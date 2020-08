De privacy rond de Nederlandse corona-app CoronaMelder is nog onvoldoende gewaarborgd, zo heeft de Autoriteit Persoonsgegevens vanavond laten weten. De privacytoezichthouder maakt zich vooral zorgen over de techniek van Apple en Google die wordt gebruikt en heeft het kabinet geadviseerd de app pas in te zetten als de gegeven adviezen zijn opgevolgd.

Volgens AP-voorzitter Aleid Wolfsen is CoronaMelder met privacy in het achterhoofd ontworpen, maar staat de app niet op zichzelf. Zo wordt er gebruik gemaakt van andere technische onderdelen en is de app afhankelijk van wetgeving. "Daar zitten onze zorgen. Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf", aldus Wolfsen.

Het Google Apple Exposure Notification framework baart de privacytoezichthouder de grootste zorgen. Dit is de software die de techbedrijven aan hun mobiele besturingssystemen hebben toegevoegd en door CoronaMelder wordt gebruikt. Het framework zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth contactonderzoekapps gebruikmaken.

Wolfsen laat weten dat het voor de Autoriteit Persoonsgegevens niet duidelijk is of de techbedrijven via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. "En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen", zegt de AP-voorzitter. "Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval."

De Autoriteit Persoonsgegevens vindt dat er een wet moet komen voordat de app in gebruik wordt genomen. Deze wet moet regelen dat minister De Jonge van Volksgezondheid de bevoegdheid krijgt deze gegevens te verwerken én zou ook privacywaarborgen moeten bevatten. Zo moet er bijvoorbeeld in komen te staan dat mensen niet verplicht mogen worden de app te gebruiken en moet het niet gebruiken van de app geen nadelige gevolgen hebben.

Als laatste stelt de AP dat ook de backend van de app veilig moet zijn. "Pas vanavond werd duidelijk wie dat zullen beheren", merkt Wolfsen op. "Hoe die partij de beveiliging heeft geregeld weten we nog niet. Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden." De toezichthouder heeft op 6 augustus haar advies naar het ministerie van Volksgezondheid gestuurd. De AP adviseert het kabinet de app pas in te zetten als de adviezen zijn opgevolgd.