Nu de CoronaMelder-app op 1 september zeer waarschijnlijk zijn landelijke invoering beleeft, vindt minister Hugo de Jonge (Volksgezondheid) het tijd om door te pakken. Hoewel de bewindsman het niet eens is met de Autoriteit Persoonsgegevens (AP) over de noodzaak de app juridisch meer fundament te geven, komt er deze maand een spoedwet. Volgens De Jonge biedt de huidige Wet publieke gezondheid voldoende mogelijkheden. Ook de landsadvocaat is die mening toegedaan.
AP-voorzitter Aleid Wolfsen acht de inzet van de notificatie-app niet mogelijk zonder extra wettelijke grondslag. Dat komt de AP ook vanuit de commissie die de app heeft ontwikkeld, op harde kritiek te staan. Volgens Brenno de Winter, verantwoordelijk voor de privacy van de app, voldoet Nederland aan de Europese privacywetgeving. Hij stelt vast dat de AP de AVG anders hanteert dan elders in de EU.
Verder vindt Wolfsen dat de backend-server niet voldoet aan AVG-standaarden. Ook over deze kritiek is De Winter verbaasd. Volgens hem wist Wolfsen al wekenlang dat deze server bij KPN en het CIBG komt te draaien. Tijdens de veelvuldige contacten stelde Wolfsen hier nooit vragen over. De Winter voelt zich daarom overvallen door de kritiek. Overigens zou eerst de Belastingdienst de app gaan hosten, maar die organisatie heeft zich teruggetrokken.
Extra afspraken
Evenmin veel gehoor vindt Wolfsen voor zijn standpunt dat met Google en Apple eerst nog weer extra afspraken moeten worden gemaakt over het Google Apple Exposure Notification-raamwerk. Dat vormt de basis vormt voor uitwisseling van nabijheidsgegevens via de persoonlijke netwerktechnologie bluetooth low energy.
Wolfsen is bang dat Google-telemetrie (op afstand meten van bepaalde parameters) over het gebruik van dit raamwerk kan delen. Dit zou kunnen binnen Google Play Services. Het is niet mogelijk om die dienst uit te zetten. Daarom kan de verzameling van telemetrie niet worden gestopt. Google zou kunnen zien welke notificaties worden aangeklikt of genegeerd. Ook metadata over het type telefoon en de softwareversie kunnen volgens AP Google inzichten geven. Volgens De Winter hebben Google en Apple geen interesse in deze data. Beide bedrijven hebben dat ook aan de ontwikkelaars gezegd. Overigens is de app helemaal ontworpen vanuit de gedachte dat de privacy optimaal moet zijn.
Versnellen
In delen van Overijssel en Drenthe worden momenteel proeven gedaan met de app. De GGD ondersteunt daar de app, terwijl ook scholen en grote bedrijven zijn ingeschakeld om de verspreiding te versnellen. Elders in Nederland is de GGD niet betrokken. Technisch werkt de app al wel overal in het land.
Een app vanuit de overheid en Brenno de Winter is verantwoordelijk voor de privacy. Juist ja… niet dus.
Je tuigt (bestuurlijk) een toezichthoudende organisatie op die moet toetsen of de privacy wetgeving in acht wordt genomen en dan zet een minister samen met de landsadvocaat die organisatie buitenspel, alsof de slager zijn eigen vlees keurt. Verder is het heel naïef van Brenno om te stellen dat Google niet geïnteresseerd is in de data die ze verkrijgen want Google is dus een tracking & tracing organisatie die zijn verdienmodel heeft gebaseerd op de verkoop van gepersonaliseerde advertenties, een wolf in schaapskleren. De minister geeft in brief wel aan dat de CoronaMelder zeer beperkt persoonsgegevens bevat en verwerkt en dat deze gegevens slechts zeer beperkt herleidbaar tot personen zijn maar ik heb daar mijn bedenkingen over omdat gewoon niet bekend is wat Google verwerkt en opslaat.
Hugo de Jong ging al eerder onderuit op beloften over contactonderzoek door de GGD omdat er geen capaciteit was en het is dus niet ondenkelijk dat nieuwe app de druk op deze organisatie nog verder vergroot of de CoronaMelder doet uiteindelijk veel meer dan de minister zegt. In dat geval crasht lijsttrekker van CDA voordat die van de grond is gekomen door onjuist informeren van de tweedekamer. Nu is app natuurlijk niet verplicht en dus kan er heel handig gebruik gemaakt wordt van de ‘expliciete toestemming’ optie die de gebruikers geven als ze app gaan gebruiken. Maar waar ze toestemming voor geven is onduidelijk omdat er nog heel veel losse eindjes zijn, buiten alles staat namelijk nog altijd de vraag of de app gaat doen waarvoor deze bedoeld is.
Eens met @oudlid dat de opmerking “Volgens De Winter hebben Google en Apple geen interesse in deze data. Beide bedrijven hebben dat ook aan de ontwikkelaars gezegd” geen enkele garantie biedt of controleerbaar is. De kern van de GDPR en de AVG is dat er transparantie is over wat er aan privé-gegevens (privacy gevoelige, formeel) wordt opgeslagen door een verwerker van data, met wie hij ze deelt en dat je kunt aangeven wat er aangepast of verwijderd moet worden. En zolang telemetriedata versleuteld naar servers van de platformleveranciers gaat en er niet eens kan worden aangeven welke data dat zijn (laat staan gecontroleerd) en wat ermee gebeurt (uit concurrentie-oogpunt), kunnen Google en Apple wel roepen dat ze niet geïnteresseerd zijn, maar voldoen ze domweg niet aan de AVG en ook niet aan de bedoeling van de GDPR. “Helemaal ontworpen vanuit de gedachte dat de privacy optimaal moet zijn” moet een wel haalbaar alternatief voor “privacy by design” gaan worden voor de overheid waarbij het verzamelen van telemetriedata voor eigen gebruik door de platformleverancier helaas niet haalbaar blijkt voor een corona-app en daarom maar buiten beschouwing moet worden gelaten?
Toch een briljante zet van het Ministerie om de belangrijkste criticasters zoals Brenno op de loonlijst te zetten. En hoewel goed bedoeld was het niet zo slim van Brenno om die rol op zich te nemen. Hij kan trouwens nu beter een voorbeeld nemen aan Minister de Jonge: “x is bezorgd om a; dat is niet nodig; maar we stellen ze graag gerust en nemen de aanbeveling toch over”. In plaats van de app als zijn kindje met hand en tand te verdedigen.
Peter7,
Uiteraard is het vanuit het democratische principe nooit goed als ‘embedded’ journalisten de spreekbuis worden van een minister maar dit is al jaren de gebruikelijk modus operandi als we kijken naar de inzet van dit soort externe communicatiemedewerkers op de verschillende ministeries, zie overzicht:
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2019/03/01/fte-overzicht-directies-communicatie-rijksoverheid-2019/fte-overzicht_Directies_Communicatie_Rijksoverheid_2019.pdf
Gratis bier en geen vrijdagmiddag borrels meer zorgt ervoor dat de waarheid als eerste sneuvelt in de huidige communicatieoorlog die er gevoerd wordt.