EU-Hof: de verificatie van de geldigheid van een digitaal EU-COVID-certificaat middels een mobiele applicatie valt binnen de werkingssfeer van de AVG
Nieuwsbericht | 12-10-2023
Het gaat om het arrest van het EU-Hof van 5 oktober 2023 in de zaak C-659/22, Ministerstvo zdravotnictví.
Achtergrond
De hoogste bestuursrechter van Tsjechië (hierna: de verwijzende rechter) heeft het EU-Hof een prejudiciële vraag gesteld over de uitleg van het begrip ‘verwerking’ van persoonsgegevens, zoals bedoeld in artikel 4, punt 2, van de Algemene verordening gegevensbescherming (hierna: de AVG). Deze vraag is gerezen in het kader van een procedure tussen RK en het Tsjechische ministerie van Volksgezondheid (hierna: het ministerie).
Het ministerie heeft tijdens de COVID-19-pandemie een noodmaatregel getroffen die voorschreef dat personen die bepaalde plaatsen wilden betreden moesten voldoen aan de voorwaarden voor infectievrijheid. Dit konden zij aantonen met een vaccinatie-, test- of herstelcertificaat (hierna: digitaal EU-COVID-certificaat) dat werd afgegeven krachtens EU-verordening 2021/953. Verder verplichtte de noodmaatregel de exploitanten van gebouwen, dienstverleners en organisatoren van evenementen om middels een mobiele applicatie de echtheid en geldigheid van zo’n certificaat te verifiëren door de QR-code erop te scannen.
Op 20 januari 2022 heeft RK bij de verwijzende rechter een beroep tot nietigverklaring van deze noodmaatregel ingesteld. Hij voerde onder meer aan dat de maatregel in strijd is met de AVG. Het ministerie meent dat de controle van een digitaal EU-COVID-certificaat niet binnen de (materiële) werkingssfeer van de AVG valt. De verwijzende rechter vraagt aan het EU-Hof of de verificatie, zoals voorgeschreven door de noodmaatregel, binnen de werkingssfeer van de AVG valt.
EU-Hof
Het EU-Hof oordeelt allereerst dat de genoemde informatie waartoe de met de controle belaste persoon toegang heeft bij de toetsing van de geldigheid van een digitaal EU-COVID-certificaat, ‘persoonsgegevens’ vormen in de zin van artikel 4, punt 1, van de AVG. Het gaat om informatie zoals basisidentificatiegegevens (voor- en achternaam en geboortedatum), de vaccinatie, het vaccintype, de fabrikant van het vaccin, het aantal doses, de datum van vaccinatie, de datum van het eerste positieve resultaat en de uitgever van het certificaat.
Vervolgens oordeelt het EU-Hof dat de verificatie van de geldigheid van de COVID-19-certificaten, een ‘verwerking’ van persoonsgegevens in de zin van artikel 4, punt 2, van de AVG vormt, De nationale mobiele applicatie scant namelijk de QR-code op het digitale EU-COVID-certificaat om de daarin vervatte persoonsgegevens om te zetten in een vorm die leesbaar is voor de persoon die belast is met de controle van de geldigheid van dat certificaat. Een dergelijke applicatie stelt die persoon dus in staat om na afloop van het scannen persoonsgegevens te raadplegen en ze te gebruiken teneinde te beoordelen of de situatie van de betrokkene in overeenstemming is met de validatieregels (de toepasselijke gezondheidsvereisten).
Gelet op het voorgaande valt de verificatie van de geldigheid van de digitale EU-COVID-certificaten binnen de materiële werkingssfeer van de AVG. Het staat aan de nationale rechter om na te gaan of de verwerking die bij de noodmaatregel is ingevoerd voldoet aan de beginselen inzake verwerking van persoonsgegevens (artikel 5, AVG) en aan één van de voorwaarden inzake rechtmatigheid van die verwerking (artikel 6, AVG)
Meer informatie:
