Eindelijk is het dan zover. Na een paar weken te hebben gerapporteerd over de diverse corona-apps in het buitenland hebben we nu ons eigen gebrekkige appje genaamd ‘CoronaMelder’. De app met toch sterke naam is vanaf afgelopen maandag te downloaden en is inmiddels de magische grens van 100.000 gepasseerd. Dat is toch al snel 0,0057% van de nationale bevolking. Beetje flauw wel, want vooralsnog is de app alleen te downloaden in Drenthe, Overijssel en een deel van Gelderland. Maar toch hebben we reden om te geloven dat de app ook na 1 september niet massaal gedownload zal worden. Want is de CoronaMelder veilig?
In de komende twee weken wordt de app in de bovenstaande drie provincies getest. Dit houdt in dat een GGD-medewerker samen met een besmette persoon, die dus de CoronaMelder gebruikt, waarschuwingen kan versturen naar iedereen die in de buurt is geweest van deze persoon. Wat een technologie! Op het moment dat je als pechvogel zo’n berichtje krijgt dien je jezelf per direct te laten testen bij de GGD. Ook al heb je geen klachten, je krijgt een wattenstaafje in je hersenpan gedrukt. Je moet tenslotte wat overhebben voor volk en vaderland hé. Dit betekent wel een verandering van aanpak want momenteel is het nog niet mogelijk om je te laten testen als je geen klachten ervaart. En zelfs met milde klachten kan je enkel terecht op Schiphol.
Dan nu een stukje technologie. De CoronaMelder is natuurlijk gemaakt met het doel dat smartphones met andere telefoons signalen kunnen uitwisselen. Enige vereiste hiervoor is dat je de CoronaMelder app hebt geïnstalleerd. Zodoende ontstaat er een logboek van smartphones die bij elkaar in de buurt zijn geweest. Maar gebruikers kunnen aan de hand van de uitgewisselde codes niet achterhalen in wiens buurt ze exact zijn geweest. Er zal dus niet in het logboek komen te staan ’telefoon van Anita_loves_horses’. En dan nu, een promofilmpje. Ziet er goed uit toch? En ja, het idee van de app is goed en nobel. Maar er werd voor de ontwikkeling van de CoronaMelder heel veel gesproken over privacy. En destijds is er beloofd dat privacy een absoluut speerpunt zou zijn gedurende de ontwikkeling van deze app. Helaas is dat niet helemaal gelukt.
Zo kwam de AP (Autoriteit Persoonsgegevens) gisteren met een pijnlijk advies. Althans, pijnlijk dan voor het ministerie van Volksgezondheid, Welzijn en Sport (VWS). In het advies van het AP wordt namelijk met nadruk afgeraden om gebruik te gaan maken van CoronaMelder. Ondanks dat het AP wel inziet dat de app is ontwikkelt met privacy als uitgangspunt, is het echter nog niet op het niveau dat het zou moeten zijn. De privacy-pitbull vindt dat er duidelijkere afspraken gemaakt moeten worden met Google en Apple. Dit om enige zekerheid te verwerven dat zij toch niet op de een of andere manier data uit de app verwerken. En laten we eerlijk zijn, beide grootmachten hebben hier in het verleden nogal eens hun vingers aan gebrand. Het Google Apple Exposure Notification framework baart de privacytoezichthouder de grootste zorgen. Dit is de software die de techbedrijven aan hun mobiele besturingssystemen hebben toegevoegd en door CoronaMelder wordt gebruikt. Het framework zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth contactonderzoekapps gebruikmaken. Het is het AP simpelweg niet duidelijk wat de techbedrijven in handen kunnen krijgen via de combinatie van het framework en het besturingssysteem. En omdat het toch om zeer gevoelige data gaat, dient dit eerst goed afgebakend te worden.
Daarnaast wijst het AP er ook op dat het nog volstrekt onduidelijk is wie de achterliggende server zal gaan verzorgen. In eerste instantie zou de Belastingdienst dit voor haar rekening nemen, maar die hebben zich inmiddels teruggetrokken. Waarschijnlijk paste dit alles niet binnen de lijfspreuk “leuker kunnen we het niet maken, wel makkelijker”. Want zoals het er nu uitziet, zal het verdere verloop van de CoronaMelder alles behalve makkelijk zijn. Als derde en tevens laatste punt draagt het AP aan dat er eerst een wet in werking gesteld moet worden. Deze wet zal het tijdelijke gebruik van de app mogelijk moeten maken. Verder dient in deze wet ook uiteengezet te worden dat de burger helemaal zelf mag bepalen of je de app wel of niet wilt gebruiken. In de bijgeleverde brief van minister Hugo de Jonge aan de tweede kamer schrijft de Jonge dat hij dit wel wenselijk acht maar dat hij ook van mening is dat de app kan worden ingezet op basis van expliciete toestemming. Het AP was het hier niet mee eens. Helaas Hugo.
In de wetenschap dat de app per 1 september zal worden uitgerold door het ganse land, is er nog genoeg werk aan de winkel. De verwachting is dat bovenstaande problemen niet binnen nu en twee weken opgelost zullen worden en de app dus gewoon in zijn huidige staat beschikbaar zal worden gesteld aan de burgerij. Maar moet je dat wel doen? Niet iedereen zal op de hoogte zijn van de privacy-gerelateerde problematiek. Mocht het nou, even afkloppen, toch een flinke data-breach ten gevolgen hebben dan sta je als Nederlandse overheid echt enorm voor paal. Ons advies zou dan ook zijn om de uitrol uit te stellen totdat de privacy voor 100% is gewaarborgd. Houd je aan je woord en laat de app pas los op het moment dat privacy écht het uitgangspunt is van CoronaMelder. Tot die tijd is het antwoord op de vraag ‘CoronaMelder veilig?”, een volmondig nee.
Wilt u wel veilig te werk gaan? Neem dan eens contact met ons op en we gaan graag vrijblijvend met u in gesprek.