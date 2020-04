De bron- en contactonderzoekapps die de overheid mogelijk tegen de verspreiding van het coronavirus wil inzetten voldoen niet aan alle eisen van de AVG, zo stelt advocatenkantoor Pels Rijcken op basis van de documentatie die de ontwikkelaars verstrekten. Het advocatenkantoor voerde in opdracht van het ministerie van Volksgezondheid een privacyanalyse van de apps uit waarvan de samenvatting vanavond openbaar is gemaakt.

Vorige week dinsdag kondigde het kabinet plannen aan voor een app die het bron- en contactonderzoek van de GGD moet ondersteunen. Bedrijven konden daarop reageren, waarna er een selectie van zeven apps werd gemaakt. Deze apps konden dit weekend tijdens een appathon worden bekeken. De overheid had verschillende eisen aan de apps gesteld, onder andere op het gebied van veiligheid en privacy.

Zo mogen verwerkte gegevens niet tot individuen zijn te herleiden, moeten valse positieven zoveel mogelijk worden beperkt, mag de app alleen de bron- en contactopsporing van de GGD ondersteunen, worden er gangbare beveiligingsstandaarden gebruikt, mogen gegevens alleen worden gedeeld als dit voor het onderzoek van de GGD nodig is of als de gebruiker hiervoor toestemming geeft en worden alle gegevens verwijderd als de app niet meer nodig of effectief is. Overkoepelend moeten de apps aan de AVG voldoen.

Om de zeven geselecteerde voorstellen hierop te beoordelen onderzocht Pels Rijcken de documentatie die de ontwikkelaars verstrekten. Vanwege de beperkte tijd kon het advocatenkantoor de ontwikkelaars niet op de normale manier ondervragen over de voorgestelde techniek, de precieze inrichting van de app en andere relevante aspecten. De apps werden beoordeeld aan de hand van zes fasen: de installatiefase, uitwisselingsfase, validatiefase, waarschuwingsfase, koppelingsfase en notificatiefase. Per fase keek Pels Rijcken op basis van de beschikbaar gestelde documentatie of de apps aan de uitgangspunten van de AVG voldoen.

"Wij hebben op basis van de beoordeelde stukken bij geen van de voorstellen kunnen vaststellen dat ze volledig voldoen aan de zojuist geformuleerde uitgangspunten. Evenmin hebben wij op basis van de stukken kunnen vaststellen dat wordt voldaan aan alle eisen van de AVG", zo laat het advocatenkantoor in de hoofdconclusie weten. Daarin staat aanvullend vermeld dat er alsnog aan de AVG kan worden voldaan, maar dat dit een doorontwikkeling en een meer gedetailleerde uitwerking van de apps vergt.

Verder stelt Pels Rijcken op basis van de documentatie dat bij geen van de apps kan worden vastgesteld dat volledige anonimiteit is gegarandeerd. Ook schieten de apps tekort op het voorkomen van valse positieven en doen ze allemaal in enige vorm aan centrale opslag. Op de andere punten doen de apps het beter. De resultaten van het onderzoek zijn niet op voorhand met de ontwikkelaars gedeeld. Daarnaast laat het advocatenkantoor weten dat de ontwikkelaars mogelijk na de privacyanalyse aanpassingen aan de apps hebben doorgevoerd die niet zijn meegenomen (pdf).

Eerder vanavond verscheen het securityrapport van KPMG dat in opdracht van het ministerie zes van de zeven apps onderzocht en verschillende kwetsbaarheden ontdekte. Morgen komt de Autoriteit Persoonsgegevens met haar onderzoek naar de apps. Dinsdag zal het kabinet haar beslissing over de mogelijke inzet van de apps bekendmaken, waarna er woensdag in de Tweede Kamer over wordt gedebatteerd.