Geen enkele applicatie is ooit zo op de pijnbank gelegd door beveiligingsexperts, privacy-experts, leden van de Eerste en Tweede Kamer en uiteraard het hele Nederlandse volk als de CoronaMelder. Elk onderdeeltje van de corona-notificatie-app van het ministerie van Volksgezondheid, Welzijn en Sport is digitaal losgepeuterd om te kijken hoe het in elkaar zit. Leidt dit alles tot een privacytechnisch goed verhaal en wat kunnen we van de processen rondom de bouw van de app leren?
In het vorige achtergrondartikel over de CoronaMelder hoopte beveiligingsexpert Brenno de Winter nog dat we de app achteraf toch niet nodig zouden hebben en dat we dan in ieder geval hebben laten zien dat je op een opensourcemanier heel goed overheidsapplicaties kunt bouwen, in alle openheid en samen met een hele community. Helaas woedt het virus nog steeds, maar de app moet zijn effectiviteit nog gaan bewijzen.
Zaterdag 10 oktober is de officiële landelijke uitrol van de app een feit: een moment na een vooral moeizaam politiek proces. De app zelf is sinds de eerste open bèta uitkwam niet significant veranderd, op enkele zaken na, zoals tekstuele aanpassingen. Ook zaten er nog enkele onderdelen in die nodig waren tijdens de bètaperiode, zoals een systeem om te kunnen verifiëren dat iemand werkelijk codes in heeft gevoerd, iets dat onlangs nog door een verlaat rapport een kleine storm in een glas water veroorzaakte.
De Winter: “Dat was heel jammer, het deed het politieke debat in de Eerste Kamer geen goed.” De kwestie tekent het open proces, terwijl dat proces voor wie verder kijkt eigenlijk heel goed verliep. Alle kwesties zijn besproken op de openbare Slack-kanalen van Code for NL en alle code staat openbaar op de GitHub van het ministerie van VWS, inclusief alle audit- en penetratietestdocumentatie. “Behalve informatie die voor de veiligheid van het land niet naar buiten mag”, vult De Winter aan. Of die er is en wat die dan zou zijn, is niet bekend. Het lijkt hem niet heel aannemelijk omdat het technisch geen ingewikkelde app betreft.