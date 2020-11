De CoronaMelder-app is niet volledig anoniem. Het is namelijk mogelijk voor derden om te achterhalen of gebruikers van de app met corona besmet zijn, zo stelt privacyontwerper en technologiecriticus Tijmen Schep. "Je zou bijvoorbeeld stiekem in de gaten kunnen houden of je buurman besmet is geraakt."

Schep ontwikkelde een website genaamd Corona Detective waarmee dergelijke informatie te achterhalen is. De CoronaMelder-app genereert willekeurige codes en verstuurt die via bluetooth. Andere app-gebruikers in de buurt kunnen deze codes opvangen en op hun telefoon opslaan. Is iemand met corona besmet geraakt en maakt hij dit via de app kenbaar, dan worden de gegenereerde codes van deze gebruiker naar een server geüpload. De lijst met codes van besmette personen wordt dagelijks door CoronaMelder gedownload. Komt een code van deze lijst overeen met een op de telefoon opgeslagen code, dan krijgt de gebruiker een waarschuwing dat hij met een besmet persoon in contact is geweest.

Via de website Corona Detective is het mogelijk om te zien wie in de omgeving CoronaMelder geïnstalleerd heeft. Hiervoor is het niet nodig om de app zelf geïnstalleerd te hebben. De website vraagt toegang tot bluetooth en zoekt vervolgens naar alle telefoons in de omgeving die CoronaMelder geïnstalleerd hebben. Het is daarbij mogelijk om de afstand te zien en welke richting de telefoon op beweegt. Zo kan de gebruiker van Corona Detective bepalen welk signaal bij welke persoon hoort.

Vervolgens is het mogelijk om de door CoronaMelder uitgezonden code van een naam te voorzien. Wanneer de betreffende gebruiker later besmet blijkt en zijn codes naar de centrale server uploadt, zal Corona Detective die downloaden en kan vervolgens aan de hand van de eerder gemaakte koppeling tussen naam en code bepalen wie de besmette persoon is. Zo is het bijvoorbeeld mogelijk om te achterhalen wie het coronavirus in zijn omgeving heeft verspreid, stelt Schep.

De CoronaMelder-app bestaat uit twee delen. Een deel dat door de overheid is ontwikkeld en het onderliggende framework van Apple en Google. Het door de overheid gebouwde deel "is enorm transparant en behoorlijk anoniem", laat Schep in een video over de werking van Corona Detective weten. De overheid kan namelijk niet achterhalen wie, wat doet. "Maar het stuk van Apple en Google is niet anoniem. Het is pseudoniem. Daardoor wordt jouw naam alleen maar vervangen door een nummertje. Dat kan dus heel makkelijk ongedaan worden gemaakt."

Volgens Schep is het daarom belangrijk om niet het gehele systeem anoniem te noemen. Het geldt eigenlijk alleen voor het deel dat de overheid ontwikkelde, zo merkt de privacyontwerper op. Het ministerie van Volksgezondheid laat tegenover de NOS weten dat de kans dat op enige schaal codes aan appgebruikers worden gekoppeld klein is.

Meten van CoronaMelder-gebruikers

Niet alleen personen kunnen voor hun omgeving codes onderscheppen. Voor bedrijven kan het meten van CoronaMelder-gebruikers ook interessant zijn. Het bedrijf BlueMark biedt een platform voor bedrijven en organisaties om bezoekers van hun evenement, winkel of locatie via wifi of bluetooth te meten. In september publiceerde Bluemark een blogposting met de titel "Measure the COVID-19 app usage at your location using the BlueMark WiFi/Bluetooth platform", waarin het bedrijf uitlegde hoe ondernemers het platform kunnen gebruiken om te zien hoeveel mensen CoronaMelder hebben geïnstalleerd. Daarnaast zou met de data de drukte kunnen worden gemeten.

De blogposting is inmiddels door BlueMark verwijderd. Het bedrijf verklaart aan de NOS dat er geen klanten zijn die de CoronaMelder-signalen gebruiken. De verwijderde blogposting laat echter zien dat BlueMark tijdens een pilot in een winkelstraat het gebruik van CoronaMelder anderhalve maand heeft bijgehouden, zo ontdekten oplettende Twitteraars. BlueMark verklaart dat het hier om nepdata ging om klanten te laten zien wat technologisch mogelijk is. Het ministerie van Volksgezondheid heeft bij de Autoriteit Persoonsgegevens een klacht tegen het bedrijf ingediend.