De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de zeven corona-apps die het ministerie van VWS heeft geselecteerd en vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de zeven app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens voldoende is gewaarborgd.
Aleid Wolfsen, voorzitter van de AP, benadrukt dat er veel onduidelijkheid is en dat het inzetten van een corona-app niet overhaast mag gebeuren. ‘We moeten voorkomen dat we nu een oplossing inzetten waarvan onduidelijk is of die wel echt werkt, met het risico dat het vooral andere problemen oplevert. Of dat iemand die geen gebruik kan of wil maken van een app misschien de toegang wordt geweigerd tot werk, school of een supermarkt.’
Kaders apps onduidelijk
De kaders die de overheid stelt voor de corona-app zijn onduidelijk. In het programma van eisen voor de app is volgens de AP een aantal fundamentele vragen onvoldoende beantwoord. Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Dit terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.
Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kon de proportionaliteit van de inzet van de corona-apps daardoor naar eigen zeggen niet beoordelen.
Technische en juridische onderbouwing ontbreekt
Doordat de kaders niet duidelijk genoeg zijn, zijn veel app-bouwers nog zoekende. Daardoor hebben zij hun plannen onvoldoende kunnen uitwerken, zowel op technisch als op juridisch vlak. De AP heeft van de app-bouwers te weinig informatie ontvangen om een goed beeld te krijgen van de opzet van hun apps. Zo leverden sommige app-bouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de app-bouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is. Daarnaast onderbouwen de ontwikkelaars van de apps in hun voorstellen niet of onvoldoende waarom ze een bepaalde techniek inzetten en wat de beperkingen van die techniek zijn. Bijvoorbeeld de inzet van bluetooth in een app die contact tussen mensen registreert. Het gebruik van deze techniek kan betekenen dat er veel vals-positieven zijn. De onderbouwing van dit soort keuzes is nodig voordat de AP een oordeel kan vellen.
Wolfsen benadrukt dat het nog maar de vraag is of die app er überhaupt kan komen. Hij voegt hieraan toe dat de autoriteit uiteraard eventuele voorstellen voor apps opnieuw zou beoordelen als de overheid hierom vraagt. Dit doet de organisatie overigens wel alleen onder de voorwaarde dat de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.
