Een goede app, dat duurt nog wel even

Corona-app De nationale privacywaakhond heeft kritiek op de zeven geselecteerde corona-apps. Er is te veel onduidelijk.

Experts in een overleg tijdens de 'appathon', afgelopen weekend.
Experts in een overleg tijdens de 'appathon', afgelopen weekend. Foto Marco de Swart/ANP

Na de landsadvocaat, KPMG en een reeks deskundigen heeft maandag ook de nationale privacywaakhond zich gevoegd bij de kritiek op het ministerie van Volksgezondheid bij diens zoektocht naar een corona-app. De Autoriteit Persoonsgegevens (AP) was gevraagd te beoordelen of de zeven overgebleven apps voldoen aan de privacyregels.

Het vellen van zo’n oordeel is volgens de AP onmogelijk, omdat het ministerie niet duidelijk heeft gemaakt wat het doel is van de app, wie verantwoordelijk is voor de verwerking van de gegevens en waarom geen minder ingrijpende middelen mogelijk zijn om het coronavirus in te dammen.

Minister Hugo de Jonge (Volksgezondheid, CDA) wil een app voor smartphones laten ontwikkelen die bijhoudt bij wie mensen in de buurt zijn geweest. Wanneer iemand positief test op Covid-19 kunnen personen met wie deze virusdrager in contact is geweest daarover worden geïnformeerd, zodat ze zichzelf laten testen en eventueel in quarantaine kunnen.

Tijdens een ‘appathon’ presenteerden de ontwikkelaars van de zeven overgebleven kandidaat-apps afgelopen weekend hun plannen op het ministerie van Volksgezondheid.

Lees de reportage van de appathon: Negentig seconden om een levensreddende corona-app aan te prijzen

Omdat de kaders van de app nog onduidelijk zijn, ontving de AP naar eigen zeggen onvoldoende uitgewerkte plannen van de aanbieders om een goed oordeel te kunnen vellen over de gevolgen voor de privacy.

De toezichthouder kwam wel tot bevindingen op hoofdlijnen. Daarin staat dat de noodzaak van de apps niet is aangetoond. Dat is een van de eisen die de privacywetgeving stelt. Verder is onduidelijk hoe de uiterst privacygevoelige gegevens die de applicaties verzamelen worden beschermd. Het gaat bijvoorbeeld om locatiedata en medische informatie.

„Het is cruciaal dat dergelijke gegevens niet in verkeerde handen vallen”, zegt een woordvoerder van de AP. „Iedereen wil ondertussen weer naar buiten en een app kan daar wellicht bij helpen, maar we moeten geen tweede China worden. Je wilt niet dat je zorgpremie omhoog gaat als een verzekeraar conclusies trekt uit een datalek van de app.” Mocht het ministerie uiteindelijk een app presenteren die niet aan de privacywetgeving voldoet, dan kan deze door de privacywaakhond worden verboden.

Ook op technologisch vlak moeten de voorstellen worden verbeterd, bleek zondagavond uit een eerste inspectie van de potentiële corona-apps door IT-consultant KPMG. Eén voorwaarde van het ministerie van Volksgezondheid is dataminimalisatie. De corona-app moet alleen gegevens verzamelen die minimaal noodzakelijk zijn voor het functioneren ervan. Dat gebeurde niet altijd, zag KPMG.

Een voorbeeld is het onnodig opslaan en doorgeven van locatiegegevens. Een contact- en traceerapp op basis van bluetooth heeft die gegevens niet per se nodig. Locatiegegevens toch opslaan, zou er toe kunnen leiden dat die later alsnog gebruikt worden voor bijvoorbeeld analyses, zonder dat de gebruiker zich daar bewust van is. Dat is niet goed voor het vertrouwen in de apps, stelt KPMG.

Sommige voorstellen bleken ook te wachten op een verbetering van het bluetooth-protocol die Apple en Google voor halverwege mei hebben aangekondigd, terwijl een voorwaarde van het ministerie was dat de app op 28 april klaar had kunnen zijn.

Tekortkomingen in software

Tekortkomingen in software die met deze snelheid wordt ontwikkeld, zijn te verwachten, zegt John Hermans, partner bij KPMG: „Het is alsof je een restaurant recenseert terwijl de kok nog bezig is met de mis en place.”

Het is terecht dat de app veel aandacht krijgt, zegt hij. „Dat is het beginpunt, maar laten we niet vergeten om naar allerlei andere componenten van dat ecosysteem te kijken. Die app gaat bepaalde data sturen. De communicatie, opslag en beheer van die data moet ook veilig zijn.”

De veiligheidsdiensten waarschuwden het ministerie van Volksgezondheid al voor de snelheid van het proces rond de corona-app, meldden bronnen maandag aan de NOS. Donderdag stuurden de veiligheidsdiensten een brief met aandachtspunten voor de nationale veiligheid, bevestigt een woordvoerder van het ministerie van Binnenlandse Zaken. „Vanzelfsprekend zijn de veiligheidsdiensten ook hierbij de afgelopen week betrokken, en zullen ze ook betrokken blijven worden.”

Het kabinet neemt dinsdag een besluit hoe verder te gaan met de apps die het bronnen- en contactonderzoek van de GGD moeten ondersteunen. Of er een app komt voor 28 april, tot wanneer de lockdownmaatregelen vooralsnog gelden, is nog onduidelijk. Belangrijk is dat de apps zinvol en veilig zijn, benadrukt het ministerie van Volksgezondheid. Minister De Jonge zei eerder „geen concessies” te doen. Woensdag houdt de Tweede Kamer er een hoorzitting over.