AP wil corona-apps niet beoordelen, kaders te vaag

ma 20 april 2020 - 13:00
corona-app
Apps
Nieuws

Een forse kink in de kabel voor de corona-apps die het kabinet zo snel mogelijk wil inzetten om het testbeleid van de GGD te ondersteunen: de Autoriteit Persoonsgegevens (AP) stelt geen oordeel te kunnen geven over de opzet van zeven geselecteerde apps. Het is nog niet bekend wat de gevolgen zijn van het besluit van de toezichthouder.

Volgens de privacy-toezichthouder heeft het verantwoordelijke ministerie van VWS de kaders van waar de corona-apps aan moeten voldoen echter niet duidelijk genoeg gesteld. Daardoor zijn de zeven app-voorstellen die afgelopen weekeinde tijdens een 'appathon' zijn gepresenteerd en doorontwikkeld, niet genoeg uitgewerkt. De AP kan daarom naar eigen zeggen niet beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.

Corona-apps te vaag in opzet

Doordat de kaders niet duidelijk genoeg zijn, zijn veel app-ontwikkelaars volgens de AP ook nog zoekende. Daardoor hebben zij hun plannen onvoldoende kunnen uitwerken, zowel op technisch als op juridisch vlak. De AP heeft van de ontwikkelaars te weinig informatie ontvangen om een goed beeld te krijgen van de opzet van hun apps.

De toezichthouder was - net als ICT- en privacy-experts - eerder al zeer kritisch over het toepassen van apps die kunnen bijdragen aan bron- en contactopsporing. De AP liet afgelopen vrijdag voorafgaande aan de appathon onder meer weten zich het recht voor te behouden om apps die het kabinet uiteindelijk wil inzetten, alsnog af te keuren. Zo ver is het dus niet eens gekomen. Het is nog niet bekend wat er nu gaat gebeuren met de apps. Het kabinet wilde dinsdag mede op basis van het AP-oordeel de volgende stap bepalen om de apps in te zetten.

Vrees voor problemen

"Heel Nederland wil graag weer naar buiten, stappen zetten richting de normale situatie", zegt AP-voorzitter Aleid Wolfsen. "Maar we moeten voorkomen dat we nu een oplossing inzetten waarvan onduidelijk is of die wel echt werkt, met het risico dat het vooral andere problemen oplevert. Of dat iemand die geen gebruik kan of wil maken van een app misschien de toegang wordt geweigerd tot werk, school of een supermarkt."

Het is dan ook nog maar de vraag of de corona-app er wel kan komen, stelt Wolfsen. "Natuurlijk zal de AP eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn."

Kaders app onduidelijk

In een toelichting stelt de AP dat de kaders die de overheid stelt voor de corona-app onduidelijk zijn. In het programma van eisen voor de app bleef een aantal fundamentele vragen onvoldoende beantwoord.

  • Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid?
  • Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.

Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacy-schendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kon de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen.

Belemmeringen voor ontwikkelaars

De onduidelijke kaders hebben ook de zeven app-ontwikkelaars belemmerd in wat zij aan informatie konden aanleveren, aldus de privacytoezichthouder. Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.

Daarnaast onderbouwen de ontwikkelaars van de corona-apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Bijvoorbeeld de inzet van bluetooth in een app die contact tussen mensen bijhoudt. Het gebruik van deze techniek kan betekenen dat er veel vals-positieven zijn. De onderbouwing van dit soort keuzes is nodig voordat de AP een oordeel kan vellen.