RvV verdeeld over passende geheimhouding bij videoverhoor via MS Teams
De Raad voor Vreemdelingenbetwistingen (RvV) vernietigde op 9 juni 2023 in arrest 290.058 een beslissing van het Commissariaat-generaal voor de vluchtelingen en de staatlozen (CGVS) omdat niet duidelijk is of het gebruik van Microsoft (MS) Teams voor het videoverhoor conform is aan de Algemene Verordening Gegevensbescherming 2016/679 (AVG). Hierdoor is de vertrouwelijkheid zoals voorgeschreven in het koninklijk besluit van 11 juli 2003 niet voldoende gewaarborgd. In een later arrest 291.490 van 4 juli 2023 oordeelt de RvV dat de aanvullende maatregelen bij het videoverhoor het vertrouwelijk karakter van het persoonlijk onderhoud wel kunnen waarborgen. De rechtspraak lijkt verdeeld.
Informatieverplichting
Artikel 13/1 van het KB van 11 juli 2003 stipuleert dat het gehoor dient plaats te vinden in omstandigheden die een “passende geheimhouding waarborgen”.
RvV arrest 290.058 van 9 juni 2023verwijst naar het rapport NOYB (report on privacy policies of video conferencing Services) waaruit blijkt dat Teams maar gedeeltelijk voldoet aan de informatieverplichtingen uit artikel 12 en 13 AVG. Het gaat om de verplichting om transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkenen te verstrekken aan de betrokkene wanneer diens persoonsgegevens verzameld worden. Daarnaast kan uit het administratief dossier niet worden opgemaakt of de verzoekster een privacyverklaring ontvangen heeft waarin zij werd ingelicht over de verwerking van haar persoonsgegevens in het kader van het gehoor op afstand.
RvV arrest 291.490 van 4 juli 2023 nuanceert de informatieverplichting. Het komt aan het CGVS als hoofdverwerker – en niet aan Teams zelf als verwerker – toe om aan deze verplichting te voldoen. In tegenstelling tot het arrest 290.058 van juni werd deze keer wel een privacyverklaring afgegeven aan de verzoeker, waarin hij werd geïnformeerd over het verloop van het videogehoor en het gebruikte systeem. Daarmee is deze keer volgens de RvV wel voldaan aan artikel 13 van de AVG.
Aanvullende maatregelen
Microsoft (en dus Teams) maakt gebruik van SCC ’s (Standard contract clauses; modelcontracten van de Europese Commissie) voor de transfer van persoonsgegevens naar de VS. Het Hof van Justitie oordeelde in arrest C‑311/18 (Schrems II) van 16 juli 2020 dat het gebruik van SCC ’s met bedrijven in de Verenigde staten zijn toegelaten op voorwaarde dat de verwerkingsverantwoordelijke (in casu het CGVS) aanvullende maatregelen neemt om de bescherming op het in de wetgeving van de Europese Unie vereiste niveau te brengen.
RvV arrest 290.058 van 9 juni 2023 oordeelde dat ondanks de bijkomende maatregelen, niet zomaar kon worden aangenomen dat deze voldoende zijn. Bovendien kon de RvV geen antwoord formuleren met kennis van zaken, aangezien dit een technische kennis vereist waarover hij niet beschikt. Ook achtte de Raad, los van het bovenstaande, het gebruik van een videoconferentie ‘weinig passend en geschikt’. De verzoekster moest meermaals vragen om de vraag te herhalen en het bleek niet altijd evident om elkaar te begrijpen. Bovendien is de verzoekster al van oudere leeftijd, namelijk in de zestig. De RvV vernietigde de beslissing van het CGVS.
RvV arrest 291.490 van 4 juli 2023 spreekt zich wel uit over de aanvullende maatregelen genomen door het CGVS:
- End-to-end versleuteling (E2EE)
De end-to-end versleuteling zorgt ervoor dat de verzonden gegevens vertrouwelijk blijven. De gegevens zijn namelijk ook onleesbaar voor iedereen die de sleutel niet heeft, met inclusie van Microsoft zelf. Aangezien Microsoft bijgevolg niet over de mogelijkheid beschikt om toegang te krijgen tot de inhoud van de gevoerde gesprekken, kan het deze inhoud evenmin op leesbare wijze doorgeven aan de autoriteiten in de VS.
- Het gebruik van gedepersonaliseerde, anonieme teams accounts
Dit voorkomt dat de metadata kan worden achterhaald, met name de gegevens over het gesprek, zoals bijvoorbeeld het tijdstip en de duur van het gesprek en de locatie van de gebruikers. Op deze manier wordt het onmogelijk gemaakt om te achterhalen wie het gesprek voerde.
- Het gebruik van laptops die begrensd zijn tot enkel het gebruik van de Teams-applicatie in het kader van persoonlijke onderhouden
Deze maatregel zorgt ervoor dat er zich geen andere (meta-) data bevindt op de laptop via de welke de persoon zou geïdentificeerd zou kunnen worden en biedt zodoende bescherming tegen hacking, malware of virussen.
De RvV concludeert dat bovenstaande maatregelen de toegang tot de persoonsgegevens door de Amerikaanse autoriteiten onmogelijk maakt, waardoor het persoonlijk karakter van het persoonlijk onderhoud naar behoren is gewaarborgd.