AP: privacy corona-apps niet aangetoond
De AP vindt dat het ministerie de kaders voor de corona apps niet duidelijk genoeg heeft gesteld. Daardoor zijn de zeven app-voorstellen van afgelopen weekend ‘onvoldoende uitgewerkt’ om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.
De AP heeft op verzoek van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) de opzet van zeven apps die kunnen bijdragen aan bron- en contactopsporing zorgvuldig bekeken, maar kan deze dus niet beoordelen.
Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.
Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk.
Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.
Ook onderbouwen de ontwikkelaars van de apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Bijvoorbeeld de inzet van bluetooth in een app die contact tussen mensen bijhoudt.
Het gebruik van deze techniek kan betekenen dat er veel vals-positieven zijn. De onderbouwing van dit soort keuzes is nodig voordat de AP een oordeel kan vellen.
De AP heeft op verzoek van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) de opzet van zeven apps die kunnen bijdragen aan bron- en contactopsporing zorgvuldig bekeken, maar kan deze dus niet beoordelen.
Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.
Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk.
Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.
Ook onderbouwen de ontwikkelaars van de apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Bijvoorbeeld de inzet van bluetooth in een app die contact tussen mensen bijhoudt.
Het gebruik van deze techniek kan betekenen dat er veel vals-positieven zijn. De onderbouwing van dit soort keuzes is nodig voordat de AP een oordeel kan vellen.
Geen opmerkingen: