De privacy rond de corona-app CoronaMelder is volgens de Autoriteit Persoonsgegevens (AP) nog onvoldoende gewaarborgd. De AP adviseert het kabinet de app pas in te zetten als diens adviezen zijn opgevolgd, aldus een persbericht.
Alvorens de app live kant, zal de minister volgens de AP eerst afspraken moeten maken met Google en Apple over de software die zij leveren voor de inzet van de app. Ook moet er een wet komen om de inzet van de app goed te regelen. Verder moet duidelijk worden dat de servers die de app gebruikt ook veilig zijn.
De Autoriteit Persoonsgegevens is overigens op zichzelf positief over de ontwikkeling van de app, zegt voorzitter Aleid Wolfsen. “De app is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer”, aldus Wolfsen.
App onderdeel van systeem
Maar de app staat niet op zichzelf en is onderdeel van een systeem. De mate van privacy is dus afhankelijk van andere technische onderdelen én wetgeving en daar zitten volgens Wolfsen nog zorgen. “De app is niet alleen wat je op het scherm ziet, maar bevat ook techniek van Google en Apple en van de servers waar gegevens heen worden gestuurd. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.”
Google en Apple
De grootste zorg van de AP gaat over het zogeheten Google Apple Exposure Notification framework, de onderliggende software in mobiele besturingssystemen Android en iOS die de Nederlandse corona-app mogelijk maakt. “Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens wat zeer gevoelige gegevens zijn van heel veel mensen”, zegt Wolfsen. “Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval.”