AP: ‘Privacy corona-apps niet te controleren’

AP: ‘Privacy corona-apps niet te controleren’

Laatst bijgewerkt: 20 april 2020
Leestijd: 4 minuten, 0 seconde

De Autoriteit Persoonsgegevens is niet in staat om te oordelen om de 7 gepresenteerde apps de privacy van Nederlanders voldoende waarborgen. Dat heeft enerzijds te maken met het ministerie van Volksgezondheid, Welzijn en Sport (VWS), die geen duidelijke kaders heeft gesteld. Anderzijds zijn de app-voorstellen niet goed uitgewerkt om te controleren op privacykwesties.

Dat schrijft de AP in haar rapport ‘Onderzoeksrapportage bron- en contactopsporingsapps’.

Kritiek

Na een moeizaam verlopen selectieproces ging afgelopen weekend de appathon van start. Het ministerie van VWS onder leiding van Hugo de Jonge gaf 7 app-ontwikkelaars de gelegenheid om hun idee voor een contact-tracing app te pitchen. Zij kregen feedback van experts op het gebied van epidemiologie, gezondheidszorg, privacy, informatiebeveiliging en ICT, en gewone burgers. Daarmee gingen zij aan de slag en presenteerden zondagochtend de aanpassingen.

De landsadvocaat en KPMG keken tijdens het proces over de schouders van de app-makers mee. Beiden hadden de nodige op- en aanmerkingen over het eindresultaat. De landsadvocaat, een onafhankelijke expert die niet in loondienst is bij de overheid, stelde dat geen enkele app aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) voldoet. Ook was de anonimiteit van de deelnemers niet honderd procent gegarandeerd bij de apps en uitte hij zijn zorgen over ‘niet-risicovolle connecties’ en false positives bij het gebruik van bluetooth. KPMG concludeerde dat geen van de voorgestelde apps de beveiliging op orde heeft en dat de systemen die de app-makers gebruiken volledig af zijn.

Onduidelijke kaders

Naast de landsadvocaat en KPMG was de AP ook actief betrokken bij de app-ontwikkeling. In opdracht van minister De Jonge keek de belangenorganisatie in hoeverre de 7 apps kunnen bijdragen aan bron- en contactopsporing. Daarvoor kreeg ze van elk van de app-ontwikkelaars een voorstel. In de ogen van de AP zijn deze “onvoldoende uitgekristalliseerd”. Ook was een deel van de documenten met informatie waarop de AP zou moeten toetsen niet aanwezig, gefragmenteerd, onvolledig, laat ingediend en in verschillende talen opgesteld. Zodoende kan de AP geen oordeel vellen over de opzet van de corona-apps die het ministerie van VWS heeft geselecteerd.

De privacyorganisatie vindt dat de kaders die minister De Jonge heeft opgesteld niet duidelijk genoeg zijn. Zo is niet duidelijk omschreven wat het doel is van de app en wie verantwoordelijk is voor de verwerking van de gegevens. Ook staat in het programma van eisen nergens of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.

“Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kan de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen.”

Door deze onduidelijke kaders van de overheid zijn app-ontwikkelaars niet in staat om hun plannen naar behoren uit te werken, zowel op technisch als juridisch vlak. De makers leveren hierdoor alleen informatie over hoe de app eruit ziet voor gebruikers. Hoe de app ‘aan de achterkant’ werkt, laten ze buiten beschouwing. Daarmee kunnen ze niet aantonen dat hun applicatie de privacy van burgers waarborgt. Daarnaast onderbouwen de ontwikkelaars van de apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Zonder deze onderbouwing kan de AP niet oordelen of de apps op een privacyvriendelijke manier bijdragen aan bron- en contactopsporing.

Wel of geen app?

Minister De Jonge gebruikt vandaag en morgen om samen met zijn team van experts en adviseurs te overleggen over de apps. Als hij meent dat geen van de apps aan de gestelde voorwaarden en criteria voldoet, gaat het hele plan niet door. Vindt hij dat alles in orde is, dan krijgt de ontwikkelaar met het beste idee de opdracht om deze app te bouwen. Op welke termijn deze dan beschikbaar is voor het publiek, is nu nog niet te zeggen.

Aleid Wolfsen, voorzitter van de AP, zegt niet te weten of er daadwerkelijk een app komt. “Het is nog maar de vraag of die app er wel kan komen. Natuurlijk zal de AP eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.”

Wolfsen zegt te begrijpen dat burgers weer naar een normale situatie willen terugkeren. “Maar we moeten voorkomen dat we nu een oplossing inzetten waarvan onduidelijk is of die wel echt werkt, met het risico dat het vooral andere problemen oplevert. Of dat iemand die geen gebruik kan of wil maken van een app misschien de toegang wordt geweigerd tot werk, school of een supermarkt”, zo waarschuwt hij.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen