Autoriteit Persoonsgegevens: privacy Nederlandse corona-app is nog niet op orde

De Autoriteit Persoonsgegevens stelt dat de privacy rondom de inmiddels verschenen CoronaMelder-app nog onvoldoende is gewaarborgd. De privacywaakhond geeft adviezen om de zorgen weg te nemen en adviseert het kabinet de app pas in te zetten als die zijn opgevolgd.

Volgens de Autoriteit Persoonsgegevens moet de minister afspraken maken met Google en Apple over de software die zij voor de inzet van de app leveren. Ook vindt de toezichthouder dat er een wet moet komen om de inzet van de app goed te regelen en moet duidelijk worden dat de servers die de app gebruikt ook veilig zijn.

AP-voorzitter Aleid Wolfsen stelt overigens wel dat de ontwikkeling van de app op zichzelf positief is en dat deze 'duidelijk is ontworpen met privacy als uitgangspunt'. Zo zegt hij dat er allerlei technische waarborgen zijn voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.

Wolfsens zorgen beslaan vooral de vaststelling dat de app niet op zichzelf staat en afhankelijk is van servers en vooral een api van Google en Apple. "Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen. Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval", aldus de voorzitter van de Autoriteit Persoonsgegevens.

Ook maakt de toezichthouder zich zorgen over de 'achterkant', de servers, en dan vooral wat erop gebeurt. "Pas vanavond werd duidelijk wie dat zullen beheren. Hoe die partij de beveiliging heeft geregeld weten we nog niet. Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden", aldus Wolfsen.

Maandag is de Nederlandse CoronaMelder-app verschenen in de Apple App Store en Google Play Store. De corona-app werkt landelijk pas vanaf 1 september, maar de app is al voor iedereen te installeren. In Overijssel, Drenthe en een groot deel van Gelderland werkt de app al wel volledig.

De app gebruikt de via bluetooth werkende Exposure Notification-api, die Google en Apple dit voorjaar in Android en iOS hebben verwerkt. Het werkt doordat smartphones sleutels uitwisselen en het signaal bevat ook informatie over met hoeveel vermogen een telefoon het signaal uitzendt. Aan de hand daarvan kan de app nagaan hoe dicht de telefoons bij elkaar waren. Tweakers schreef eerder een achtergrondverhaal over de komst van de app.

Maandag meldde Nu.nl dat het Nederlandse kabinet in september een noodwet voor de corona-app naar de Tweede Kamer stuurt, waarin onder meer zou worden geregeld dat misbruik van de app bestraft kan worden met een boete van 8000 euro of een celstraf van een half jaar. Een voorbeeld daarvan is dat een horecagelegenheid alleen gasten toelaat als ze de app laten zien. Het ministerie wilde nog geen commentaar geven, omdat het voorstel nog niet openbaar is. Het voorstel ligt nu bij de Raad van State voor advies.

Overigens heeft het kabinet eerder al laten weten dat het gebruik van de app altijd vrijwillig moet zijn. Wolfsen benadrukt het belang daarvan en stelt dat dat ook expliciet in de wet zou moeten worden opgenomen.

IT-banen

Reacties (399)

Ted_W

17 augustus 2020 21:33

Ik weet dat het met elkaar samenhangt, maar ik heb de indruk dat men zich eerder zorgen maakt om Google en Apple en wat zij met die data kunnen eventueel kunnen doen, dan de Corona App zelf. Dit geeft wellicht (onterecht) een negatieve lading aan de sentiment tegenover de App. Ik bedoel als de API volledig binnen de EU was ontwikkeld en alle data ook binnen de EU zou blijven, was dit dan nog steeds een probleem geweest vraag ik me af.

wifikabelhuren @Ted_W • 17 augustus 2020 22:18

Installeer eens een willekeurig spelletje of barcode scanner en je moet daar alles maar accepteren om de app/game te gebruiken.. Een flitsmeister bijvoorbeeld weet ook al heel veel. Dan geven we onze privacy ineens op...

Waarom zou de AP nu zoveel zorgen hebben om de corona app die al zoveel onder de loep is genomen, terwijl heel veel apps die loep niet krijgen maar ontzettend veel info kunnen binnenharken. Want dan speelt privacy niet..

En het gaat hier met die corona melder niet om medische gegevens he, alleen bluetooth id's..

Dus als deze app al niet aan de regels houd.. hoe kan het dan wel dat we massaal allemaal andere apps installeren die nog veel meer data binnenharkt.

sdevos13 @wifikabelhuren • 17 augustus 2020 22:44

Dit is een applicatie die ontwikkeld is in opdracht van het Ministerie van Volksgezondheid, waarbij er een hogere standaard wordt verwacht dan een willekeurig spelletje.

MinVWS erkend hierbij de verantwoordelijkheid, eventuele sociale druk en privacy bezwaren. Juist daarom is het voor iedereen belangrijk een veilige applicatie te ontwikkelen.

Gladiator5 @sdevos13 • 18 augustus 2020 07:10

Dus een externe partij, dat zegt dus nog niet alles

Aangezien het meeste door externe partijen word gemaakt/geschreven

sdevos13 @Gladiator5 • 18 augustus 2020 10:46

Het 'probleem' zit 'm niet zo zeer in de 'externe partij' of het samenwerkingsverband waarin de applicatie is ontwikkeld. Het is een applicatie waarvan het ministerie hoopt dat zoveel mogelijk mensen hem gaan installeren en naar verwachting een cruciaal onderdeel van de coronamaatregelen. Hierdoor is het risico om draagvlak te verliezen door een privacy- of veiligheidslek groot. Dit mag gewoon niet fout gaan.

Quintiemero @wifikabelhuren • 17 augustus 2020 22:36

Omdat dit een grens overschrijd wat betreft privacy waardoor een grotere groep bewustzijn krijgt.

Nu komt het plots op het nieuws dat de app aan privacyvoorwaarden moet voldoen.

Ben het er mee eens is dat het vreemd is dat het zo werk, maar bij andere apps kan men het geen moer schelen. En wellicht blijft het een burgers tegenover overheid dingetje.

[Reactie gewijzigd door Quintiemero op 22 juli 2024 16:56]

Aiii @Quintiemero • 17 augustus 2020 22:42

Nu ja, de overheid kan ook wel wat meer macht uitoefenen over de burger dan Flitsmeister, dus is het wat dat betreft niet zo heel verwonderlijk dat er met verschillende maten gemeten wordt natuurlijk.

OddesE @Aiii • 17 augustus 2020 22:46

Bovendien, welk voordeel haal ik als gebruiker nu uit die app? Andere apps installeer je omdat je het zelf wilt. Deze omdat de overheid zegt dat je het moet doen. Of dringend verzoekt of hoe ze dat ook willen gaan formuleren.

MysticMan

@OddesE • 18 augustus 2020 00:35

Je haalt er het voordeel uit dat als je langere tijd (>15 min) dicht bij iemand in de buurt bent geweest (bijvoorbeeld naast je in de trein) die later positief getest wordt op corona, je dit zo snel te weten komt wat bij een contactonderzoek niet altijd zou lukken. Daarom voorkom je mogelijk dan ook dat jij het virus weer doorgeeft aan je naasten, wat zeker als het een kwetsbare doelgroep is toch een groot voordeel is.
Positief vind ik trouwens dat in de app staat dat als je de waarschuwing krijgt je je meteen kan laten testen, ook al heb je nog geen symptomen. Dat betekent dus dat je maar zo'n max 48 uur in zelf-quarantaine hoeft te gaan in plaats van 2 weken.

HuisRocker @MysticMan • 18 augustus 2020 12:19

... als je de waarschuwing krijgt je je meteen kan laten testen, ook al heb je nog geen symptomen. Dat betekent dus dat je maar zo'n max 48 uur in zelf-quarantaine hoeft te gaan in plaats van 2 weken.

Graag bewijs voor deze stelling!
Het GGD beleid is volstrekt duidelijk: Alleen een PCR test doen bij personen met (aan het virus gerelateerde) symptomen.
Ik heb nog nergens vernomen dat dit met de komst van 'de app' gaat veranderen...

MysticMan

@HuisRocker • 18 augustus 2020 12:42

Dat staat in de app dus ik neem aan dat dit het beleid wordt. Er staat dat ook als je niet ziek bent je je kan laten testen als je een notificatie hebt gehad.

ajolla @MysticMan • 18 augustus 2020 06:33

Ik heb er totaal geen probleem mee de kleine kans te lopen naast een niet-symptomatische persoon te zitten als ik ervan op aan kan dat ik, mocht ik symptomatisch zijn, het wijd en zijd bekende medicijn tegen covid kan krijgen.

Bovendien heeft de Technical Lead van de WHO, Dr Maria van Kerkhove tijdens een interview duidelijk laten weten dat a-symptomatische besmette personen uiterst zelden het virus overdragen.

wifikabelhuren @ajolla • 18 augustus 2020 09:58

Als iedereen zo zou denken dan was er dus geen probleem.. hadden we geen volle ic's

Mr.Armageddon @wifikabelhuren • 18 augustus 2020 11:49

Die hebben we nu gelukkig ook niet. Er liggen 36 mensen met het Wuhanvirus op de intensive care.

OddesE @Mr.Armageddon • 18 augustus 2020 21:53

Inmiddels weer 42 blijkbaar, maar je hebt gelijk. 42 mensen in heel NL != overvolle ICs.

IJzerlijm @ajolla • 18 augustus 2020 07:56

Wat van Kerkhove zei is dat uiterst zelden bewezen kan worden dat er een asymptoom iemand de ziekte heeft overgedragen. Dat is heel iets anders, voor het overgrote deel weten we het simpelweg niet.

https://www.statnews.com/...ptomatic-spread-covid-19/

En deze app kan helpen die informatie te verkrijgen.

[Reactie gewijzigd door IJzerlijm op 22 juli 2024 16:56]

mr_evil08 @Quintiemero • 17 augustus 2020 22:42

Nee mensen zien er zelf weinig voordeel in deze app en gaan daarom maar oordelen en op allerlei manieren afkraken zoals op privacy gooien, als het een spelletje of handige app was wordt zomaar op Oke geklikt zonder na te denken over privacy.

[Reactie gewijzigd door mr_evil08 op 22 juli 2024 16:56]

r2504 @mr_evil08 • 18 augustus 2020 12:29

De overheid moet deze app gewoon promoten als Game waarbij je zoveel mogelijk Covid-19 hits moet verzamelen... dan gaat iedereen hem meteen installeren en al z'n privacy opgeven zonder morren.

Rare wereld

Polderviking

@wifikabelhuren • 18 augustus 2020 17:10

Installeer eens een willekeurig spelletje of barcode scanner en je moet daar alles maar accepteren om de app/game te gebruiken.. Een flitsmeister bijvoorbeeld weet ook al heel veel. Dan geven we onze privacy ineens op...

Ik weet het niet hoor maar ik ben zeker wel heel erg scherp op app toegangen. Dat anderen daar laks in zijn vind ik niet zo relevant ten aanzien van een app waarvan je toch wel graag hebt dat veel mensen hem installeren. Dan moet je juist ook kijken naar de kritische burger en hoe dat afgedicht is.

Ik heb bijvoorbeeld Facebook Messenger niet geinstalleerd staan om dat die (tot een jaar geleden iig) rechten wil om met je telefoon naar de maan en weer terug te vliegen. Vind ik onzin voor wat kansloos gebrabbel vier keer per jaar. De normale facebook app start ook gewoon op met nul toegangen.
Als ik een app draai, en die kan niet aannemelijk maken dat x-toegang nodig is, gaatie die niet krijgen. En alstie dan niet werkt ga ik hem niet installeren/gebruiken/verwijderen.
Een app die mij alleen verteld waar ik naartoe moet hoeft geen toegang tot mijn opslag. Een app die muziek afspeelt hoeft uberhaupt nergens bij te kunnen.

Als ik een of ander obscuur ding installeer die overal van voor naar achter toegang tot hebben dan gaan bij mij de nekharen wel overeind staan.

[Reactie gewijzigd door Polderviking op 22 juli 2024 16:56]

wifikabelhuren @Polderviking • 19 augustus 2020 09:40

Precies zo hoort het ook... maar durf te wedden dat 99% wel gewoon alles klakkeloos accepteert...
Maar die mensen schreeuwen wel het hardst over hun privacy met de corona melder app..

delphium

@Ted_W • 18 augustus 2020 07:59

Het grappige is dat "de data" die de app genereert volledig anoniem is. Het eventuele knelpunt zit 'm dus bij Google en Apple die die anonieme data, toch weer kunnen koppelen aan alle data die ze al van je hebben.

De vraag is dan, wat schieten Google en Apple daarmee op? Ze kunnen dan zien bij wie je in de buurt bent geweest, maar dat kunnen ze nu ook al en veel nauwkeuriger (GPS). Ook kunnen ze zien wie besmet is (geweest) met covid19. Maar zelfs dat kunnen ze al halen uit je GPS-data en zoekopdrachten (twee weken thuis, boodschappenbezorgservice, dokter gebeld). Als ze dat zouden willen.

Daarnaast hebben Google en Apple plechtig beloofd, niets met die appdata te doen. Die belofte breken zou gigantische reputatieschade opleveren. Zouden ze dat risico willen nemen voor een beetje data waar ze feitelijk niets aan hebben?

Dus inderdaad weer een negatieve boost voor de app en dus weer minder dekkingsgraad. Heel erg jammer.

PomPomPom @delphium • 18 augustus 2020 10:44

Je doet wel aannames. De bluetooth data is nauwkeuriger als het gaat om wie langere tijd samen doorbracht. Tenminste vergeleken met mijn gps in ieder geval, die soms precies is en er soms zo 25 of 50m naast zit.

En of ze nu of in de toekomst jouw medische data kunnen mis/gebruiken voor eigen gewin weet je niet. Ze hebben veel slimme mensen in dienst die niets anders doen dan naar mogelijkheden zoeken om geld uit onze data te persen.

En wat betreft reputatieschade, alsof Facebook verlies heeft geleden door het Cambridge Analytica schandaal.

delphium

@PomPomPom • 18 augustus 2020 11:43

Ik denk dat dat per telefoon verschilt, maar zelfs mijn oude galaxy S7 zat er nooit meer dan een metertje of vijf naast qua GPS. Bluetooth voorziet op geen enkele manier in locatiedata. Dus het gaat hier nog steeds om het combineren van data, die Google en Apple al lang van je hebben en niet om data die met het installeren van de app wordt gegenereerd.

Die "medische data" waar jij over spreekt, is in het geval van deze corona-app, hooguit of je wel of niet covid19 hebt gehad. Wat ik al zei, dat kunnen ze ook achterhalen zonder de data van die app.

Met dat laatste heb je een punt. Al denk ik nog steeds dat zowel Apple als Google er geen baat bij heeft hierover te liegen.

kolonel klapzak @delphium • 18 augustus 2020 14:50

Ik denk dat Google en Apple zich niet druk maken om reputatieschade als straks blijkt dat ze geknoeid hebben. Wat gaan hun klanten doen dan? Direct massaal hun dure telefoon weggooien en een Huawei aanschaffen? Lijkt me stug. Ze zullen een poosje mopperen, maar over 1-2 jaar zal hun volgende toestel gewoon weer een Android of Iphone zijn.

gtissink @delphium • 18 augustus 2020 16:17

Misschien mis ik iets maar GPS wordt toch niet gebruikt?
https://www.icreatemagazi.../corona-app-apple-google/

Specifieke locatiegegevens (zoals met GPS of wifi) worden niet gebruikt;

Ciderspace @delphium • 18 augustus 2020 17:14

Weet iemand waarom Google eist dat je je GPS ook inschakelt om van de gebruikte bluetooth versie gebruik te maken? https://www.nu.nl/tech/60...ocatiegegevens-nodig.html
Het schijnt bij oudere BT versies (classic en smart) niet nodig te zijn(?).
Ik heb hetzelfde aan de hand met een BT CO2 meter, die vergt ook dat ik mijn gps aanzet. De developer verschuilt zich achter de Android/Google richtlijnen.
Hoewel ik in mijn google account gps history heb uit staan heb ik bij Google geen lekker gevoel!?
Enfin ik hoor graag.

PS: zou dit iets zijn waar het onderzoek van de Autoriteit Persoonsgegevens zich op zou moeten richten?

thof

@Ciderspace • 19 augustus 2020 10:05

Ik denk dat het niet specifiek GPS is wat je inschakeld, maar dat je locatiegegevens inschakeld. Locatiegegvens heb je in verschillende gradaties, op basis van WiFi netwerk, op basis van Bluetooth en op basis van GPS. Volgens mij vallen ze allemaal onder hetzelfde vinkje: locatiegegevens.

In onderstaande how-to is uitgelegd welke opties er zijn:
https://www.androidauthor...-data-android-app-625012/
Je hebt de optie om globale locatie en nauwkeurige locatie op te vragen, bij een van de 3 providers (gps, netwerk, passief meeliften op locatie data van andere apps).

[Reactie gewijzigd door thof op 22 juli 2024 16:56]

jpsch @Ted_W • 17 augustus 2020 21:52

Geeft toch gewoon aan dat het niet echt anoniem is? Voeg wat data toe als locatie e.d. uit b.v. reclameborden en het is toch te herleiden tot een persoon. Een Europese partij die data toevoegt, heeft theoretisch dezelfde mogelijkheid.

The Zep Man

Privacy

@jpsch • 17 augustus 2020 22:17

Daarom klopt de term anoniem niet als het om een pseudoniem gaat.

Anoniem: identiteit is niet te herleiden (bijvoorbeeld door gegevensagregatie).

Pseudoniem: identiteit is te herleiden door meerdere databronnen te combineren.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:56]

cmegens @The Zep Man • 17 augustus 2020 22:39

Het probleem is gewoon dat echt anoniem bijna nooit te waarborgen is tegenwoordig. Er zijn bijna altijd mogelijkheden om data te combineren, dus van echte anonimiteit kun je eigenlijk niet meer spreken, maar zeker niet meer garanderen.

The Zep Man

Privacy

@cmegens • 18 augustus 2020 06:12

Het probleem is gewoon dat echt anoniem bijna nooit te waarborgen is tegenwoordig.

Onwaar. Via voldoende aggregatie gaat dat prima.

"In provincie X wonen N mensen." is anoniem.

Er zijn bijna altijd mogelijkheden om data te combineren, dus van echte anonimiteit kun je eigenlijk niet meer spreken, maar zeker niet meer garanderen.

Dus het wordt tijd om te spreken over pseudoniem in gevallen waar data een individu betreft.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:56]

airell @The Zep Man • 18 augustus 2020 11:18

Wat als 'de moeite' die genomen wordt om een pseudoniem te herleiden tot een (persoonlijke/privé) identiteit voor financiële doeleinden strafbaar wordt? Ik zet deze pseudoniem niet voor niets in!

Mangu429 @jpsch • 17 augustus 2020 22:43

Geeft toch gewoon aan dat het niet echt anoniem is? Voeg wat data toe als locatie e.d. uit b.v. reclameborden en het is toch te herleiden tot een persoon.

De telefoon waar de app op draait leidt al tot de persoon. Geen reclamebord voor nodig.
Google en Apple weten alles al. En nu ook of je besmet bent of in de buurt van besmette mensen was.

jpsch @Mangu429 • 17 augustus 2020 23:39

Google en Apple zijn zover ik weet geen Europese bedrijven. Vraag was of Europese bedrijven beter waren.

lucatoni @jpsch • 17 augustus 2020 23:07

Laten we heel eerlijk zijn, wat is er dan nog anoniem? Anonieme ov kaart? Koppel de acties aan camera beelden en je hebt een persoon.

Anonieme aankoop? Vast wel ergens een tracker op de website die jou aankoop registreert.

Kevinp @Ted_W • 17 augustus 2020 21:43

Misschien heb je daar een punt. Dat terwijl beide deze gegevens al in grote getalen hebben.

MacD @Ted_W • 21 augustus 2020 23:27

Nee ... de Corona-App NL is door Nederlandse Dev's ontwikkeld (gebruik makend van het eindelijk door Apple en Google vrijgegeven framework).

Data blijft zelfs op de telefoon en gaat niet eens verder dan NL (en straks de EU als verscheidene apps worden gelinkt ... ikzelf vindt het een slechte manier om daadwerkelijk goede tracing uit te voeren maar dat is het probleem met data op de device te doen en niet centraaal te kunnen analyseren mbv big-data algoritmes).

Je kan zelfs het checken omdat de source op gothuib staat.

Anoniem: 392841 17 augustus 2020 21:40

Zoals anderen al opmerken... Dit advies is al bijna 2 weken oud. Alleen het is dus (alweer) compleet genegeerd door het kabinet.

Erg kwalijk dat men blijkbaar de AP (maar ook andere autoriteiten en adviesorganen) compleet niet serieus neemt als de mening niet strookt met wat het kabinet wil.

mdavids @Anoniem: 392841 • 17 augustus 2020 22:36

Dit advies is al bijna 2 weken oud. Alleen het is dus (alweer) compleet genegeerd door het kabinet.

Dat is niet waar. De minister heeft de landsadvocaat om een reactie op het AP-rapport gevraagd en die heeft behoorlijk wat (terechte) kritiek op het rapport van de AP:

https://www.rijksoverheid...toriteit-persoonsgegevens

tech-no-logical @mdavids • 17 augustus 2020 23:01

uit de reactie van de landsadvocaat :

De juistheid van de technische conclusies of aanbevelingen van de AP valt uitdrukkelijk buiten de reikwijdte van deze beoordeling.

wat mij betreft juist één van de belangrijkste punten van de AP.

mdavids @tech-no-logical • 17 augustus 2020 23:04

wat mij betreft juist één van de belangrijkste punten van de AP.

Ik zie er meerdere die me aanspreken, maar deze zit zeker in de top 3:

"De AP heeft in haar advies betrekkelijk weinig aandacht voor de buitengewone
omstandigheden die aanleiding vormen voor de ontwikkeling en de inzet van de app."

(in 2.19)

klakkie.57th @mdavids • 18 augustus 2020 03:18

"De AP heeft in haar advies betrekkelijk weinig aandacht voor de buitengewone
omstandigheden die aanleiding vormen voor de ontwikkeling en de inzet van de app."

^^ dit is een dooddoener en is van dezelfde orde als terrorisme en kindermisbruik

mdavids @klakkie.57th • 18 augustus 2020 09:33

"De AP heeft in haar advies betrekkelijk weinig aandacht voor de buitengewone
omstandigheden die aanleiding vormen voor de ontwikkeling en de inzet van de app."

^^ dit is een dooddoener

Niet als je het afzet tegen de feiten; de app zit gewoon heel goed in elkaar. Het is dan ook onzin om te beweren dat de privacy van (nota bene vrijwillige) gebruikers in het onmiddellijke geding is. De AP identificeert enkele restpunten, prima. Maar die hoeven een uitrol op dit moment niet in de weg te staan. Het is een belangenafweging (zoals zo vaak), die wat mij betreft uitvalt in het voordeel van de app. Als ze broddelwerk zouden hebben geleverd was het heel anders geweest, maar dat is dus niet zo. Er zijn alleen wat (mogelijke) restpunten (al zou je daar zelfs nog over kunnen twisten).

phex @mdavids • 18 augustus 2020 10:00

De app is niks anders dan een wrapper om de api van Google en Apple. Die partijen zouden we eerst moeten beoordelen voordat we een conclusie kunnen trekken over hoe goed deze app in elkaar zit.

mdavids @phex • 18 augustus 2020 10:07

De app is niks anders dan een wrapper om de api van Google en Apple.

Niet helemaal waar; de app/server sturen bijvoorbeeld decoy requests. Dat zijn 'nep-verzoeken', om meekijkers zand in de ogen te strooien.

guillaume @mdavids • 18 augustus 2020 11:19

Wat behelzen die decoy requests dan precies? De relatieve afstandsbepaling wordt geheel gedaan door de API (die in een closed-source monsterpakket van Google zit) en de unique identifier van de telefoon is bekend bij Google. Wat kan een decoy request daar tegenin brengen?

mdavids @guillaume • 18 augustus 2020 12:00

Wat behelzen die decoy requests dan precies?

Als een gebruiker besmet is en de app toestemming geeft om de verzamelde contactmomenten te uploaden naar de centrale server, dan kan iemand die meekijkt op dat moment zien dat deze persoon besmet is en mogelijk zelfs zijn/haar identiteit bepalen (bijvoorbeeld a.h.v. het IP-adres).

Daarom wordt er door de apps ook nep-data naar de centrale server gestuurd, door elke app, zodat een meekijker niet meer goed kan zien of het hier een echte melding betreft, of dat hij te maken heeft met het niet van echt onderscheiden lokaas.

guillaume @mdavids • 18 augustus 2020 19:28

Top, thanks voor de uitleg.

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@mdavids • 18 augustus 2020 00:11

Eigenlijk is het kwalijk te noemen dat de AP zich nu vooraf en zo nadrukkelijk met de app bemoeit. De hoofdlijnen van het advies bestaan uit het vragen van garanties van Google en Apple, terwijl de gevraagde antwoorden al in het developers document staan. Daar staat ook de raad in om een hoeveelheid nep-gegevens door te sturen. De app doet dat ook en daarmee wordt het voor Apple en Google haast onmogelijk om de data juist te kunnen interpreteren. De AP geeft zelf ook aan dat de hele app op maximale privacy is gebouwd. Hoe de melder technisch in elkaar zit is niet de expertise van de AP. De code is open source en er zullen vast wel een aantal mensen zijn die dat geen uitpluizen. Die kunnen eventuele gevolgen bij de AP melden. De AP kan dan eventueel vervolg onderzoek doen.

Ook de tijdelijkheid is geregeld. Google en Apple hebben inmiddels in het Developers document opgenomen dat de api komt te vervallen maximaal twee maanden nadat de WHO heeft verklaard dat de pandemie wereldwijd is bedwongen. Daarmee stopt de app ook met het registeren van contacten.

De AP heeft het recht om gevraagd en ongevraagd advies te geven, maar in dit geval lijkt het er meer op dat ze de Coronamelder wil gebruiken om zichzelf in de kijker te spelen. Laat de mensen van de AP nu gewoon hun normale werk doen. Er is in Nederland nog heel erg veel mis op privacy gebied. De CoronaMelder is op privacy gebied misschien wel één van de beste apps. Natuurlijk kan er onbedoeld een lek inzitten, maar die kans is zelfs kleiner dan gemiddeld.

Vragen op een extra wet is ook totaal overbodig. Het meedragen van een smartphone waarop de CoronaMelder actief is kan nooit verplicht worden. Juist voor het verplichten zou een wet nodig zijn.

vosManz @WillySis • 18 augustus 2020 02:08

Eigenlijk is het kwalijk te noemen dat de AP zich nu vooraf en zo nadrukkelijk met de app bemoeit.

Je weet ook dat minister De Jonge het AP gevraagd heeft om naar de privacy gerelateerde zaken van de app te kijken? Het is juist de taak van de AP om wat je in je bericht aangeeft (en meer) te controleren. Naar mijn mening alleen maar goed dat dit door het AP gegaan wordt. Leuk dat er van alles in het developer document van Google/Apple staat, maar met een app als deze wil je garanties en vastgesteld verantwoordelijken. Een developer document van een derde partij welke dagelijks aangepast kan worden is dat alles behalve, dus dat de AP in garanties vraagt lijkt me logisch en alleen maar goed voor alle gebruikers dan de app.

Eventuele gevolgen achteraf bij de AP melden en dan pas een onderzoek starten lijkt me met een app als deze niet wenselijk (uiteraard wel als er na de start toch nog iets gevonden wordt). Het gaat hier om de privacy van miljoenen Nederlanders, en om een app van de overheid die contact tracering en medische gegevens combineert. Daar mag (/moet naar mijn mening) gerust vooraf heel grondig naar gekeken worden. Dat je deze app een van de beste voor je privacy vindt is mooi, maar ik zie dat graag grondig onderzocht/geverifieerd en met garanties dat dat ook in de toekomst zo blijft. Als de AP daar twijfels over heeft zie ik die graag eerst weggenomen.

Als ik het zo lees is de noodwet ervoor om te zorgen dat er ook gehandhaafd kan worden. Dat de app niet wettelijk verplicht is door de overheid wil niet zeggen dat bijv. je werkgever of horecagelegenheden kunnen 'verplichten' de app te installeren. Deze wet zorgt ervoor dat daar adequaat tegen opgetreden kan worden.

Dat er in Nederland nog heel wat te verbeteren is op het gebied van privacy ben ik helemaal met je eens. Maar dat moet ook gebeuren, niet in plaats van dit gebeuren.

guillaume @WillySis • 18 augustus 2020 01:15

Heb jij misschien wél ergens informatie gevonden over hoe Google de calibratie van de afstandsbepaling per apparaattype "optimaliseert", zoals ze hadden aangekondigd?

Met zoveel verschillende devices met verschillende behuizingen zou men de daarbij behorende meetfouten gaan aanpakken.

Mijn zorg is de manier waarop dit bewerkstelligd wordt: gaat men daarvoor alsnog locatiegegevens koppelen? Bundelt men Bluetoothgegevens van andere apparaten in de buurt om dit voor elkaar te krijgen? Geen van deze opties lijkt mij ook maar in de verste verte privacybewust, ook al lijkt het me wel noodzakelijk voor ook maar enigszins betrouwbare metingen.

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@guillaume • 18 augustus 2020 10:53

@b12e @HuisRocker
Ik heb met een aantal developers een test gedaan met de api, die toen nog niet eens helemaal af was. Wel zat er toen nog bij Google een functie in om de onderlinge afstand op te vragen. Apple heeft die functie niet gehad.

De calibratie gebeurt op twee manieren. De telefoons schatten elk de afstand tot de andere telefoon en wisselen dat uit. Na verloop van tijd weet de telefoon wel hoe de de onder/over schatting van de meting is. Dit wordt als een "sterkte" parameter meegestuurd.
Er zat ook nog een calibratie op basis van aanwezige wifi signalen in de api. Afhankelijk van het aantal aanwezige wifi signalen kan de positie tot op 10 cm nauwkeurig worden bepaald Als de andere telefoon dat ook doet, is de onderlingen afstand gemakkelijk te bepalen.
Binnen een kantoor was de afstand meting op ca 20 cm nauwkeurig, Met tussenmuren werd dat zo'n 30 cm, maar de toestellen gaven wel aan dat het bluetooth signaal niet overeen kwam. In een bosperceel, zonder wifi signalen, was de afwijking ongeveer een halve meter. We hebben dat later nog eens gedaan met vier toestellen (3 android, 1 Apple) die nog niet eerder waren gebruikt. Daar zag je in het begin (met twee toestellen) dat de onderlinge afstand gemakkelijk 2 meter af kon wijken. Met alle toestellen ingeschakeld werd de onderlinge afstand steeds beter ingeschat. Na een tijdje rondlopen konden deze toestellen de onderlinge afstand redelijk inschatten. Met twee toestellen bij elkaar verschilde de geschatte afstand nooit meer dan 70 cm tov het meetlint. Zodra daar een derde toestel bij in de buurt kwam was het verschil nooit meer dan 50 cm.

We bekeken overigens alleen afstanden tussen de 2 en 5 meter. Daarbuiten werden de onderlinge afstanden afstanden alleen nog aangegeven met nearby en faraway.

In een kantoor situatie waren de testresultaten vergelijkbaar. Een muur tussen twee telefoons levert steevast een "faraway" op, tenzij je de telefoons tegen elkaar tegen de muur drukte. Dubbel glas (HR+) gaf zelfs een "faraway" als je de telefoons tegen elkaar drukte. Plexiglas "kuchschermen" worden totaal niet gezien.

Bij de tweede test leek de calibratie adhv wifi signalen verdwenen. We haalden de nauwkeurigheid van de eerste test nergens meer.

De nauwkeurigeid is dus redelijk. In elk geval voldoende voor het doel.
Ik weet dat de CoronaMelder pas een contact opslaat als die meer dan 10 minuten in de buurt is geweest. Welke afstand daarvoor gebruikt wordt weet ik niet, maar dat is dus maximaal een radius van 5 meter. Op grotere onderlinge afstanden werkt de api niet. Als iemand meer dan 10 minuten binnen 5 meter binnen dezelfde ruimte aanwezig is, lijkt me dat al relevant om iemand te waarschuwen.

Iedereen blijft overigens volledig anoniem, totdat hij/zij/het zich zelf bij de GGD meldt. De bron van de besmetting weet niemand, ook Google en Apple niet.

guillaume @WillySis • 18 augustus 2020 11:16

Aha, via WiFi-signalen. Even los van of die calibratie inmiddels al dan niet verdwenen is, afhankelijk van de implementatie kan dit nogal wat implicaties voor de privacy hebben (gehad): ze kunnen de afstandsbepaling van een access point lokaal doen (zie een WifiAnalyzer bijvoorbeeld), of gebruikmaken van hun database van SSID's.

Trek je de conclusie dat de kalibratie a.d.h.v. WiFi-signalen weg is louter uit het feit dat de tweede test onnauwkeuriger was, of zag je dat in de code/API commands of door externe signaalmetingen?

Het lijkt er dus op dat deze manier wel cruciaal is/was bij de kalibratie.

Iedereen blijft overigens volledig anoniem, totdat hij/zij/het zich zelf bij de GGD meldt.

Dat geldt aan de kant van de app absoluut, en wat betreft het versturen van valse data heb ik nog niet bekeken voor wie dat nu werkelijk obfuscating werkt.

Wel vraag ik me serieus af of de huidge (relatieve) locatiegegevens wel echt binnen de API blijven, of dat Google ze - ik vermoed(de) onder het mom van kalibratie - zonder toestemming te vragen (de boete achteraf is tóch wel te overzien) toch even binnentrekt. Ik kan me voorstellen dat een veel nauwkeuriger realtime heatmap van te linken Androidapparaten/-gebruikers te mooi is om te laten schieten.

HuisRocker @WillySis • 18 augustus 2020 11:33

Sinds wanneer heeft 'de app' ineens ook beschikking over toegang tot info over de WiFi signalen, leg eens uit?

Ik ben geen developer maar technicus, en 1 ding is zeker:
Met bluetooth alleen is het technisch onmogelijk om afstand te bepalen.
Er is keer op keer op gewezen dat enkel bluetooth gebruikt zou worden voor 'de app'.

De werkelijke afstand is uiteraard WEL van belang in de werkelijkheid van mensen i.c.m. het virus, alleen past het nu (pratend over 'de app') ineens niet meer in het straatje in tegenstelling tot bij de 1,5 meter regel. Hypocrisie ten top...

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@HuisRocker • 18 augustus 2020 16:07

Dat het technisch mogelijk is om met bluetooth een afstand te bepalen is dus in onze test bewezen. Heel nauwkeurig is het niet. maar er vindt een calibratie plaats waarbij de nauwkeurigheid zeker voldoende wordt. Wanneer er genoeg telefoons in de buurt zijn geweest is de afwijking ruim een halve meter.

In eerste instantie werd er ook gebruik gamaakt van wifi signalen. Daarbij is het mogelijk om adhv de sterkte redelijk nauwkeurig de afstand tot de bron te bepalen. Die afwijking is ongeveer 30 cm. Als er meerdere wifi signalen in de buurt zijn, is het gewoon berekenen waar je bent. Als de tweede telefoon hetzelfde doet en ze communiceren dat met elkaar, dan kan je daarmee ook de onderlinge afstand bepalen. Allemaal geen hogeschool wiskunde. Er is geen contact met de wifi netwerken nodig.
Bij de tweede test leek deze calibratie overigens verdwenen, maar puur op basis van bluetooth is een afstandmeting bijna altijd binnen 70 cm nauwkeurig.
Waar niemand aan lijkt te denken is dat de telefoons niet alleen zelfstandig de afstand meten, maar dat ook met elkaar communiceren. het gemiddelde is al een stuk nauwkeuriger. Een telefoon die altijd een overschatting van de afstand maakt zal de schatting langzaam naar beneden bijstellen en de telefoon die de afstand onderschat zal de afstand langzaam verhogen. Twee telefoons hebben 10 minuten de tijd om met elkaar te communiceren. Als er in dit tijd ook nog een telefoon langsloopt wordt het zelfs nog gemakkelijker.

Afstand doet er toe, maar of je nu 1 of drie meter uit elkaar staat maakt na 10 minuten niet uit. In de praktijk is dat bijvoorbeeld iemand aan het tafeltje naast of achter je in een restaurant. Wordt de afstand groter, dan wordt de besmettingskans inderdaad snel kleiner.

Bedenk dat het een hulpmiddel is wat waarschuwingen geeft. De ontwikkelaars zullen echt een afweging hebben gemaakt omtrent afstand en tijd om niet al te veel valse waarschuwingen te geven. Aan de andere kant wil men ook niet te vaak geen waarschuwing geven als dat wel nodig is. Het had misschien handig geweest als de gebruikers zelf enige invloed kunnen uitoefenen op de kans om een valse melding te krijgen (liever vals positief of liever vals negatief).

Ciderspace @WillySis • 19 augustus 2020 10:47

Enig idee waarom de GPS ook moet zijn ingeschakeld om bluetooth in de app te kunnen activeren?

PS:
Het liefst zet ik buitenshuis wifi en gps (en BT als er geen aanleiding voor is; ik gebruik af en toe een hartslag meter en een co2 meter) uit. Ik heb in mijn google account (is dit werkelijk zo of een illusie?) het delen en historie bijhouden van mijn locatie uit staan.

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@Ciderspace • 19 augustus 2020 18:58

De GPS moet alleen bij de eerste start aanstaan. Dan kan de api zien dat je in het juiste gebied bent. Buiten Nederland mag de CoronaMelder niet actief gemaakt worden.
De CoronaMelder gebruikt de GPS niet, anders keuren Apple en Google de app zonder pardon af. Dat staat ook gewoon in de voorwaarden van de api. Buitenshuis kan je de GPS, wifi en als je wilt zelfs de mobile data uitzetten. Zolang BT aanstaat werkt het.

Als je wilt weten of Google je nog blijft volgen kan je de optie om elke maand je geschiedenis door te mailen aanzetten. Het delen van de locatiegeschiedenis gaat dan automatisch aan, maar kan je weer uitvinken zonder dat je mail instelling weer wordt aangepast. Je krijgt dan netjes elke maand een mailtje met "geen activiteit geregistreerd". Als je Google Maps of Waze gebruikt wordt je locatie overigens wel gedeeld, maar dat staat ook in de voorwaarden van die apps. Die gegevens vindt je dan terug op je maandelijkse overzicht.

Peekeltje @WillySis • 19 augustus 2020 21:07

Locatie uitzetten bij een werkende app geeft een foutmelding, iig op Android 6.0.1.
Zodra ik gps/locatie uitzet terwijl de app draait krijg ik een melding "Blootstellingsmeldingen inactief. Locatie moet zijn ingeschakeld. Functie is inactief totdat de instelling wordt ingeschakeld."

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@Peekeltje • 20 augustus 2020 09:08

Dan heb jij een serieus punt gevonden.
Ik heb de code van de app doorgespit, maar daar zie ik geen gebruik van de gps in. Dit vraagt wel om enige uitleg van de ontwikkelaars, of Apple/Google.

b12e @guillaume • 18 augustus 2020 01:34

Dat is eigenlijk niet eens zo'n groot belang. Of het nou 4, 5 of 6 meter is, het feit is dat je dicht bij een potentieel positief getest persoon bent geweest. Ik vermoed dat er ook niet constant een afstandsbepaling gebeurt, dus als je op het moment van de bepaling nog op 10 meter bent en daarna nog 5 minuten op 1 meter afstand zit dan kan je de afstand zelfs irrelevant noemen.

Een proximity bij benadering is dan veel interessanter ('ver weg', 'in de buurt' en 'knus bij elkaar') is dan veelzeggender.

Natuurlijk mag elk land zijn eigen bepaling eraan geven, maar op een metertje of twee zal het allicht niet steken.

HuisRocker @b12e • 18 augustus 2020 08:09

Corona en mensen bestaan in de werkelijkheid waar afstand en obstakels er wel degelijk toe doen, sterker nog, zelfs van cruciaal belang zijn! Dat even simpelweg vergeten omdat het je niet goed uitkomt in de argumentatie voor een app is een vorm van veel te vergevorderde 'tech tunnelvisie'.

Bluetooth alleen is simpelweg niet geschikt voor dit doel, het is een onmogelijk slecht compromis geweest dat gemaakt moest worden om überhaupt een app uit te kunnen brengen... Zie hier de ironie.

air2

@HuisRocker • 18 augustus 2020 09:10

Het is een hulpmiddel he, geen heilige graal.

HuisRocker @air2 • 18 augustus 2020 09:33

Het moet zelfs nog maar blijken of het überhaupt een hulpmiddel IS.

WillySis

corona-app
Autoriteit Persoonsgegevens
Privacy

@HuisRocker • 18 augustus 2020 09:39

De werkelijke afstand is niet zo van belang. De app gaat ervan gegistreerd je pas als je meer dan 10 minuten bij elkaar in de buurt bent. Als je 10 minuten op 3 meter afstand in een ruimte met een niet optimale ventilatie zit, is er ook een gevaar dat je besmet wordt.

Bij Apple en Google kennen ze de (on)mogelijkheden van bluetooth heel goed en daar wordt ook rekening mee gehouden. Zie mijn post hierboven.

HuisRocker @WillySis • 18 augustus 2020 12:31

Bij "je post hierboven" vraag ik ook om uitleg:
Zolang alleen bluetooth gebruikt kan worden is afstand bepalen niet mogelijk (en ja, dat is overduidelijk wel belangrijk), en jij hebt het over een combinatie met WiFi...

tech-no-logical @mdavids • 17 augustus 2020 23:55

wat mij betreft is dat ook geen punt dat voor de beoordeling van de AP relevant is. het 'belang' van een app staat compleet los van wat zij ervan vinden.

daarnaast zijn er prima oplossingen denkbaar die aan alle privacy-voorwaarden voldoen, maar door het gebruik van APIs van google/apple geef je de controle daarover uit handen. zij kennen mijn telefoon, zij kennen mij profiel, en ik ben allang niet meer naief genoeg om te geloven dat zij de data niet aan elkaar kunnen knopen. moet ik dan geloven dat 'afspraken' daarover waterdicht zijn ?

mdavids @tech-no-logical • 18 augustus 2020 10:04

daarnaast zijn er prima oplossingen denkbaar die aan alle privacy-voorwaarden voldoen, maar door het gebruik van APIs van google/apple geef je de controle daarover uit handen.

Ironisch genoeg zit er ook een mogelijk positieve keerzijde aan dat 'uit handen geven'; Google en Apple hebben al aangegeven dat ze toegang tot de Exposure Notification API weer stop zullen zetten, zodra de pandemie voorbij is (dat kan ook lokaal). Dus zelfs als er een overheid is met snode bedoelingen, dan zou die op dat moment het nakijken hebben, juist omdat ze met de API van een andere partij werken, i.p.v. iets wat ze zelf meebrengen in een app.

kodak

Autoriteit Persoonsgegevens
Privacy

@tech-no-logical • 17 augustus 2020 23:34

De AVG stelt dat organisaties passende technische en organisatorische maatregelen moeten nemen. De verdediging laat vervolgens het technische geheel buiten beschouwing?

mdavids @kodak • 18 augustus 2020 00:06

De AVG stelt dat organisaties passende technische en organisatorische maatregelen moeten nemen. De verdediging laat vervolgens het technische geheel buiten beschouwing?

De pseudonimisering is zo'n technische maatregel en daar is evident sprake van. Daarom staat er terecht in de privacy statement van de app: "Vanwege de onmogelijkheid om de gebruiker te identificeren aan de hand van de codes is er, na het uploaden van de TEKs naar de centrale server, op grond van artikel 11 lid 2 AVG, geen aanleiding om uitvoering te geven aan de rechten van betrokkene als bedoeld in artikel 15 t/m 20 AVG.":

Bron: https://github.com/minvws..._includes/privacy-text.md

Verder zijn de volledige app en de backend open source. Een notaris heeft verklaard dat deze opensource gebruikt is voor het compileren van de app:

Bron: https://twitter.com/brenno/status/1295113867899670535

kodak

Autoriteit Persoonsgegevens
Privacy

@mdavids • 18 augustus 2020 00:49

Dat de app en backend open source zijn wil niet zeggen dat de api van Google en Apple dus onder controle is. Het geeft hooguit duidelijkheid over de app zelf en wat waarschijnlijk de bedoeling is om met de api te communiceren. Het geeft geen zicht op wat de api in zijn eigen black box doet, wat Google of Apple met de api doen of kunnen doen en ook niet hoe men met die code van de app controle over Google of Apple heeft om gebruikers te identificeren.

Pseudonimiseren heeft niet voor niet zo: het is alleen onder bepaalde omstandigheden anoniem genoeg. Stellen dat het onmogelijk is om een gebruiker te identificeren terwijl het alleen onder specifieke omstandigheden anonimiteit geeft vraagt dus om uitleg of aan die omstandigheden is voldaan. De uitleg die ik terug lees gaat alleen over wat de ontwikkelaar als relevant wil zien: anoniem vanuit het perspectief van de app leverancier, niet anoniem in de praktijk voor iemand anders terwijl de leverancier wel de plicht heeft om dat voldoende te beschermen. De pseudonimisering is al snel waardeloos als iemand het kan combineren met andere gegevens en als gevolg is de bescherming dan onvoldoende. Wie zijn daartoe in staat waar de app ontwikkelaar nauwelijks tot geen invloed op heeft? Bijna iedereen in de buurt van iemand met een app. Om het dan even bij Google en Apple te houden: op het moment dat iemand rechten geeft om bluetooth te gebruiken worden die bedrijven via de rechten van hun OS mogelijkheid om daar gebruik van te kunnen maken. Er staat nergens duidelijke een beperking dat ze dat zelfs niet mogen of niet zullen doen. De beperking ligt juridisch en wettelijk verder vooral bij andere bedrijven, die mogen van Google en Apple niet zo veel en van de wet alleen onder voorwaarden. Hou je nog 10 miljoen pubers en volwassenen over die bijna niets in de weg staat om die pseudonimisering op te heffen. Ik lees niet terug hoe de app ontwikkelaars dat menen in voldoende mate te voorkomen. Dat gaat dan een technisch probleem zijn en laat de verdediging het daar liever niet over willen hebben bij de verdediging. Dat klinkt niet als een aanpak om vooral aandacht voor de wettelijke bescherming van andermans persoonsgegevens te hebben, meer als bescherming van de eigen belangen. Die belangen gaan natuurlijk verder dan alleen beschermen van persoonsgegevens maar dan nog vraag de wet om een goede onderbouwing die met zowel de technische als organisatorische kanten rekening weet te houden, niet alleen met bepaald organisatorische of juridische kanten.

Uiteindelijk denk ik dat het voornamelijk een probleem zal zijn voor de personen die de app gebruiken, op het verkeerde been gezet worden dat het anoniem genoeg is en het in de praktijk straks kan blijken dat het niet anoniem genoeg was. Het als dan klinkt in diverse situaties als iets om liever nog maar niet aan te denken, maar dat is niet waar die wettelijke bescherming voor bestaat. Die vraagt juist om er wel voldoende aan te denken. Dus wat gaat de reactie dan zijn? Ja dan had je de app maar niet moeten installeren? Hoe konden wij nu weten dat het niet anoniem was onder die omstandigheden? We wisten dat het niet anoniem was onder die omstandigheden maar we vonden het wel prima en daarom schreven we dat het onmogelijkheid om de gebruiker te identificeren?

[Reactie gewijzigd door kodak op 22 juli 2024 16:56]

Brousant @kodak • 18 augustus 2020 09:25

"Dat de app en backend open source zijn wil niet zeggen dat de api van Google en Apple dus onder controle is."

Stel dat Google misbruik maakt van deze api door, buiten de app om, identificeerbare gebruikers te koppelen aan nabijheidsgegevens.

Zou Google datzelfde dan niet kunnen doen zonder dat die hele app überhaupt geïnstalleerd is?
En hoe is dat dan een privacybezwaar van de app? Trekt de AP niet bij de verkeerde aan de bel?

Jos_V @Brousant • 18 augustus 2020 13:38

Omdat met de app specifieke medische gegevens worden gedeeld die niet zonder app zouden worden gedeeld. 1 persoon moet nog steeds invullen in de app dat ze corona hebben voordat het hele balletje gaat rollen.

En ja wat jij aanstipt is ook nog steeds een bezwaar, maar de AP trekt wel degelijk aan de juiste bel: de overheid die de app lanceert.

Brousant @Jos_V • 19 augustus 2020 08:55

"Omdat met de app specifieke medische gegevens worden gedeeld die niet zonder app zouden worden gedeeld."

Naar ik heb begrepen wordt de communicatie van de app met de server versleuteld. Het OS zal, als Apple/Google misbruik willen maken van de api, de anonieme codes die via bluetooth worden verzonden wel kunnen koppelen aan de eigenaars van de telefoons, maar krijgt geen informatie over wat die eigenaar in de app invult of krijgt medegedeeld.

kodak

Autoriteit Persoonsgegevens
Privacy

@Brousant • 18 augustus 2020 18:54

De AP trekt bij de juiste partij aan de bel omdat iedere maker van een app de verantwoordelijkheid heeft om te zorgen dat ze voldoende controle over de persoonsgegevens hebben. Het is de app developer die kiest om Google of Apple te gebruiken om gepseudonimiseerde persoonsgegevens te laten verwerken en dus controle moet hebben dat de api niet perongeluk en zeker niet expres iets anders doet dan verwacht.

Brousant @kodak • 19 augustus 2020 08:49

"Het is de app developer die kiest om Google of Apple te gebruiken"

Ik denk dat ze die keuze helemaal niet hebben, want bijna iedereen met een smartphone heeft Android of Apple, en het meten van nabijheid tot andere gebruikers via bluetooth lijkt me iets dat je in een app op die systemen helemaal niet kunt implementeren zonder ondersteuning van het OS (die api dus).

En zoals gezegd, als die api al in de smartphone zit, en Google en/of Apple daar misbruik van willen maken, hebben ze deze app daar dan überhaupt bij nodig?

kodak

Autoriteit Persoonsgegevens
Privacy

@Brousant • 19 augustus 2020 21:27

Het is niet realistisch om te doen alsof een app ontwikkelaar geen keuze heeft om een api te kiezen en implementeren. Daarbij dringen Apple en Google de api ook niet aan de app ontwikkelaar op, ze maken het voor de app ontwikkelaar makkelijker om er voor te kiezen door het in iOS en Android aan te bieden. Er waren daarnaast tal van andere mogelijkheden. Dat die niet bevielen of aan de eisen voldeden is het probleem van de app ontwikkelaar. Het is dus de keuze van de ontwikkelaar om wel of geen gebruik van de api te maken en het is daarmee dus ook de verantwoordelijkheid van de app ontwikkelaar om te zorgen dat de keuze voldoet aan de gestelde wettelijke eisen op zowel technisch als organisatorisch gebied.

Dat Google of Apple ook op een andere manier aan (persoons)gegevens kan komen is niet relevant voor de verantwoordelijkheid van de app ontwikkelaar. Die moet er voor zorgen dat Apple en Google aan de eisen voldoet waar de app ontwikkelaar voor verantwoordelijk is als die bedrijven gebruikt om gegevens van anderen te laten verwerken zodat zijn app werkt.

Ciderspace @kodak • 19 augustus 2020 11:01

misschien off topic

Maar aan de hand van je post is mij de business case voor Google in ieder geval duidelijk. Iedereen maakt zich nu heel erg druk over een anoniem/pseudoniem (gecontaineriseerd) corona app je.

Daarnaast heeft iedereen zijn locatie gegevens straks aan staan waardoor allerlei wifi snuffelaars en Google zelf of derden partijen (cookies; app's die het niet nauw nemen met privacy; adverteerders) alle locatie informatie aan profielen hangen?

s_schimmel @mdavids • 18 augustus 2020 09:26

Wat die notaris heeft verklaard is dat er een build is gemaakt met de open source broncode die ook op Github is te vinden. Daarna verklaart de notaris dat er een app is geupload naar Apple / Google met een versienummer dat overeenkomt met het versienummer dat tijdens het build proces is aangemaakt. De app moet ook de een door het ministerie geauthoriseerd persoon zijn geupload naar Apple / Google.

De controle die mist is of de app die bij Google / Apple staat dezelfde binary is als die uit het build proces is gekomen. Het is dus mogelijk dat die geauthoriseerde persoon een eigen build maakt met hetzelfde versienummer als die door Azure DevOps is gemaakt en die met de hand heeft geupload naar de stores. In dat geval zullen al die "Verificatie Resultaten" uit de notarisverklaring nog steeds op "JA - GOED" blijven staan.

Wat ook niet verklaard wordt is of er tijdens het build proces externe code wordt ingeladen. Er wordt een download gemaakt van de Github repo en de door het build proces gebruikte broncode. Die worden met elkaar vergeleken. Dat zegt niks over de DevOps configuratie waarin het dus prima mogelijk is om broncode uit een andere repository te downloaden, daar de build mee te maken en die build te uploaden naar de stores.

mdavids @s_schimmel • 18 augustus 2020 09:38

De controle die mist is of de app die bij Google / Apple staat dezelfde binary is als die uit het build proces is gekomen.

Wie zo ontzettend achterdochtig is, kan de app inderdaad beter niet installeren (gelukkig kan dat, het is op vrijwillige basis). Sterker nog; die moet zich afvragen of hij überhaupt wel een iPhone of Android toestel wil gebruiken.

Update: overigens lijkt me juist een controle hierop enorm makkelijk te doen. Een checksum is zo gemaakt.

[Reactie gewijzigd door mdavids op 22 juli 2024 16:56]

army @tech-no-logical • 18 augustus 2020 02:14

Het probleem is dat AP een controlerend orgaan is voor de Algemene Verordening Gegevensbescherming en in deze context kan er om advies worden gevraagd, maar dit advies in niet bindend. Er kan tevens ook om handhaving worden gevraagd op basis van klachten. Het was ook een grove fout om dit als de privacywet te bestempelen want dat is het niet. De verordening is voor elke entiteit die gegevens betreffende natuurlijke personen verzamelt, verwerkt en opslaat. In principe gewoon een verplichting om te beschrijven welke data je opslaat, waarom en hoe lang, maar ook wie er bij mag en waarom. Iets wat in NL al door de jaren heen op verschillende wetten en besluiten was vastgelegd, maar met een uitzondering. De AVG geldt ook met terugwerkende kracht deze waardoor al het voorgaande niet meer geldig was.

En in de context van deze app is artikel 4 zeer zeker van toepassing, want het doel gaat hier duidelijk boven de persoonlijke levenssfeer en ook is de app niet verplicht. Daarbij doet AP foutieve aannames, want de notificatie server is wel geschreven door Google, maar wordt door het land zelf gehost. Google en Apple hebben hier dus geen invloed op.

Een belangrijker punt is dat AP spreekt over persoonlijke gezondheidsgegevens, maar een random string is dat niet en is dus te bestempelen als anoniem, want het is niet te herleiden naar een persoon. Daarbij voegt AP ook aan dat mensen het recht moeten hebben om hun persoonsgegevens te laten verwijderen en stel dat het zo is. AP stelt dat data met een maand moet worden verwijderd en aangezien de data al met 14 dagen wordt weggehaald is dit geen probleem.

Een betere segregatie van rollen kan je bijna niet krijgen. Google/Apple doen lokaal de detectie van andere devices, een overheidsorgaan host de notificaties dienst, de GGD geeft de autorisatie code en de gebruiker kan zichzelf aanmelden voor een infectie notificatie, en tevens doet de gebruiker ook zelf de controle of hij in contact is geweest.

Zoals gebruikelijk begrijp AP niet dat ze advies mag worden gevraagd om de verordening te interpreteren, maar mee dan een oplosrichting aanwijzen mogen ze niet. Het moment dat AP een bedrijf de techniek gaat voorschrijven is het over voor ze. De echte functie is om bij een klacht een assessment te doen en daarna conclusies eraan te verbinding. Helaas voor AP geeft de rechterlijke mag vaak genoeg aan dat AP zijn werk niet naar behoren doet.

Dat laatste is zeer zorgwekkend. Ook omdat gebleken is dat AP veel van de beoordelingen van klachten doorsturen naar multinational om als hun eigen beoordeling te laten doen. PostNL is een bekende die zelf mag beoordelen of ze moeten worden beboet en wat de maatregelen moeten zijn. Dus AP heeft wat dingen uit te leggen, maar dat geldt voor wel meer toezichthouders en agentschappen.

Aan de andere kant zijn mensen een beetje doorgeslagen, want ze delen wel hun hele hebben en houden met alles en iedereen. Zelfs politieke, seksuele en geloofsovertuiging, maar zodra de overheid iets doet om burger te helpen om hun leven weer op te pakken gelooft iedereen ineens dat we terug zijn in de DDR.

MikeyMan @army • 18 augustus 2020 07:49

Hear hear!
Het advies van de AP is in zichzelf al inconsequent. Enerzijds zeggen dat ze blij zijn met de beperkte gegevens die gedeeld worden en de beperkte herleidbaar en anderzijds over hetzelfde klagen.
Medische gegevens? Welke medische gegevens?

Wolfsen trekt wederom een erg grote broek aan. Lijkt soms meer op macht belust dan realistisch.

kodak

Autoriteit Persoonsgegevens
Privacy

@mdavids • 17 augustus 2020 23:28

Waaruit zou dan blijken dat het terechte kritiek is wat ze op de autoriteit persoonsgegevens hebben?

Er lijkt vanuit de verdediging gericht te worden op het in twijfel trekken van conclusies. Die twijfel moet wel voldoende blijken en dat lees ik niet makkelijk terug.

Neem bijvoorbeeld het gedeelte over de mogelijke verwerkingsrol van Google en Apple. Deze bedrijven lijken in de praktijk bijna volledige controle over het bestaan van de door hun zelf ontwikkelde en onder hun leiding beschikbaar gemaakte api te hebben. Dat werpt natuurlijk twijfels op over de mogelijke verwerkingsrol van die bedrijven. Daar gaat de verdediging kennelijk op in door die mogelijke rol te negeren, omdat de verantwoordelijke over de app lijkt te willen dat Google en Apple geen verwerkingsrol hebben. Dat is op papier al twijfelachtig als niet duidelijk is dat dit een afspraak is, laat staan als in de praktijk Google en Apple de bedrijven zijn die de code van hun api kunnen aanpassen en niet duidelijk is of die api in de praktijk werkelijk zo werkt als men zich voorstelt. Je kan als producent van een app wel iets van Google of Apple verwachten of eisen maar dan moet je wel genoeg controle hebben om die verwachtingen of eisen in de praktijk waar te maken.

mdavids @kodak • 17 augustus 2020 23:52

Neem bijvoorbeeld het gedeelte over de mogelijke verwerkingsrol van Google en Apple.

Ik ben geen jurist, maar ik denk inderdaad dat Apple en Google geen 'verwerkingsverantwoordelijken' of verwerkers zijn (in juridische zin). Ze leveren enkel (gratis) een softwareoplossing (ENS). In de licentievoorwaarden daarvan worden al bepaalde waarborgen afgegeven. Dat kan wellicht allemaal beter en strakker, maar de huidige situatie hoeft de verdere uitrol van de app niet direct in de weg te staan wat mij betreft.

kodak

Autoriteit Persoonsgegevens
Privacy

@mdavids • 18 augustus 2020 00:12

Bescherming van persoonsgegevens is een recht. Dat recht gaat zelfs op als de persoon die er recht op heeft er onvoldoende verstand van heeft. Hoe doet alleen kijken naar de letters op papier eer aan dat recht het in de praktijk ook gaat om wie de controle heeft om van die letters af te wijken zonder dat je daar als persoon ook maar weet van hebt of controle over hebt? Waaruit blijkt uit die voorwaarden dat er voldoende technische en organisatorische maatregelen zijn genomen zoals de wet verplicht? Dat een gebruiker of de app bouwer licentievoorwaarden accepteert wil nog niet zeggen dat aan alle eisen is voldaan die de wet voorschrijft. Hooguit dat iemand de licentievoorwaarden wel prima lijkt te vinden. Maar de wet gaat niet over het prima vinden van voorwaarden maar of met die voorwaarden ook is voldaan aan de eisen om bescherming te hebben die je wettelijk mag verwachten. Voorwaarden staan niet zomaar gelijk of boven de wet.

[Reactie gewijzigd door kodak op 22 juli 2024 16:56]

kaaijer @mdavids • 18 augustus 2020 08:30

Terechte kritiek? Haken en ogen laat hij simpelweg links liggen met als argument: 'buiten de reikwijdte'. Ja, zo kan ik ook een beoordeling naar mijn hand zetten. Landsadvocaat of niet. Wat een grap.

svane @Anoniem: 392841 • 17 augustus 2020 22:56

Erg kwalijk dat men blijkbaar de AP (maar ook andere autoriteiten en adviesorganen) compleet niet serieus neemt als de mening niet strookt met wat het kabinet wil.

Ik vind dit ook wel een beetje te streng. Er is namelijk vrijwel geen manier om dit beter te doen (behalve om helemaal geen app te maken, en om als burger helemaal geen Apple/Android telefoon te hebben).

Als er een App voor een OS geschreven wordt, dan vind ik 't gek om een app 'niet op orde' te noemen omdat hij afhankelijk is van dat OS.

Uber is niet 'op orde' omdat de app gebruikt maakt van de GPS-API van Apple/Google.
ING app is niet op orde omdat Apple/Google al je gegevens kan inzien.
1Password is niet op order omdat Apple/Google al je wachtwoorden kunnen inzien.
Dan hebben we 't nog niet eens over je foto's / email / whatsapp / signal / telegram / camera die allemaal door Apple/Google te benaderen zijn.

Als een gebruiker nou eenmaal een Apple/Android telefoon heeft, dan maakt het echt 0.0 uit of je ook nog de corona API aanzet of niet.

Hoe zou je dit als kabinet oplossen? Ook als je geen app bouwt, dan zijn dezelfde mensen nog steeds kwetsbaar voor het OS zelf. Ik vind 't daarom ook niet gek dat er niks met dit advies gedaan wordt, is namelijk in mijn ogen niet mogelijk.

Er zijn uiteraard mensen met een zelf-gecompilede custom versie van android zonder enige Google-software. Ik heb deze groep erbuiten gelaten omdat deze a) relatief klein is, en b) De huidige corona-app sowieso niet door hun geïnstalleerd kan worden.

edit:
Op verzoek van @GameNympho ook maar een disclaimer over Microsoft: Ik noem deze niet om dat de Corona app niet beschikbaar is voor deze telefoons, waardoor dit dus niks met dit artikel te maken heeft.

[Reactie gewijzigd door svane op 22 juli 2024 16:56]

ppl @svane • 17 augustus 2020 23:42

Ik vind dit ook wel een beetje te streng. Er is namelijk vrijwel geen manier om dit beter te doen (behalve om helemaal geen app te maken, en om als burger helemaal geen Apple/Android telefoon te hebben).

Misschien dat het helpt om te verduidelijken wat de rol van de Autoriteit Persoonsgegevens (AP) is en hoe de CoronaMelder app in elkaar steekt. Dit is onze privacywaakhond welke is gevraagd om de privacy van de CoronaMelder app te beoordelen. De overheid vindt privacy namelijk heel belangrijk. Derhalve is de privacywaakhond niet de enige die is gevraagd om mee te kijken.

De CoronaMelder app is in feite niet veel meer dan een frontend voor de exposure notification API van Apple en Google. Het is de API die al het werk doet zoals het maken van de verschillende keys op de verschillende tijdstippen. De AP is weliswaar betrokken geweest bij de ontwikkeling van de frontend (aka de CoronaMelder app) maar niet bij de ontwikkeling van deze API. Zij merken echter terecht op dat je de frontend en de backend niet los van elkaar kunt zien en dat ze dus ook naar de backend moeten kijken. De AP klopt daarom bij de overheid aan en stelt ze diverse vragen om boven water te krijgen hoe die backend exact werkt zodat ze betere inzage krijgen wat dit betekent voor de privacy. Dat is immers hun wettelijke kerntaak en in dit geval ook de opdracht die de overheid ze gegeven heeft.

Als er een App voor een OS geschreven wordt, dan vind ik 't gek om een app 'niet op orde' te noemen omdat hij afhankelijk is van dat OS.

Je voorbeelden kloppen niet. Ze gebruiken weliswaar kleine stukjes van een OS maar de echte werking, de kern van de app, is iets wat door de betreffende app maker zelf is geschreven. Het onderliggende OS heeft daar niets mee te maken. Dat is ook de reden waarom de apps veelal op meer dan alleen Android of iOS werken.

In dit geval is er wat anders aan de hand. De kern zit niet in de app maar in het OS. Vrijwel alles wat nodig is om de app te laten werken zit in de API van Apple en Google, niet in de app zelf. Daardoor is er een veel grotere afhankelijkheid van het OS dan de apps die je als voorbeeld hebt genomen.

Als een gebruiker nou eenmaal een Apple/Android telefoon heeft, dan maakt het echt 0.0 uit of je ook nog de corona API aanzet of niet.

Hoezo? De API is wat de app z'n werk laat doen. Zonder die API doet de app helemaal niets. Als extra stukje veiligheid heeft men (in ieder geval in iOS, ik weet niet of het voor Android ook geldt) iets ingebouwd waardoor je alleen de API aan kunt zetten en instellen wanneer je een app op je telefoon hebt staan die de API gebruikt. En daarvan mag je ook maar 1 app installeren; er kunnen dus geen meerdere apps van die API gebruik maken.

Hoe zou je dit als kabinet oplossen?

De vragen van het AP beantwoorden en informatie bij Apple en Google vandaan halen. Daarnaast kunnen ze ook doen wat het AP zegt en een overeenkomst met Apple en Google vastleggen (of uitleggen waarom dat niet kan). Dan is het weer aan het AP om er verder wat van de te vinden. Het kan dan zijn dat ze meer informatie over het e.e.a. willen of dat ze dit afdoende vinden.

Dus nee, dit is niet streng, dit is gewoon conform de opdracht die ze is gegeven en ook de kerntaak van een privacywaakhond: informatie naar boven halen om duidelijk te krijgen welke informatie er verwerkt wordt, hoe en door wie. Het is niet zo dat de AP, de AVG of de GDPR hierop tegen is.

Ze hebben een hoger budget gekregen en dat is te merken, ze doen nu ook meer. Laten we hopen dat ze na deze app ook verder gaan kijken naar de overige apps die er zijn.

SpiceWorm @ppl • 18 augustus 2020 00:58

Google en Apple kunnen altijd alles op je telefoon bijhouden en registreren.

Ik vermoed zelfs dat ze al kunnen weten of je ziek bent puur en alleen op hoe je je telefoon gebruikt.

Deze corona app / api veranderd daar helemaal niks aan.

Ik verwacht zelf dat Apple en Google hier heel zorgvuldig mee om zijn gegaan omdat zij ook glashelder hebben dat dit onder een vergrootglas gaat komen. Ik geloof er niks van dat ze dit nu gaan gebruiken om (nog) meer data over ons te verzamelen.

Anoniem: 24417 @SpiceWorm • 18 augustus 2020 03:07

Dat mag je vinden, maar het is voor de AP niet zo relevant wat jij, of wie dan ook, gelooft mbt. wat Apple en Google gaan doen met onze gegevens. En ook niet wat voor gegevens ze allemaal al hebben.

SpiceWorm @Anoniem: 24417 • 18 augustus 2020 11:26

Tsja wat stel je voor dan? Alles open source forceren dan?

kimborntobewild @SpiceWorm • 18 augustus 2020 19:29

Tsja wat stel je voor dan? Alles open source forceren dan?

Natuurlijk!! Dat is de aller-allereerste vereiste voor een veilige (qua controle/toezicht) app. Open source is geen garantie, maar wèl een vereiste. De tegenstanders van Open Source (en helaas zijn die er veel), wijzen er altijd weer op dat Open Source geen garantie is. Klopt volledig, maar het is wèl een voorwaarde. Eén van de voorwaarden. En wel de belangrijkste.
Zonder 100% Open Source in de volledige keten (hardware/firmware/OS/front-end), is nooit te controleren wat de software doet. Vertrouwen op de blauwe ogen en de security-kennis van Apple/Google, is ronduit naïef. Ongelofelijk naïef.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 16:56]

SpiceWorm @kimborntobewild • 19 augustus 2020 12:43

Ik denk dat het naïef is om te denken dat we een google, apple, ios, Android hadden gehad als je enkel open source software (&hardware!!) mag aanbieden of gebruiken.

Denken dat er bij alle bedrijven 0 moreel besef is, is dogmatisch. Je strooit ook nogal makkelijk met het woord naïef.

Ik denk dat apple en Google en anderen alles van ons verzamelen waarmee ze weg denken te kunnen komen maar zo gek is het niet om te denken dat ze dit niet verzamelen en voor andere doeleinden gaan inzetten.
Nogmaals, ze hebben geen coronamelder app nodig om te weten of jij ziek bent of niet.

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 16:56]

kimborntobewild @SpiceWorm • 19 augustus 2020 23:36

Ik denk dat het naïef is om te denken dat we een google, apple, ios, Android hadden gehad als je enkel open source software (&hardware!!) mag aanbieden of gebruiken.

Wat voor verdere gevolgen het heeft, doet verder niks af aan de discussie of de hele keten Open Source moet zijn om de boel te kunnen vertrouwen.
Ik heb zelf i.i.g. veel liever dat alles Open Source is; zeker daar waar het de basishardware t/m apps betreft die een overheid ons aanraadt (of zelfs wil verplichten onder omstandigheden).

Denken dat er bij alle bedrijven 0 moreel besef is, is dogmatisch.

Ten eerste denk ik dat niet. Ten tweede moet je altijd blijven controleren wat er gaande is. En als er geen controle mogelijk is door het algemene publiek: dan moet dat publiek ook van de slechtst mogelijke gevolgen uitgaan.

Je strooit ook nogal makkelijk met het woord naïef.

Het komt ook erg veel voor, dat mensen naïef zijn. Zelfs ik ben (te) vaak naïef.

Ik denk dat apple en Google en anderen alles van ons verzamelen waarmee ze weg denken te kunnen komen maar zo gek is het niet om te denken dat ze dit niet verzamelen en voor andere doeleinden gaan inzetten.

Ik vind het wel degelijk gek om te denken dat ze dit niet gaan verzamelen. Zelfs nog niet zozeer omdat je ze misschien niet kunt vertrouwen (wat ik in elk geval niet doe); maar meer omdat je niet kunt controleren of je ze kunt vertrouwen. Zoals Rick Harrison altijd zegt: 'I don't trust anyone.' Je moet altijd goed onderzoek blijven doen, vooraleer je je met iets duurs (of in dit geval met iets belangrijks) inlaat. En hij heeft groot gelijk.

Nogmaals, ze hebben geen coronamelder app nodig om te weten of jij ziek bent of niet.

Dat doet er niet toe inzake de corona-app zelf.
Als een bedrijf het op punt X verkeerd doet, is dat nooit een geldige reden om het dan ook maar toe laten dat ze het ook op punt Y verkeerd doen. Net zoals het ook nooit een geldige reden is om niet achter inbreker X aan te gaan, louter omdat er ook nog een inbreker Y is die (nog) niet gepakt is.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 16:56]

Anoniem: 24417 @SpiceWorm • 18 augustus 2020 14:43

Dat zeg ik niet (al ben ik niet tegen).
Jij impliceerde dat het zinloos is dat de AP moeilijk doet omdat Apple/Google toch van alles al weten. Ik denk, dan moet je juist moeilijk doen om erger te voorkomen.. wat daar uit rolt als oplossing is niet aan mij, kan zelfs de conclusie zijn dat het veilig genoeg is, maar het is wmb. goed dat het goed wordt bekeken.

SpiceWorm @Anoniem: 24417 • 19 augustus 2020 12:53

Ik denk dat de AP zich veel nuttiger kan maken als ze zich over de datahonger van deze bedrijven zouden buigen.

Ik zou graag hebben dat internettoegang voor een app een permissie is die je kan uitzetten of alleen kan toelaten voor de voorgrond app. Kan niet.

Ik denk dat je zomaar 5 apps op je telefoon hebt staan die kunnen weten of jij ziek bent of niet én dat ook doorgeven aan de bouwer van die app.

Tk55 @svane • 17 augustus 2020 23:28

Leuke whataboutism(s), maar is het echt nodig om dit soort gevoelige informatie in handen van techgiganten te leggen? Ze weten al zo veel, gaan we daar nog medische informatie aan toevoegen? Juist iets wat door onze overheid gemaakt wordt, dient aan hogere standaarden te voldoen dan Uber, ING, etc.

Google heeft met Google Play Services veel te veel macht over Android en het is dan ook goed dat de AP hier kritisch naar kijkt. Ze mogen wat mij betreft dit advies zelfs breder trekken dan alleen de corona app.

svane @Tk55 • 17 augustus 2020 23:42

Ergens zijn deze zorgen terecht natuurlijk, maar ik verbaas me dat het exact nu naar buiten komt, en dat de zorgen zo specifiek over deze app geuit worden.

Ik kan persoonlijk überhaupt niet zo snel een App verzinnen die beter met privacy omgaat dan de Corona-app, iemand anders wel?

Waarom is het advies van de AP dan niet: Gebruik nooit een closed source operating system, controleer en compile je eigen OS, en gebruik daar alleen open-source apps op.?

Ziekenhuizen / huisartsen / GGD gebruiken al jaren closed-source OS'en en software, jouw medische gegevens zijn al tig jaar bekend bij Microsoft / Philips / ChipSoft / etc. De corona-app voegt daar echt niks aan toe, maar kan potentieel wel positief helpen.

ppl @svane • 18 augustus 2020 00:38

Ergens zijn deze zorgen terecht natuurlijk, maar ik verbaas me dat het exact nu naar buiten komt, en dat de zorgen zo specifiek over deze app geuit worden.

Waarschijnlijk heeft dat te maken met het feit dat de AP zich niet gehoord voelt en via publieke weg nu pressie uitoefent. De AP besluit haar berichtgeving namelijk met het volgende:

De AP zond het ministerie van VWS op 6 augustus 2020 haar advies toe. Het is aan de minister om dit advies op te volgen.

Er is in 2 weken tijd kennelijk niets of te weinig gebeurd.

Ik kan persoonlijk überhaupt niet zo snel een App verzinnen die beter met privacy omgaat dan de Corona-app, iemand anders wel?

Vraag het Bits of Freedom anders eens. Ik weet dat ze een paar keer een aantal apps naast elkaar hebben gezet en hierbij de privacy hebben vergeleken. De laatste keer ging het over videoconferencing apps.

delphium

@ppl • 18 augustus 2020 08:23

Oh, Bits of Freedom? De CEO van BOF, Evelyn Austin, betoogde in de volkskrant nog, dat met de app een surveillance-infrastructuur zou worden opgezet. Sorry, maar die mevrouw heeft er dus helemaal niets van begrepen. Die infrastructuur ligt er al jaren, alleen opgezet door Google en Apple en niet door de overheid. Tenminste, niet middels deze app.

Beetje jammer dat dit soort organisaties telkens weer als een autoriteit worden opgevoerd voor het onderbouwen van argumenten, terwijl ze toch echt wel regelmatig de plank misslaan.

svane @Scriptkid • 17 augustus 2020 23:06

Aha, dus de Duitse app gebruikt de Google/Apple API niet? Daar mag je me wel een bron voor geven

Leg is uit hoe de Duitse Corona-App de Privacy van Nederlanders beter waarborgt dan de Nederlandse app? En dan ben ik ook benieuwd hoe die app ook nog is efficiënter is. (kosten zouden wel lager zijn inderdaad). De meldingen worden trouwens binnenkort op EU niveau gedeeld, dus dat is niet het probleem.

PS. met minimaal zes taalfouten in één zin, zou ik iets minder snel proberen typen, voor de leesbaarheid

Xirt @svane • 17 augustus 2020 23:14

De Duitse app gebruikt dezelfde API, zie ook: nieuws: Duitse regering brengt opensource corona-app uit

denios @svane • 18 augustus 2020 02:30

Leg is uit

PS. met minimaal zes taalfouten in één zin, zou ik iets minder snel proberen typen, voor de leesbaarheid

Denk niet dat jij over taalfouten moet vallen

Keypunchie

corona-app

@Scriptkid • 17 augustus 2020 23:03

De Duitse app gebruikt dezelfde API, dacht ik?

TweakerNummer @svane • 18 augustus 2020 04:28

Door gebruik te maken van de Google/Apple API geef je het OS de gelegenheid om makkelijk veel te weten te komen over wat er gebeurt. Het framework (de implementatie van de API) kan bijv. informatie lekken doordat OS API calls gebruikt worden voor key-generatie en key-validatie.

Daarentegen kan je heel veel tegengaan door een app te bouwen met zo min mogelijk API calls. Zo zou je een OpenGL UI kunnen maken waarin buttons iedere keer random geplaatst worden. Hiermee kan je voorkomen dat iemand kan reconstrueren waarop er geklikt was als het OS "anoniem" kliks logt. Samen met encrypted (single DNS) traffic, fake traffic, fake key-generation etc. kom je dan al een heel eind.

Dat de app waarschijnlijk niet op deze manier gebouwd wordt (third party libs ftw), dat Google/Apple dit soort dingen niet hoort te doen en dat privacy niet op orde te krijgen is moeten we maar even vergeten

Naafkap @Anoniem: 392841 • 17 augustus 2020 22:02

Dat is inderdaad pijnlijk maar helaas niks nieuws onder de zon. Dit soort zaken weerhoudt mij om de app te gaan gebruiken, terwijl ik het in potentie van groot maatschappelijk belang vind. Ik heb meer vertrouwen in Apple en Google in dit geval dan in ons kabinet.

Anoniem: 435630 @Naafkap • 18 augustus 2020 07:31

Inderdaad, bij google weet je tenminste zeker dat je data misbruikt wordt en bij de overheid is door nog maar de vraag.

jhnddy @Naafkap • 18 augustus 2020 07:40

Maar wat is het probleem dan in dit geval? Het advies van de AP is voornamelijk om met Google en Apple om tafel te zitten en afspraken vast te leggen over het gebruik van de API data. Als je hen al vertrouwd, is er toch geen probleem?

WoutervOorschot

@Anoniem: 392841 • 17 augustus 2020 22:37

Die backend bevat alleen maar een lijst met random keys van besmette personen. Daarnaast zegt het AP dat ze niet weten hoe het met de beveiliging zit, dat zouden ze lijkt me ook zelf moeten onderzoeken?

Ik snap wel dat het nu pas bekend is, de belastingdienst, die ervaring heeft met het hosten van dit formaat systemen, mocht het last moment niet doen.

CrazyBernie @Anoniem: 392841 • 18 augustus 2020 03:20

Hoe bedoel je compleet genegeerd. De brief is vorige week tijdens het kamerdebat genoemd en al op 12 augustus is er een reactie geschreven door de landsadvocaat namens de minister. Dat is binnen 6 dagen reactie ik weet niet wat jij verwacht maar dat lijkt me toch redelijk snel.

Daarnaast wordt er ook nog een noodwet ingediend dat niemand gedwongen kan worden om de app te installeren dit lijkt me toch vrij snel allemaal en ook nog transparant want alle brieven zijn met de kamer gedeeld en staan op Rijksoverheid wat verwacht je dan nog meer ?

jordyc @DOS 3.1 • 18 augustus 2020 07:34

Dan heb ik goed nieuws voor je: Vanochtend heeft het kabinet aangekondigd een wet in te stellen die dat soort situaties juist moet voorkomen door dikke boetes te hangen aan het weigeren van mensen die geen Corona app hebben.

Keypunchie

corona-app

17 augustus 2020 21:41

Voor alle duidelijkheid, dit gaat dus niet om technische aspecten van de app, maar om de wettelijke aspecten.

Voor het stuk 'niemand mag deze app verplichten' is al een noodwet in de maak en die zal per 1 september vrijwel zeker actief zijn:
https://www.nu.nl/tech/60...corona-app-misbruikt.html

Vrij forse boetes voor wie deze eis wel stelt.

De afspraak met Google/Apple is wat vager, maar voor alle duidelijkheid: Zij hebben beide keihard gewerkt om een privacy-vriendelijke API te maken. Dat is een kwestie van bestendigen wat er nu is, niet dat er nog iets fundamenteels bij die bedrijven op dit punt moet veranderen.

Al met al: goed dat de Autoriteit Persoonsgegevens dit signaal afgeeft, moet zeker ook nog gebeuren, maar voor mij absoluut geen reden om de app links te laten liggen.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 16:56]

The Zep Man

Privacy

@Keypunchie • 17 augustus 2020 22:20

Vrij forse boetes voor wie deze eis wel stelt.

Dit werkt alleen als er goede handhaving is. Dat is de stap waar vaak niet over wordt nagedacht.

Vergelijk de cookiemuur van T.net die ook niet legaal zou zijn.

En zie ook dit artikel. Als de applicatie nog niet op orde is, waarom wordt de huidige versie dan niet ingetrokken? Geen handhaving.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:56]

OddesE @The Zep Man • 17 augustus 2020 22:50

Of kijk eens terug naar de afgelopen jaren wat er allemaal langs gekomen is. Smart TV's die alles doorgeven naar een Chinese server. De US overheid die haar eigen burgers aftapt. Merkel haar telefoon die afgetapt is. De Engelse veiligheidsdienst die in de Belgische telecom infrastructuur was geïnfiltreerd. Encryptie standaarden expres zwak gemaakt door de CIA die bij NIST was geïnfiltreerd. Etc etc. Wanneer waren er ooit gevolgen aan? Er wordt volgens mij echt nooit iemand gestraft. Oh wacht, eentje: Huawei. Hoewel ik daar dan weer niet van weet waar ze precies voor gestraft worden behalve Chinees zijn.

M3m30 @Keypunchie • 17 augustus 2020 22:55

Hoe weet jij dat zo zeker? wie weet worden zulke wetten weggestemd of pas later behandeld..

lucatoni 17 augustus 2020 23:04

Even vanuit een andere invalshoek. Wellicht is de corona app op mijn telefoon de app waarbij privacy het meest gewaarborgd is ten opzichte van alle andere apps.

mischaatje2 @lucatoni • 18 augustus 2020 00:07

Ik vind het dus gelul dat je iets dat krom is recht probeert te praten door te wijzen naar dingen die nog krommer zijn. Daar wordt het in absolute zin toch niet rechter door? Dat is toch een zwaktebod van jewelste? Ze zijn allemaal in overtreding en dat moet je gewoon niet dulden. Alles moet recht, en wat niet recht is moet maar eens pijn van boetes gaan voelen.

[Reactie gewijzigd door mischaatje2 op 22 juli 2024 16:56]

lucatoni @mischaatje2 • 18 augustus 2020 09:40

Het is allemaal niet zo zwart wit als jij het schetst. Het gaat er mij om dat we alles in perspectief moeten blijven zien. Er is altijd ruimte voor vertbetering blijkt. Maar waar we aan de ene kant ons hele leven op social media gooien, of "gratis" games willen spelen op telefoons boordevol trackers en andere onzin en we ons vervolgens druk gaan maken over een app die geen enkele persoonlijke gegevens vraagt.

F-I-X 17 augustus 2020 21:54

Beetje raar dat ze zich nu ineens zorgen maken over de data die naar Google en Apple gaat. Ook nogal vreemd dat ze nu pas hier bezwaar tegen maken terwijl de API en ik verwacht ook alle in's en out's al lang is vrijgegeven. Als ze niet via de API hadden gewerkt dan was het systeem denk ik nooit van de grond gekomen. Voor Apple zou dat al bij voorbaat onmogelijk zijn geweest.

Tevens is het een tracker... er zit helemaal geen enkel gezondheidsaspect in.

Beetje onderbuik maar ik heb het niet zo op (gefaalde) ex-politici die ergens leiding aangeven waar ze nauwelijks verstand van hebben. Meer een PR momentje "zie mij belangrijk zijn"

M3m30 @F-I-X • 17 augustus 2020 22:56

Je weet totaal niet hoe de backend precies werkt, en volgens de wet voldoet die app dus niet aan de AVG wetgeving.

CrazyBernie @M3m30 • 18 augustus 2020 03:24

Dat is de stelling van de ap. Het ministerie denkt daar toch heel anders over . Voornaamste strijd punt lijkt daarbij dat Nederland geen aparte afspraken met Google en Apple heeft over de api.

dez11de 17 augustus 2020 22:11

Volgens mij heeft in ieder geval Apple, en lijkt ze ook voor Google te spreken, duidelijk omschreven hoe het zit met het framework en bluetooth en alles op https://www.apple.com/covid19/contacttracing

[Reactie gewijzigd door dez11de op 22 juli 2024 16:56]

WhatsappHack

Privacy

18 augustus 2020 00:51

"De app stuurt een melding als je minstens 15 minuten dicht bij iemand bent geweest die later corona blijkt te hebben".

Dat vind ik toch ergens een beetje raar. Ik snap dat de scope beperkt moet worden, maar 15 minuten is best lang. Als iemand naast je staat op de bus te wachten (ik ga nooit met de bus, maar even ter illustratie

), waar je ze constant hun mondkapjes af ziet doen, en half staat te hoesten; dan sta je er misschien maar een paar minuten: maar je kan gewoon geïnfecteerd raken. 15 minuten is dan een flinke treshold. Ik snap dat je geen notificatie wilt krijgen als je simpelweg even langs iemand heen bent gelopen op een drukke dag in het centrum van de stad of iets dergelijks, maar 15 minuten...? Afijn.

Daarnaast zie ik persoonlijk wat vraagtekens bij het loggen van IP-adressen. Waarom bewaren ze die? Ze bewaren ze weliswaar los van alle andere data, zeggen ze (en beweren ook dat het niet te herleiden valt - maar als ze bijvoorbeeld loggen dat sleutel A is geupload om 09:00:01 en om 09:00:01 verbond toevallig IP 12.34.56.78, 12.34.56.79 en 12.34.56.76 dan heb je maar een kleine poule om in te vissen wie wie is geweest of dat het iig 1 van die 3 is geweest), maar waarom worden ze überhaupt bewaard? Dat is voor de werking van het systeem niet nodig. Ik snap dat "inherent aan het internet protocol" te zien is welk IP-adres data aan het uploaden is, maar er is geen enkele specificatie in IP dat zegt "Je moet de adressen loggen en opslaan!". Waarom nemen ze de moeite om het IP-adres apart op te slaan in plaats van het simpele gewoon helemaal niet opslaan? Ik kan me nog iets voorstellen bij een vluchtige opslag, bijvoorbeeld om aanvallen te detecteren, maar dat hoeft echt niet langer dan een uurtje of wat bewaard te blijven... Voor anti-flooding zelfs maar enkele minuten. Nu houden ze ze tenminste 7 dagen vast.

Imho mogen ze dát nog wel even wat beter uitleggen.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 16:56]

PrimeTinus 17 augustus 2020 22:03

Tweakers, noem de app CoronaMelder ipv Corona app aub. De app is niet terug te vinden in de store als Corona App.

Lex_brugman 18 augustus 2020 00:24

Weet iemand iets over hoe ze zonder locatiegegevens de app alleen kunnen laten werken in "Overijssel, Drenthe en een groot deel van Gelderland"? Is dat een feature van de API die Google en Apple beschikbaar stellen?

WhatsappHack

Privacy

@Lex_brugman • 18 augustus 2020 01:01

Volgens mij werkt de app wel overal, maar de GGD's doen er niets mee in andere regio's. Dus is het in andere regio's zo dat bij besmetting de keys niet gemeld worden tot de landelijke uitrol over een paar weken. Dus je kan meedoen, je kan de app downloaden en hij zal gewoon functioneren; maar als je ziek wordt in, ik noem maar wat, Walcheren: dan gaat de GGD daar niets doen met je CoronaMelder-data.

Zo woon ik niet in een van de regio's, maar kan de app wel gewoon downloaden en activeren. (De API van Apple activeert ook netjes en herkent de CoronaMelder-app als authorative.) Het zit hem dus niet in de app/API, maar bij de GGD.

Wél krijg je wss gewoon een melding als je in een van die regio’s bent geweest en in contact bent geweest met een besmet persoon, dus dat is wel relaxt. Ik raad iedereen dan ook aan om de app gewoon alvast te installeren, kan geen kwaad en ben je voorbereid!

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 16:56]

Wh4ck0 @Lex_brugman • 18 augustus 2020 09:06

Dat was dus ook precies gelijk mijn eerste gerdachte. Want ik heb de source code een aantal keer doorgenomen, en ze gebruiken nergens locatie api's of iets dergelijks. Dus dan blijft het enige over dat Whatsapphack zegt: dat ze er gewoon niets mee doen. Maar je zult in de app wel een melding krijgen als je in contact bent geweest met iemand (omdat ze dus geen onderscheid kunnen maken over waar je vandaan komt), dus je kunt altijd jezelf testen bij een positieve melding.

Anoniem: 420148 17 augustus 2020 21:54

"Pas vanavond werd duidelijk wie dat zullen beheren. Hoe die partij de beveiliging heeft geregeld weten we nog niet. Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden", aldus Wolfsen.

Vraag me af wie de hoster is en hoe ze alles opgezet hebben.

Remz @Anoniem: 420148 • 17 augustus 2020 22:23

CIGB en KPN.
Je kan de back-end op Github vinden: https://github.com/minvws...-notification-app-backend

OddesE @Remz • 17 augustus 2020 23:14

SQL Server? Mmmm.... Ik had liever een Open Source database gezien. Op zich wel een goede stap dat ze de code open maken maar als ze kiezen voor allerlei closed source componenten heb je geen echte transparantie.

Crysania @OddesE • 17 augustus 2020 23:32

Hoezo niet? Wat maakt het gebruik van het type database uit voor de transparantie van de App?

Je hebt de source van het db platform toch niet nodig om te zien wat de App doet? Of ben je bang dat MS mee kijkt in alle ms sql databases?

Op dit item kan niet meer gereageerd worden.

Autoriteit Persoonsgegevens: privacy Nederlandse corona-app is nog niet op orde

Lees meer

IT-banen

Reacties (399)

Sorteer op:

Weergave: