Jacob Spoelstra ging hem vorige week nog niet gebruiken, de corona-app van de rijksoverheid. Nog vervelender voor het ministerie van Volksgezondheid is dat de Autoriteit Persoonsgegevens (AP) de app ook nog steeds niet veilig genoeg vindt op privacy-gebied. Terwijl hij toch helemaal volgens privacy-by-design-principes ontwikkeld is, volgens de makers en netjes van een dpia (data protection impact assessment) is voorzien. Hoe kan het dan toch weer misgaan?
Ze waren gewaarschuwd, de makers, zelfs door de Consumentenbond. Laten we eens met die dpia (data protection impact assessment), gegevensbeschermingseffectbeoordeling, volgens de AVG, beginnen. Want dat een stel ontwikkelaars en virologen en zelfs Brenno de Winter in hun enthousiasme om toch de langverwachte en al zo vaak afgewezen app nu eindelijk te mogen lanceren, iets essentieels op privacy-gebied over het hoofd zien, is goed voor te stellen. Maar dan zou toch de functionaris gegevensbescherming (FG) van de directie informatiebeleid/cio van VWS in het advies bij de dpia op dergelijke tekortkomingen wijzen en adviseren eerst verbeteringen aan te brengen. Dat lijkt niet het geval en van de 31 onderzochte privacy-gevoelige data-verwerkende onderdelen in de app, worden er maar twee met de inschatting ‘na maatregelen medium risico’ beoordeeld. De rest is laag of zelfs laag-laag.
De AP neemt bij de voorgestelde wijziging van de telecommunicatiewet één van de medium risico’s ook al op de korrel in zijn advies, namelijk dat wetenschappers ook de gegevens krijgen. Daar proberen de ambtenaren van J&V het begrip openbare veiligheid op te rekken met volksgezondheid, terwijl de AVG volksgezondheid al apart als uitzonderingscategorie noemt. Maar dan valt het beoogde gebruik voor wetenschappelijk onderzoek er natuurlijk niet onder.
In dit geval beschrijft de dpia dat de uitgewisselde tokens (tek’s) weliswaar goed versleuteld zijn, maar als ze langer dan vijftig jaar bewaard worden het onzeker is of de sleutels dan niet meer eenvoudig te kraken zullen zijn. Ach, theoretisch gevaar in een lab-omgeving en hoe privacy-gevoelig zijn die contactgegevens over vijftig jaar nu nog (als een groot deel van de gebruikers niet eens meer leeft)? Het andere medium risico bestaat volgens de dpia uit een nep-backend. Dan zou er ook een pki-overheidscertificaat vervalst moeten worden en als het soc van de Belastingdienst goed oplet is de kans laag. Maar mocht het succesvol gebeuren, dan is de impact, hier onder meer heel plastisch beschreven als ‘ellende uithalen’, nu eenmaal erg groot. Risico’s die aanvaardbaar worden geacht, gezien het grote belang van de app.
Telemetriedata blijft struikelblok
Maar waar blijkbaar ontwikkelaars, Brenno en de FG geen weet van hebben en de AP nu wel in de gaten begint te krijgen, is de informatie die Google of Apple ontvangt vanuit de app, via niet uit te schakelen onderdelen van het besturingssysteem. Dat is ook de belangrijkste reden waarom de AP op 17 augustus bekendmaakte dat de privacy rond de corona-app CoronaMelder nog onvoldoende gewaarborgd is. Deze telemetrie-data wordt versleuteld en daarmee geheel oncontroleerbaar door de gebruiker, want ook niet uit te zetten, naar servers van deze techgiganten gestuurd en die zijn daarmee verwerkingsverantwoordelijke instantie geworden volgens de AVG. Alleen lees je dat nergens als je akkoord gaat met de privacy-voorwaarden bij de app of in deze dpia. Je hebt ook geen mogelijkheid om ze in te zien, aan te passen of te verwijderen en je weet niet wat een Google of Apple er verder mee doet. In de dpia komt het woord telemetrie niet voor. Daar weten ze nog net te melden dat het nu eenmaal inherent is dat het ip-adres wordt doorgegeven dat je op dat moment van de mobiele provider hebt gekregen (en hij van de overheid moet bewaren) en je bij het RIVM meldt dat je positief getest bent voor een coronabesmetting.
De rijksoverheid zou natuurlijk allang beter moeten weten en iedereen die een dpia uitvoert ook, zeker na de dpia’s die de Privacy Company voor de overheid uitvoerde in 2018 en in 2019 . De toen geconstateerde problemen met de telemetrie zijn nog steeds maar deels opgelost voor Windows 10 en Office365, waar ik vorig jaar maar weer eens over schreef in Computable. Er vanuit gaan dat het bij Apple en Google beter gesteld is met voldoen aan de AVG, is wel erg naïef of duidt op zijn minst op een ernstige kenniskloof.
@Hans: ik verwijs in het artikel naar de uitspraak van de Autoriteit Persoonsgegevens, daar kun je o.a. lezen: “De app is afhankelijk van andere technische onderdelen én wetgeving. ‘Daar zitten onze zorgen. Die app is niet alleen wat jij op je scherm ziet, maar ook de techniek van Google en Apple, en ook de servers waar je jouw gegevens heen stuurt. Die app is onderdeel van een systeem. Ook in die andere onderdelen van dat systeem moet de privacy op orde zijn, net zo goed als in de app zelf.’”
Vervolgens leg ik een link naar eerdere DPIA’s in opdracht van de overheid (J&V) waarin uitgelegd wordt waarom de manier waarop telemetriedata wordt verzameld door bedrijven met eigen closed source besturingssystemen, met name ook de mobiele OSsen (ja, ook Google) niet voldoet aan de AVG. Je kunt er o.a. iets over strikte doelbinding lezen (“Deze strikte doelbinding geldt zowel voor de inhoudelijke gegevens (Customer Data) als voor alle soorten diagnostische gegevens, inclusief de systeem-gegeneerde logboeken van gebeurtenissen op de eigen servers”) en iedereen die iets van de bedoeling van de AVG en GDPR snapt, snapt ook dat het versleuteld verzenden van data, of het nu metadata of content data is, zonder dat je verteld wordt wat het is en controleerbaar is, tegen de opzet en bedoeling van de vigerende privacywetgeving ingaat.
Ik begrijp niet dat hier nog een keer op wijzen door mij als tendentieus wordt beschouwd. De argumentatie komt van andere en naar ik aanneem net zoals Computable redelijk toonaangevend beschouwde instanties op hun gebied. De enige persoonlijke mening staat onderaan en de conclusie dat er onder het lezerspubliek van dit ICT-vakblad nog sprake is van een ernstige kenniskloof op het gebied van de AVG, wordt door je reactie bevestigd.
@Frank: ik heb geen kritiek op de app zelf en ben, net zoals de AP, erg blij dat er nu juist ook vanuit de overheid zoveel aandacht is voor privacy-by-design. De Nederlandse overheid kan het probleem met de telematrie-data ook niet in z’n eentje oplossen, dat kan alleen in EU/internationaal verband. Daarvoor zijn bedrijven als Facebook, Apple, Google en Microsoft (Amazon, Alibaba, Tencent, etc.) domweg te machtig, zeker als ze een gemeenschappelijk belang hebben bij het in stand houden van hun business model. De AP kan het niet explicieter naar buiten brengen en kan ook niet zomaar naar het Europese Hof stappen hiervoor, zo werkt dat niet, ook al wordt de instantie als “geheel onafhankelijk e waakhond” verkocht. Ook voor het ongeldig verklaren van het US-EU Privacy Shield, moest dat door een particuliere organisatie gebeuren, iedereen wist dat het niet klopte. Maar Google verwees er wel al die jaren naar om onderwijsinstellingen wijs te maken dat de educatieve versie van hun cloud-suite aan de GDPR zou voldoen.
Disclaimer: na het schrijven van het artikel heb ik de Corona-melder niet van mijn mobiel verwijderd!
@Fred
“nog sprake is van een ernstige kenniskloof op het gebied van de AVG”
Helaas is dat in de meeste europese landen het geval, Extreem is oostenrijk waar ik woon, de post verkoopt verzamelde gegevens over postbezorgingen (krijgt geen straf), de kamer van koophandel verzamelt ongelofelijke hoeveelheden data zoder dat dat een thema in de politiek is omdat de politiek een veel te grote invloed heeft binnen de kamer.
Jouw artikel toont dat nederland het zo slecht nog niet doet, dank voor je artikel.
Het artikel haalt een aantal zaken door elkaar. Ten eerste wordt in de zin dat de AP aanhaalt dat wetenschappers ook de data krijgen, gelinkt naar een oud advies uit mei van de AP. Dit advies ging over de inzet van anonieme telecomdata door het rivm. Dit advies heeft weinig met de app te maken.
Vervolgens gaat het artikel hier dieper op in door te stellen dat die wetenschappers (die dus niets met de app doen) over 50 jaar de data zouden kunnen ‘kraken’ omdat AES een sterkte heeft van 50 jaar. De TEK sleutels, die random worden gegenereerd hebben als enige encrypted eigenschap de uitzendsterkte van het Bluetooth signaal. Dus als je je telefoon 50 jaar bewaart, en hem met de techniek van dan kraakt, kun je zien dat mijn telefoon met 67db heeft uitgezonden. Ongetwijfeld nuttige info voor wetenschappers.
Mijn tip: pak allereerst het juiste AP advies bij het juiste project!
Het is zeer goed dat de AP (terecht) opmerkingen maakt over de juridische aspecten. Het rijk hoort goed met z’n bevolking om te gaan, respect hebben voor privacy en andere zaken die ertoe doen.
Voor het technische deel kan ik dit leesvoer aanbevelen:
https://www.macrumors.com/guide/exposure-notification/
Dit gaat over iOS, maar voor Android geldt hetzelfde. Vrijwel alles gebeurt op de telefoon (vastleggen contacten: kost opslag en accu), pas als iemand corona klachten heeft, en dat zelf aangeeft in de app, worden de contacten naar een centrale server gestuurd. De app controleert zelf geregeld of één van zijn identifiers in de contactenlijst van een coronapatiënt voorkomt. De link legt dit veel beter en uitgebreider uit.
Apple en Google beheren de App / Play store, en ze weten precies wie wanneer welke app op z’n telefoon zet. Maar daar houdt het op, er gaat geen info van de corona-app naar Apple of Google.
Apple en Google hebben een API (=toolset) gemaakt, maar geen app. Dat mogen de overheden doen. Die mogen ook de site hosten die gebruikt wordt voor corona-meldingen en -controles.
Is een corona-app de oplossing voor het corona-probleem? Nee, daarvoor moeten we immuun zijn, en dat gebeurt waarschijnlijk nadat er een vaccin is.
Zorgt de corona-app ervoor dat de accu van je telefoon eerder leeg is? Ja, BT staat actief te pollen naar apparatuur.
Is de corona-app iets waar we qua AVG bang voor moeten zijn? Nee, zie de link die ik eerder gaf. Suggesties dat Apple en Google en de CIA en … meekijken is FUD: ja, technisch is het natuurlijk mogelijk, maar dat dat gebeurt is geen bewijs voor. Dit soort FUD past in het straatje van groepen als Viruswaanzin en de 5G complotdenkers, dit hoort niet bij IT-ers die er op een intelligente manier over discussiëren.
Het installeren van de corona-app is (gelukkig) vrijblijvend. Prima dat je ‘m niet installeert vanwege je bedenkingen omtrent het nut of je accu, die het nu misschien net een dag uithoudt, maar laat je keuze niet afhangen van de datahonger van de grote IT bedrijven, dat is nergens voor nodig.
@Ivo: ik geef duidelijk aan dat het over een ander en eerder advies van de AP gaat, met de woorden “De AP neemt bij de voorgestelde wijziging van de telecommunicatiewet één van de medium risico’s ook al op de korrel”. Dat heeft niets met “door elkaar halen” te maken als een soort tekortkoming, dit betreft een aanvulling op een hele beknopte analyse van de DPIA van de CoronaMelder. Ik begin de volgende alinea dan ook met de woorden “In dit geval beschrijft de dpia..”. en daar herhaal ik wat deze dpia over het 50 jaar bewaren van de TEK’s zegt en het gebruik ervan door wetenschappers. De inschatting als risico is geen beoordeling door mij, maar eentje die in de DPIA van de CoronaMelder staat. Dat jij er anders over denkt is leuk om te horen, natuurlijk.
Als je de moeite neemt om het complete advies van de AP van 6 augustus (met kenmerk z2020-11824) wat betreft de CoronaMelder door te nemen, zul je zien dat paragraaf 4.4.2 als kop heeft “Telemetrie en Google Services op Android” en daar vind je o.a. de opmerking “Het Google Apple Exposure Notification framework is geïmplementeerd binnen Google Play Services. Het is niet mogelijk om Google Play Services uit te zetten. De enige manier waarop de verzameling van telemetrie stopt is door dit uit te schakelen voor Google Play Services. Het verzamelen van telemetrie staat nu standaard ingeschakeld” en dat de AP tevens vraagtekens plaatst bij het Exposure Notification Framework van Google&Apple;. “Dit ontwerp geeft Google mogelijk inzicht in het gebruik van de app in combinatie met het framework. Zoals welke notificaties worden aangeklikt of genegeerd, maar ook metadata over onder andere het type telefoon en softwareversie.”
Mijn artikel in dit ICT-vakblad richt zich met name op dit aspect, hoe er telemetriedata wordt verzameld, en spreekt verbazing uit dat er onder verantwoordelijkheid van een CIO van een ministerie een dpia wordt opgesteld waar het woord telemetrie niet in voorkomt, terwijl een zelf aangevraagd advies van de AP hier flink veel aandacht aan besteedt en het als een van de hoofdredenen geeft voor een negatief advies, naast juridische zaken. Die laatste zaken ga ik allemaal niet diep op in. Ook niet op wat andere techniek gerelateerde zaken waar de AP ook bezwaar tegen maakt, maar lagere prioriteit geeft in haar beoordeling. Zoals tegen het feit dat je met het toestemming geven voor het inschakelen van bluetooth meteen de complete locatiegegevens (inclusief het doorgeven ervan aan het Google platform) inschakelt, behalve voor de gelukkige bezitters van een Android 11 toestel. Maar dat heeft er allemaal niets mee te maken dat ik “een verkeerd AP advies ” zou hebben gebruikt.
Mijn tip: lees eerst zowel de DPIA als het advies van de AP over de CoronaMelder (en wat eerdere dpia’s en publicaties over hetzelfde onderwerp kan geen kwaad), voordat je reageert op dit artikel. Ik geef toe dat ik voor de duidelijkheid beter ook een link naar het advies van de AP “voorafgaande raadpleging COVID19 notificatie-app” had kunnen vermelden. Bij deze dan (maar je had ook even kunnen “googlen”): https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_voorafgaande_raadpleging_coronamelder-app.pdf
Ik ga ervan uit dat veel mensen (en kamerleden) zich beperken tot de begeleidende brief van de AP, vooruit dan: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_voorafgaande_raadpleging_coronamelder-app.pdf en daarin komt het woord telemetrie niet voor. Een kamerlid hoeft van mij niet te weten wat dat is, een lezer van Computable wel, als het over privacy gaat. Dat is de boodschap die de redactie van Computable er ook nog eens keurig uitgelicht heeft ook.
Ter info: Als eerste maatregel in de brief die voorgesteld wordt om rechtmatig verwerking van privacy-gevoelige data te gaan uitvoeren met de app, schrijft de AP aan minister de Jonge: “(Kop: Afspraken nodig met Google en Apple) De AP constateert dat deze verwerking technisch gebaseerd is op het Google Apple Exposure Notification framework dat is ingebed in de mobiele besturingssystemen Android en iOS. Er bestaat onduidelijkheid over onderdelen van het framework waardoor niet met zekerheid vastgesteld kan worden dat Google of Apple geen persoonsgegevens verwerkt. Er is geen overeenkomst tussen de verwerkingsverantwoordelijken en Google en Apple die helderheid geeft over alle onderdelen van het framework en zekerheid biedt over privacywaarborgen. De AP adviseert maatregelen te treffen om de verwerking rechtmatig te laten plaatsvinden en de persoonsgegevens van gebruikers te beschermen.”
Nou, nou, VWS heeft nog niet geantwoord op vragen over hoe veilig de Coronamelder app nu werkelijk is: https://www.agconnect.nl/artikel/coronamelder-lekt-toch-privacydata-door-misser-bij-google maar de AP had toch gelijk met haar zin “Er bestaat onduidelijkheid over onderdelen van het framework waardoor niet met zekerheid vastgesteld kan worden dat Google of Apple geen persoonsgegevens verwerkt. Er is geen overeenkomst tussen de verwerkingsverantwoordelijken en Google en Apple die helderheid geeft over alle onderdelen van het framework en zekerheid biedt over privacywaarborgen.”