De Autoriteit Persoonsgegevens kan geen oordeel geven over de zeven corona-apps die dit weekend zijn gepresenteerd aan de overheid. De voorstellen zijn niet goed genoeg uitgewerkt om te kunnen oordelen of de privacy van Nederlanders wordt beschermd.
Dat meldt de Autoriteit Persoonsgegevens (AP) vandaag. "De kaders die de overheid stelt voor de corona-app zijn onduidelijk", schrijft de privacywaakhond.
"Heel Nederland wil graag weer naar buiten, stappen zetten richting de normale situatie", zegt AP-voorzitter Aleid Wolfsen. "We moeten voorkomen dat we nu een oplossing inzetten waarvan onduidelijk is of die wel echt werkt, met het risico dat het vooral andere problemen oplevert."
De AP houdt daarin rekening met verschillende scenario's. Als voorbeeld noemt Wolfsen dat iemand die geen gebruik kan of wil maken van een app, misschien de toegang wordt geweigerd tot werk, school of een supermarkt.
Een app? Waarom?
Het idee is dat je een app op je telefoon installeert. Die registreert de telefoons van de mensen waar je in de buurt bent geweest, bijvoorbeeld op je werk, in de trein, supermarkt of op straat.
Als je dan in de app invult dat je ziek bent, krijgen de mensen bij wie je in de buurt bent geweest een waarschuwing. Zo kunnen ze voorzorgsmaatregelen treffen. Ze kunnen bijvoorbeeld in quarantaine gaan.
Privacy niet in orde
De AP stelt dat door het ontbreken van duidelijke kaders van de overheid de apps niet kunnen worden beoordeeld. "Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid", zo vraagt de waakhond zich af.
"Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk."
Ook de appbouwers konden onvoldoende aantonen dat de privacy van burgers wordt gewaarborgd. Zo leverden sommige bouwers alleen informatie over hoe de app eruitziet voor gebruikers, maar niet over hoe de achterkant van de app werkt.
Nieuwe voorstellen
De AP meldt dat het nieuwe voorstellen voor zo'n app weer gaat beoordelen als 'de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn'.
Eerder sprak ook de Landsadvocaat zich uit de privacy van de corona-apps, die op verzoek van het ministerie van VWS de zeven apps heeft onderzocht op de privacy. Het oordeel was duidelijk: van geen van de apps kon worden vastgesteld dat het momenteel voldoen aan de privacywetgeving.
Datalek Covid19 Alert
Bij de corona-app Covid19 Alert werd gisteren door RTL Nieuws een datalek aangetroffen. In de broncode van app zijn oude bestanden te vinden met daarin bijna 200 volledige namen, e-mailadressen en versleutelde wachtwoorden van gebruikers van een andere app, waar de corona-app aan is gelinkt.
Het lek is gemeld bij de AP en het ministerie.
Wachtwoorden in de broncode
De cybersecurityonderzoekers van adviesorganisatie KPMG ontdekten ook grote problemen in de corona-apps. Zo werden er wachtwoorden aangetroffen in de broncode waarmee toegang kon worden verkregen tot de server met daarop gevoelige informatie over gebruikers.
Ook bevatten de apps verschillende 'ernstige kwetsbaarheden' omdat gebruik wordt gemaakt van verouderde software of slechte programmeercode. Experts prijzen wel de openheid van de 'appathon' en het ministerie van VWS waardoor dit soort fouten aan het licht komen.