De Autoriteit Persoonsgegevens stelt dat de privacy rondom de inmiddels verschenen CoronaMelder-app nog onvoldoende is gewaarborgd. De privacywaakhond geeft adviezen om de zorgen weg te nemen en adviseert het kabinet de app pas in te zetten als die zijn opgevolgd.
Volgens de Autoriteit Persoonsgegevens moet de minister afspraken maken met Google en Apple over de software die zij voor de inzet van de app leveren. Ook vindt de toezichthouder dat er een wet moet komen om de inzet van de app goed te regelen en moet duidelijk worden dat de servers die de app gebruikt ook veilig zijn.
AP-voorzitter Aleid Wolfsen stelt overigens wel dat de ontwikkeling van de app op zichzelf positief is en dat deze 'duidelijk is ontworpen met privacy als uitgangspunt'. Zo zegt hij dat er allerlei technische waarborgen zijn voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.
Wolfsens zorgen beslaan vooral de vaststelling dat de app niet op zichzelf staat en afhankelijk is van servers en vooral een api van Google en Apple. "Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen. Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval", aldus de voorzitter van de Autoriteit Persoonsgegevens.
Ook maakt de toezichthouder zich zorgen over de 'achterkant', de servers, en dan vooral wat erop gebeurt. "Pas vanavond werd duidelijk wie dat zullen beheren. Hoe die partij de beveiliging heeft geregeld weten we nog niet. Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden", aldus Wolfsen.
Maandag is de Nederlandse CoronaMelder-app verschenen in de Apple App Store en Google Play Store. De corona-app werkt landelijk pas vanaf 1 september, maar de app is al voor iedereen te installeren. In Overijssel, Drenthe en een groot deel van Gelderland werkt de app al wel volledig.
De app gebruikt de via bluetooth werkende Exposure Notification-api, die Google en Apple dit voorjaar in Android en iOS hebben verwerkt. Het werkt doordat smartphones sleutels uitwisselen en het signaal bevat ook informatie over met hoeveel vermogen een telefoon het signaal uitzendt. Aan de hand daarvan kan de app nagaan hoe dicht de telefoons bij elkaar waren. Tweakers schreef eerder een achtergrondverhaal over de komst van de app.
Maandag meldde Nu.nl dat het Nederlandse kabinet in september een noodwet voor de corona-app naar de Tweede Kamer stuurt, waarin onder meer zou worden geregeld dat misbruik van de app bestraft kan worden met een boete van 8000 euro of een celstraf van een half jaar. Een voorbeeld daarvan is dat een horecagelegenheid alleen gasten toelaat als ze de app laten zien. Het ministerie wilde nog geen commentaar geven, omdat het voorstel nog niet openbaar is. Het voorstel ligt nu bij de Raad van State voor advies.
Overigens heeft het kabinet eerder al laten weten dat het gebruik van de app altijd vrijwillig moet zijn. Wolfsen benadrukt het belang daarvan en stelt dat dat ook expliciet in de wet zou moeten worden opgenomen.