaties en interoperabiliteit

Art. 3.De app wordt aangeboden op iOS en Android.

Art. 4.§ 1. De app moet : 1° eenvoudig te installeren en te gebruiken zijn;2° werken met een beperkt batterijverbruik;3° voldoende nauwkeurig zijn;dit betekent dat de app enkel contacten van minstens vijftien minuten binnen een afstand van minder dan twee meter als risicocontact detecteert; 4° internationale interoperabiliteit ondersteunen en het Bluetooth-gedeelte van de app in een zo groot aantal mogelijk landen bruikbaar maken door dit gedeelte compatibel te maken met de apps gebruikt in de meeste EU landen. § 2. De Gegevensbank V en de Gegevensbank VI, en de daarvoor gebruikte infrastructuur moet: 1° een goede performantie leveren, schaalbaar zijn voor gebruik door meerdere miljoenen gebruikers en bestand zijn tegen aanvallen;2° de mogelijkheid bieden om de beveiligde sleutels uit te wisselen met andere landen binnen de EU en dit rechtstreeks of via de EU Federation Gateway Service;beveiligde sleutels worden enkel verstuurd naar de tegenhanger van Gegevensbank V van dat land of regio als: a) dat land of regio een gedecentraliseerde contactopsporingsapp heeft, erkend door de nationale of regionale gezondheidsdienst met een Bluetooth gedeelte dat compatibel is met de Belgische app;b) er voldoende waarborgen zijn voor de gegevensbescherming met inbegrip van de veilige communicatie tussen Gegevensbank V en haar tegenhanger;c) de gebruiker van de app heeft aangegeven dat hij/zij dat land of die regio bezocht heeft in de periode waarin hij/zij besmettelijk was. Voor het ontvangen van beveiligde sleutels uit andere landen of regio's gelden voorwaarden a) en b); d) de beveiligde sleutel van het buitenland afkomstig is van een gebruiker die aangegeven heeft dat hij/zij België bezocht heeft in de periode waarin hij/zij besmettelijk was.Nadat de beveiligde sleutels zijn aangekomen in Gegevensbank V of in de tegenhanger ervan in een ander land of regio, worden ze gedownload in de apps van het land of de regio. 3° valse of incorrecte rapportering van besmettingen vermijden;de rapportering van een besmetting kan enkel na een positief resultaat van een test of na een vaststelling door een arts van een ernstig vermoeden dat een persoon besmet is met het coronavirus COVID-19; 4° dermate zijn opgezet dat er geen relatie kan gelegd worden tussen berichten, zoals beveiligde sleutels en testresultaten en IP-adressen van gebruikers. § 3. De app en de serverinfrastructuur moeten de persoonlijke levenssfeer van de gebruikers waarborgen, gebaseerd zijn op minimale gegevensverwerking en gegevensbescherming door ontwerp. Dit houdt onder meer in dat: 1° er geen locatie-informatie mag ingezameld worden;2° alle communicatie tussen de app en de gegevensbanken vercijferd wordt;3° er geen informatie wordt verwerkt over wie waar door wie besmet is;4° er geen beveiligde sleutels worden verzameld van een gebruiker die niet besmet is;5° het systeem uitgeschakeld kan worden en alle opgeslagen informatie verwijderd kan worden ten laatste vijf dagen na de publicatie van het koninklijk besluit dat het einde van de toestand van de coronavirus COVID-19 epidemie afkondigt;6° bij uitwisseling van gegevens naar Gegevensbanken I en V en naar de Gegevensbank VI slechts het minimum aan gegevens mag uitgewisseld worden om het resultaat van de test te kunnen sturen naar de juiste app, zodat de kans op identificatie van de betrokkene minimaal gehouden wordt;7° het niet mogelijk is om het systeem of de gegevens voor andere doeleinden te gebruiken. § 4. De werking van het systeem voorziet in minimale administratieve lasten middels een eenvoudige ingave van de testcode bij het aanvragen van een test. HOOFDSTUK IV. - Informatieverplichting

Art. 5.§ 1. De gebruikers worden, bij de installatie en voor het gebruik ervan, geïnformeerd over de werking van de app en de interactie ervan met de Gegevensbanken I, V en VI. Hiertoe wordt op de website www.coronalert.be alle nuttige informatie over de app en de gegevensbanken gepubliceerd, onder meer de functionaliteiten, de werking, het charter, de privacyverklaring en de gegevensbeschermingseffectbeoordeling. De app zelf bevat ook verwijzingen naar informatie over de functionaliteiten, de werking en de privacyverklaring. § 2. De broncode van de app en van de programma's voor het beheer van de Gegevensbank V en de Gegevensbank VI in het bijzonder de onderdelen die de gegevens voor een test genereren, de resultaten van een test downloaden, de beveiligde sleutels opladen en het risico berekenen, evenals de gebruikersinterface van de app, worden aan de hand van een link publiek gemaakt op de website, bedoeld in § 1, eerste lid. HOOFDSTUK V. - Controle

Art. 6.De werking en de noodzaak van de app wordt regelmatig gemonitord, geëvalueerd en bijgesteld onder aansturing van het Interfederaal Comité Testing en Tracing, bestaande uit vertegenwoordigers van de gefedereerde entiteiten, Sciensano, het eHealth-platform en twee wetenschappelijke experten. Dit comité kan ondersteund worden door een interdisciplinaire werkgroep van wetenschappelijke experten.

De app zal tevens het voorwerp uitmaken van een informatieveiligheidsaudit door een instantie onafhankelijk van diegene die de app ontwikkeld heeft, waarbij onder meer wordt nagegaan of deze beantwoordt aan de informatieveiligheidsvoorwaarden en in overeenstemming is met de geldende regelgeving. HOOFDSTUK VI. - Inwerkingtreding

Art. 7.Dit besluit treedt in werking op 18 september 2020.

Art. 8.De minister van Sociale Zaken en Volksgezondheid is belast met de uitvoering van dit besluit.

Gegeven te Brussel; 17 september 2020.

FILIP Van Koningswege : De Minister van Sociale Zaken en Volksgezondheid, M. DE BLOCK