AP: Privacy corona-app gebruikers nog onvoldoende gewaarborgd
De privacy rond corona-app CoronaMelder is nog onvoldoende gewaarborgd. De Autoriteit Persoonsgegevens (AP) adviseert het kabinet de app pas in te zetten als de adviezen zijn opgevolgd.
De AP vindt dat de minister afspraken moet maken met Google en Apple over de software die zij leveren voor de inzet van de app, dat er een wet moet komen om de inzet van de app goed te regelen en dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn.
De AP is wel positief over de ontwikkeling van de app op zichzelf. Die is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.
Maar de app staat niet op zichzelf. De app is afhankelijk van andere technische onderdelen én wetgeving. 'Daar zitten onze zorgen,' zegt voorzitter Aleid Wolfsen. 'Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.'
De grootste zorg van de AP gaat over het zogeheten Google Apple Exposure Notification framework, de onderliggende software in mobiele besturingssystemen Android en iOS die de Nederlandse corona-app mogelijk maakt. Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen.
De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval.
Gezien de omvangrijke en veelomvattende impact van een Corona-app, is een wet volgens de waakhond de meest logische basis. Die wet zou moeten regelen dat de minister van VWS de bevoegdheid krijgt deze gegevens te verwerken én zou ook privacywaarborgen moeten bevatten.
De AP vindt dat de minister afspraken moet maken met Google en Apple over de software die zij leveren voor de inzet van de app, dat er een wet moet komen om de inzet van de app goed te regelen en dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn.
De AP is wel positief over de ontwikkeling van de app op zichzelf. Die is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.
Maar de app staat niet op zichzelf. De app is afhankelijk van andere technische onderdelen én wetgeving. 'Daar zitten onze zorgen,' zegt voorzitter Aleid Wolfsen. 'Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.'
De grootste zorg van de AP gaat over het zogeheten Google Apple Exposure Notification framework, de onderliggende software in mobiele besturingssystemen Android en iOS die de Nederlandse corona-app mogelijk maakt. Het is voor de AP niet duidelijk of deze Amerikaanse techgiganten via de combinatie van het framework en het besturingssysteem gegevens van gebruikers in handen krijgen en wat daarmee gebeurt. En het gaat hier om gezondheidsgegevens, zeer gevoelige gegevens van heel veel mensen.
De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moeten kunnen controleren of dit goed geregeld is. Dat is nu niet het geval.
Gezien de omvangrijke en veelomvattende impact van een Corona-app, is een wet volgens de waakhond de meest logische basis. Die wet zou moeten regelen dat de minister van VWS de bevoegdheid krijgt deze gegevens te verwerken én zou ook privacywaarborgen moeten bevatten.
Geen opmerkingen: