De privacy voor gebruikers rond de corona-app CoronaMelder is nog onvoldoende. Dat stelt de Autoriteit Persoonsgegevens (AP) in een advies. De AP adviseert het kabinet de app pas in te zetten als een lijst van adviezen is opgevolgd.
Om te beginnen moet de minister afspraken maken met Google en Apple over de software die zij leveren voor inzet van de app. En er moet een wet komen om de inzet van de app goed te regelen. De Autoriteit vindt ook dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn.
De app CoronaMelder wordt vanaf sinds gisteren getest in Drenthe en Twente. Het gaat om de hele provincie Drenthe, Gelderland-Zuid, regio IJsselland, Noord- en Oost-Gelderland en Twente. De app is zowel voor Android als iOS beschikbaar. Mensen in andere regio’s in het land kunnen de app wel downloaden, maar nog niet gebruiken.
Positief
De Autoriteit is wel positief over de ontwikkeling van de app op zichzelf. AP-voorzitter Aleid Wolfsen: “De app is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.”
Maar de app staat niet op zichzelf. De app is afhankelijk van andere technische onderdelen én wetgeving. “Daar zitten onze zorgen. Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.”
Afspraken nodig
De grootste zorg gaat over het zogeheten Google Apple Exposure Notification framework. Dit is de onderliggende software in mobiele besturingssystemen Android en iOS die de Nederlandse corona-app mogelijk maakt. “Het is niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen”, zegt Wolfsen. “Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval.”
Gezien de omvangrijke en veelomvattende impact van een Corona-app, is een wet de meest logische basis. Die wet zou moeten regelen dat de minister van VWS de bevoegdheid krijgt deze gegevens te verwerken én zou ook privacywaarborgen moeten bevatten.
Wolfsen: “Er moet bijvoorbeeld in staan dat je helemaal zelf mag bepalen of je de app wilt gebruiken. Dat betekent ook dat je bijvoorbeeld niet geweigerd mag worden in de horeca als je de app niet op je telefoon hebt staan. En dat je werkgever jou niet mag verplichten de app te gebruiken.”
Achterkant
Het laatste hoofdpunt van het advies van de AP is dat de ‘achterkant’ van de app goed geregeld moet zijn: alles wat er op de servers gebeurt. “Pas maandag werd duidelijk wie dat zullen beheren”, zegt Wolfsen. “Hoe die partij de beveiliging heeft geregeld weten we nog niet. Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden.”
