EU-kommisjonen la frem et lovforslag om utstedelse, verifikasjon og aksept av korona-sertifikater (ec.europa.eu), også kalt «digitale grønne sertifikater», den 17. mars. Formålet med sertifikatene er å gjøre det lettere å reise på tvers av landegrensene i Europa
Sertifikatene vil ta form av en QR-kode på papir eller i app, og de skal fungere i alle land i EU. Lovforslaget vil trolig bli inntatt i EØS-avtalen dersom det blir vedtatt, og derfor er det også relevant for Norge.
EU legger opp til at sertifikatet skal brukes ved grensepasseringer og at dataene ikke skal lagres når sertifikatet leses av.
EDPB og EDPS har nå gitt en formell uttalelse om lovforslaget som del av lovgivningsprosessen.
Må være nødvendig og forholdsmessig
EDPB og EDPS slår fast at personvern ikke er til hinder for pandemibekjempelse. Det betyr at personvernet ikke skal stå i veien for gode løsninger, men at løsningene må være forholdsmessige, ikke gå lenger enn nødvendig og respektere personvernprinsippene.
Det er viktig å huske på at enkeltpersoners korona-status er sensitivt. Hvis en ung person som ikke er helsepersonell har fått vaksine, kan det også være sensitivt fordi det indikerer at vedkommende tilhører en risikogruppe og dermed har blitt prioritert i vaksinekøen.
Uttalelsen peker på at det mangler en konsekvensanalyse av lovforslaget. Derfor kan det være vanskelig å underbygge hvilken virkning lovforslaget vil ha. Samtidig anerkjenner uttalelsen den ekstraordinære situasjonen vi befinner oss i og at denne situasjonen også medfører en rekke risikoer.
Fare for diskriminering
Uttalelsen understreker at formålet med sertifikatene må være klart angitt i loven. Den peker også på at loven bør inneholde tiltak for å minimere risikoene for enkeltpersoner, herunder risikoen for utilsiktet sekundærbruk.
Enkeltstater kan komme til å ønske å bruke sertifikatene også innad i landet, for eksempel for å lette på enkelte restriksjoner. Bruk av sertifikatene innad i et land kan føre til diskriminering, for eksempel på arbeidsplassen.
Uttalelsen minner om at dersom sertifikatene skal brukes andre steder enn ved grensene, må dette ha et eget behandlingsgrunnlag i nasjonal lovgivning. Man må gjennomføre en konsekvensanalyse, loven må oppstille tilstrekkelige garantier for at enkeltpersoners rettigheter ivaretas, og tiltaket må være egnet, nødvendig og proporsjonalt. Enhver juridisk eller faktisk diskriminering må unngås.
Det kan også oppstå diskriminering dersom et land for eksempel kun anerkjenner vaksinesertifikater og ikke sertifikater for gjennomgått sykdom eller negativ test. EDPB og EDPS mener loven bør pålegge alle land å akseptere alle tre typene sertifikater: hvorvidt man har blitt vaksinert mot korona, hatt korona eller testet negativt for korona.
Kan bli utvidet
Lovforslaget gir EU-kommisjonen flere muligheter til å gjøre endringer underveis. EU-kommisjonen kan endre hvilke personopplysninger som skal inngå i sertifikatet, og den kan erklære at rammeverket også skal gjelde i andre pandemisituasjoner. EDPB og EDPS ber om at disse fullmaktene innskrenkes.
For øvrig sier lovforslaget at EU-kommisjonen skal suspendere rammeverket når pandemien er over. EDPB og EDPS etterspør klarere regler om at tilgang til og bruk av dataene etter pandemien ikke skal være tillatt.
Sikkerhet og ubesvarte spørsmål
Uttalelsen sier at det ikke er klart nok i lovforslaget hvordan informasjonssikkerheten skal ivaretas. Dessuten flagger uttalelsen en rekke andre spørsmål som lovforslaget ikke svarer på:
- Hvilke aktører vil være henholdsvis behandlingsansvarlige og databehandlere?
- Er sertifikatet i tråd med prinsippet om dataminimering?
- Skal sertifikatet opprettes automatisk eller når den enkelte ber om det?
- Vil personopplysninger overføres til land utenfor EØS?
Les mer om EU-kommisjonens lovforslag COVID-19: Digital green certificates | European Commission (ec.europa.eu).