Er zijn toch privacyproblemen in de app CoronaMelder. Dat zegt Radically Open Security (ROS) op grond van onderzoek. Wel zou het probleem nog voor de landelijke lancering verholpen zijn.
In de huidige versie van de app kunnen GGD-medewerkers nagaan of een appgebruiker die besmet is de app ook echt gebruikt on contacten te waarschuwen. Dat betekent dat de GGD iemand die dat niet doet kan dwingen om dat alsnog te doen. Dit terwijl gebruik van de app alleen vrijwillig mag zijn.
Privacy- en securitydeskundige Brenno de Winter die al een tijd de techniek achter de app doorlicht, zegt in de Volkskrant dat het euvel voor de daadwerkelijke uitrol van de app verholpen zal zijn. Volgens de Winter was de achterdeur even nodig tijdens de testfase. Het zijn dus geen structurele privacyproblemen.
De publicatie van het rapport van Radically Open Security (ROS) kwam uit nadat het kabinet instemde met de app, terwijl het al daarvoor was afgerond. In het rapport staan behalve de achterdeur met de GGD nog een aantal tekortkomingen. De uitkomst van het rapport was volgens de Winter te laat door technische problemen. De Tweede Kamer was voor de behandeling van de Corona noodwet wel op de hoogte van het feit dat er nog een en ander speelde.
De uitrol van de CoronaMelder zou oorspronkelijk 1 september zijn. Daarvoor draaide een proef in delen van Overijssel, Drenthe en delen van Gelderland. Landelijk gezien heeft inmiddels 1,2 miljoen mensen de app gedownload, maar buiten de testgebieden werkt de app nog niet.
De app kam pas van start als de Corona-spoedwet is goedgekeurd door zowel de Tweede als de Eerste Kamer. Die Tweede heeft de wet al wel goedgekeurd. De Eerste Kamer stemt er deze week over.
Grote aanjager van het besluit voor uitstel van de landelijke invoering was de Autoriteit Persoonsgegevens. Die stelt dat er eerst een wettelijke basis nodig is voordat de app in gebruik mag komen. In die wet moet bijvoorbeeld duidelijk zijn dat de persoonsgegevens die via de app beschikbaar komen alleen gebruikt mogen worden voor eventueel bron- en contactonderzoek.
Verder moet ook duidelijk zijn dat gebruik van de app helemaal vrijwillig is. De Tweede Kamer drong deze zomer aan op de aanvulling in de coronawet. Dit moet zorgen dat bijvoorbeeld restaurants mensen niet mogen weigeren als blijkt dat ze de app niet gebruiken.
Kamerbrief
Coronaminister Hugo de Jonge reageerde na publicatie van het Volkskrantartikel meteen met een Kamerbrief. Volgens de minister zijn de gevonden problemen inmiddels internationaal aangemeld onder het ‘Common Vulnerability Exposure’-programma. Dit betekent dat partijen met Appstores, Apple en Google dis meteen te informeren en tijd te geven om de gevonden problemen op te lossen voordat de app landelijk start.
De minister schrijft dat tijdens de praktijktest GGD-medewerkers konden zien of dat uploaden van de in de besmettelijke periode uitgezonden willekeurige codes ook daadwerkelijk gelukt was. Dat vinkje is waar de bevinding van ROS over gaat.
“Deze functionaliteit was geen gevaar voor de anonimiteit. De GGD-medewerker die je aan de telefoon hebt weet immers al wie je bent, kon niet bij je willekeurige codes zelf en alleen díe medewerker, alleen op dat moment, kon het vinkje zien. Daardoor kon de GGD-medewerker helpen om te bevestigen dat het voor sommige mensen complexe proces was gelukt.”
Tegelijkertijd is gebruik van de app vrijwillig en dus is het volgens de Jonge belangrijk dat mensen ja kunnen zeggen als de GGD vraagt of ze hun willekeurige codes willen uploaden, en het alsnog niet doen zonder dat dat zichtbaar is. “Zo is zeker dat de GGD-medewerker niet onbedoeld enige vorm van drang uitoefent op het alsnog uploaden van de codes. Om deze reden was deze functionaliteit al verwijderd voordat deze week publicaties verschenen over de bevinding.”
Lees ook:
- Morgen geen landelijke invoering CoronaMelder
- De ‘magie’ van onderzoek – Column van Brenno de Winter
