Vrouw staart naar smartphonescherm op srtaat

Autoriteit Persoonsgegevens raadt gebruik CoronaMelder af

Laatst bijgewerkt: 18 augustus 2020
Leestijd: 4 minuten, 45 seconden

Twijfel je nog om de app CoronaMelder te installeren op jouw smartphone? Misschien kun je daar beter nog even mee wachten. De Autoriteit Persoonsgegevens adviseert om de corona-app voorlopig nog niet te gebruiken. Op dit moment is de privacy nog onvoldoende gewaarborgd.

Dat schrijft de toezichthouder in haar advies aan het kabinet en de Tweede Kamer. Het advies en het bijbehorende rapport werden maandagavond openbaar gemaakt.

CoronaMelder wordt volop getest

De corona-app van het kabinet houdt de gemoederen al maanden bezig. In die tijd hebben deskundigen met uiteenlopende expertise hun zorgen uitgesproken over onder meer de privacy, beveiliging en effectiviteit van de app. Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport wil echter van geen wijken weten en zet alles op alles om de app te ontwikkelen. Momenteel wordt de applicatie CoronaMelder volop getest in verschillende regio’s in Drenthe en Gelderland.

CoronaMelder is sinds maandag te downloaden in de Google Play Store en App Store. Alleen in de hierboven genoemde testregio’s zijn alle functionaliteiten actief. Volgens de planning kunnen burgers in andere delen van het land de app vanaf 1 september volledig gebruiken. Wie de app nu installeert ontvangt geen bericht als hij of zij in contact is geweest met iemand die besmet is met corona. Bluetoothsleutels of contactmomenten worden wel al geregistreerd.

Maak afspraken met Apple en Google over privacywaarborgen

Is het verstandig om CoronaMelder nu al te installeren? De Autoriteit Persoonsgegevens (AP) vindt van niet. Volgens de toezichthouder wordt de privacy van burgers op dit moment nog onvoldoende beschermd. In haar advies schrijft de privacywaakhond dat de minister afspraken moet maken met Apple en Google over de software voor de app, het Exposure Notification framework. Het framework is ingebed in het mobiele besturingssysteem van de techbedrijven. Hierdoor bestaat er “onduidelijkheid over onderdelen van het framework waardoor niet met zekerheid vastgesteld kan worden dat Google of Apple geen persoonsgegevens verwerkt”.

Er is geen overeenkomst tussen de verwerkingsverantwoordelijken enerzijds en Apple en Google anderzijds over alle onderdelen van het framework. Zodoende bestaat er dus geen zekerheid over privacywaarborgen. “Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen”, aldus Aleid Wolfsen, bestuursvoorzitter van de AP. Hij adviseert het kabinet om maatregelen te treffen om de verwerking van persoonsgegevens rechtmatig te laten plaatsen en burgers zo te beschermen.

Juridische basis ontbreekt

Wat eveneens ontbreekt is een juridische basis voor de app. In de wet moet onder meer worden opgenomen dat de minister De Jonge de bevoegdheid krijgt om persoonsgegevens te verwerken. En op welke privacywaarborgen burgers kunnen rekenen. “Er moet bijvoorbeeld in staan dat je helemaal zelf mag bepalen of je de app wilt gebruiken”, zo zegt Wolfsen. “Dat betekent ook dat je bijvoorbeeld niet geweigerd mag worden in de horeca als je de app niet op je telefoon hebt staan. En dat je werkgever jou niet mag verplichten de app te gebruiken.”

Een ander aspect dat in de wet thuishoort, is dat alleen de minister en de GGD de app mogen inzetten om het coronavirus te bestrijden. De vrijwilligheid moet eveneens goed verwoord worden: niemand mag je verplichten om de app te installeren, ook de Rijksoverheid niet. De regering werkt momenteel aan een coronanoodwet. De juridische basis ontbreekt op dit moment nog, maar is in de maak. Voor de toezichthouder is dit aanleiding om te adviseren de applicatie nog niet in zetten, ook niet voor testdoeleinden.

Zorg dat alles op orde is aan de ‘achterkant’

Het derde en laatste kritiekpunt van de AP, heeft betrekking op de backend server. Alles wat er aan de ‘achterkant’ gebeurt, moet goed geregeld zijn. Pas als duidelijk is hoe de beveiliging van de servers is geregeld, kan de app worden ingezet. Aanvankelijk zou de Belastingdienst het beheer van de server op zich nemen, maar deze instantie haakte op het laatste moment af. KPN en het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) nemen nu deze verantwoordelijkheid op zich.

Brenno de Winter, verantwoordelijk voor de beveiliging en privacy rondom CoronaMelder, is verbaasd over de laatste opmerking van de toezichthouder. Volgens hem wist de AP al op 6 augustus dat de backend server bij KPN en het CIBG ging staan. “We hebben daar veel contact met hen over gehad. De Kamerbrief van 16 juli is ook naar de AP gestuurd, en daar stond dit ook in, dus ze hadden dat allang kunnen weten. Er was wekelijks contact over, maar vragen over de backend zijn niet gesteld. En nu overvallen ze ons hiermee”, aldus De Winter tegenover BNR Nieuwsradio.

AP staat positief tegenover de ontwikkeling van de app

De AP is geen tegenstander van de corona-app. Dat CoronaMelder is ontworpen volgens de privacy by design standaard, juicht de toezichthouder toe. Zo is dataminimalisatie een belangrijk onderdeel van de app, waarmee de privacyrisico’s voor burgers worden verkleind. “Die [CoronaMelder, red.] is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer”, aldus Wolfsen.

Maar de app staat niet op zichzelf. Hij is op technisch vlak afhankelijk van Apple en Google en ook ontbreekt de juridische basis. Wolfsen: “Daar zitten onze zorgen. Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.”

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen