De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de zeven ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De kaders zijn niet duidelijk genoeg gesteld, waardoor niet te beoordelen is of de bescherming van gevoelige gegevens voldoende is gewaarborgd.

De AP heeft op verzoek van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) de opzet van zeven apps die kunnen bijdragen aan bron- en contactopsporing zorgvuldig bekeken, maar kan deze dus niet beoordelen. “Heel Nederland wil graag weer naar buiten, stappen zetten richting de normale situatie”, zegt AP-voorzitter Aleid Wolfsen. “Maar we moeten voorkomen dat we nu een oplossing inzetten waarvan onduidelijk is of die wel echt werkt, met het risico dat het vooral andere problemen oplevert. Of dat iemand die geen gebruik kan of wil maken van een app misschien de toegang wordt geweigerd tot werk, school of een supermarkt.”

Kaders apps onduidelijk
De kaders die de overheid stelt voor de corona-app zijn onduidelijk. In het programma van eisen voor de app is een aantal fundamentele vragen onvoldoende beantwoord. Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.
Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kon de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen.

Te weinig informatie over apps
Doordat de kaders niet duidelijk genoeg zijn, zijn veel appbouwers nog zoekende. Daardoor hebben zij hun plannen onvoldoende kunnen uitwerken, zowel op technisch als op juridisch vlak. De AP heeft van de appbouwers te weinig informatie ontvangen om een goed beeld te krijgen van de opzet van hun apps.
Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.
Daarnaast onderbouwen de ontwikkelaars van de apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Bijvoorbeeld de inzet van bluetooth in een app die contact tussen mensen bijhoudt. Het gebruik van deze techniek kan betekenen dat er veel vals-positieven zijn. De onderbouwing van dit soort keuzes is nodig voordat de AP een oordeel kan vellen.
“Het is nog maar de vraag of die app er wel kan komen”, zegt Aleid Wolfsen. “Natuurlijk zal de AP eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.”