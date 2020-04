‘Ik heb geconstateerd dat er een goede basis in kennis en vergevorderde oplossingen is om verder op te bouwen’, aldus De Jonge. ‘Daarom is het mijn inzet om snel te kunnen beschikken over een team met de juiste bouwers en ook met experts op het gebied van onder andere informatieveiligheid, privacy, grondrechten, nationale veiligheid en inclusie.’

Gisteren heeft het kabinet bekend gemaakt dat de meeste lockdown-maatregelen tot en met 19 mei blijven bestaan. Daarna zou een corona-app in staat moeten zijn om bij versoepeling van de maatregelen in kaart moeten brengen of en zo ja hoe coronabesmettingen zich verspreiden. 60 procent van de Nederlanders moet een tracking-app gaan gebruiken om dit onderdeel van het testbeleid van GGD’s te laten werken

De Jonge schrijft :’Mijn verwachting is dat over vier weken een goed vervolgbesluit zal kunnen nemen over of en hoe apps kunnen worden ingezet ter ondersteuning van bron- en contactonderzoek en op welke wijze deze dan eventueel kan worden geïntroduceerd.’

Veel kritiek op corona-app

Het is niet duidelijk of er een compleet nieuwe corona-app ontwikkeld wordt, of dat er gekeken wordt naar bestaande toepassingen. Uit een bijlage over het verloop van de selectie van de apps ter ondersteuning van contactonderzoek van de GGD, blijkt dat behalve de Autoriteit Persoonsgegevens ook de Landsadvocaat en het ingehuurde consultancybureau KPMG veel kritiek hadden op het selectieproces en de privacybestendigheid van de apps.

Ron Roozendaal, directeur informatiebeleid bij VWS, stelde gistermiddag tijdens een technische briefing aan de Tweede Kamer al dat de zeven corona-apps die afgelopen weekeinde getest zijn tijdens de appathon, niet voldeden aan eisen op gebieden zoals privacy en veiligheid. In één van de apps werd zelfs een datalek geconstateerd. Roozendaal liet de Kamerleden weten dat hij wel ‘diep onder de indruk’ was van het werk van de zeven partijen achter de apps.

Onderzoek KPMG, Landsadvocaat

Gedurende de appathon deed KPMG onderzoek naar 11 aspecten van de broncode van 6 van de 7 voorstellen. Eén aanbieder stelde pas na de appathon gereed te zijn voor de testen en was niet meegenomen. Ook voerde KPMG basale pentests (penetratietesten) op de zes voorstellen uit. De uitkomsten van deze tests op broncode en veiligheid gaven aan dat geen van de geanalyseerde apps op het moment van de analyse voldoende geschikt was om in gebruik te nemen.

Verder heeft de Landsadvocaat een privacy-analyse gemaakt van iedere voorgestelde app. De Landsadvocaat heeft op basis van de beoordeelde stukken bij geen van de voorstellen kunnen vaststellen dat ze volledig voldeden aan de geformuleerde uitgangspunten. Evenmin heeft de Landsadvocaat op basis van de stukken kunnen vaststellen dat werd voldaan aan alle eisen van de AVG.

Oordeel AP

De Autoriteit Persoonsgegevens (AP) had afgelopen maandag duidelijk gemaakt dat het zijn wettelijk verplichte oordeel over de apps niet kon vellen. Er was te weinig informatie en de kaders waar de apps aan moesten voldoen, waren te vaag. Daarmee leek het al onmogelijk dat de apps die waren overgebleven na een selectieproces van nog geen week nog gebruikt zouden worden.

Er kwam de afgelopen weken vanuit een aantal hoeken kritiek op het kabinetstraject. Al op 9 april kwam een gelegenheidscoalitie met een aantal noodzakelijke uitgangspunten waar een tracking-app aan dient te voldoen om schending van mensenrechten zoals het recht op privacy te voorkomen. ICT-brancheorganisatie NLdigital riep op tot het maken van een veilige en doelmatige app. Ook de bij de selectie van de apps betrokken experts

Verder kwam een groep Belgische deskundigen (ook België wil een tracking-app voor contact-onderzoek) met veel mitsen en maren. Een app kan leiden tot veel vals-positieve en vals-negatieve resultaten. Ook is het nog een open vraag of de app vrijwillig of verplicht zou moeten worden gesteld. Op een wat langere termijn zijn de implicaties groot. Mogelijk zouden bedrijven kunnen besluiten om personen te weigeren als medewerker of als klant, omdat ze de app niet hebben.