Jacob Spoelstra ging hem vorige week nog niet gebruiken, de corona-app van de rijksoverheid. Nog vervelender voor het ministerie van Volksgezondheid is dat de Autoriteit Persoonsgegevens (AP) de app ook nog steeds niet veilig genoeg vindt op privacy-gebied. Terwijl hij toch helemaal volgens privacy-by-design-principes ontwikkeld is, volgens de makers en netjes van een dpia (data protection impact assessment) is voorzien. Hoe kan het dan toch weer misgaan?
Ze waren gewaarschuwd, de makers, zelfs door de Consumentenbond. Laten we eens met die dpia (data protection impact assessment), gegevensbeschermingseffectbeoordeling, volgens de AVG, beginnen. Want dat een stel ontwikkelaars en virologen en zelfs Brenno de Winter in hun enthousiasme om toch de langverwachte en al zo vaak afgewezen app nu eindelijk te mogen lanceren, iets essentieels op privacy-gebied over het hoofd zien, is goed voor te stellen. Maar dan zou toch de functionaris gegevensbescherming (FG) van de directie informatiebeleid/cio van VWS in het advies bij de dpia op dergelijke tekortkomingen wijzen en adviseren eerst verbeteringen aan te brengen. Dat lijkt niet het geval en van de 31 onderzochte privacy-gevoelige data-verwerkende onderdelen in de app, worden er maar twee met de inschatting ‘na maatregelen medium risico’ beoordeeld. De rest is laag of zelfs laag-laag.
De AP neemt bij de voorgestelde wijziging van de telecommunicatiewet één van de medium risico’s ook al op de korrel in zijn advies, namelijk dat wetenschappers ook de gegevens krijgen. Daar proberen de ambtenaren van J&V het begrip openbare veiligheid op te rekken met volksgezondheid, terwijl de AVG volksgezondheid al apart als uitzonderingscategorie noemt. Maar dan valt het beoogde gebruik voor wetenschappelijk onderzoek er natuurlijk niet onder.
In dit geval beschrijft de dpia dat de uitgewisselde tokens (tek’s) weliswaar goed versleuteld zijn, maar als ze langer dan vijftig jaar bewaard worden het onzeker is of de sleutels dan niet meer eenvoudig te kraken zullen zijn. Ach, theoretisch gevaar in een lab-omgeving en hoe privacy-gevoelig zijn die contactgegevens over vijftig jaar nu nog (als een groot deel van de gebruikers niet eens meer leeft)? Het andere medium risico bestaat volgens de dpia uit een nep-backend. Dan zou er ook een pki-overheidscertificaat vervalst moeten worden en als het soc van de Belastingdienst goed oplet is de kans laag. Maar mocht het succesvol gebeuren, dan is de impact, hier onder meer heel plastisch beschreven als ‘ellende uithalen’, nu eenmaal erg groot. Risico’s die aanvaardbaar worden geacht, gezien het grote belang van de app.
Telemetriedata blijft struikelblok
Maar waar blijkbaar ontwikkelaars, Brenno en de FG geen weet van hebben en de AP nu wel in de gaten begint te krijgen, is de informatie die Google of Apple ontvangt vanuit de app, via niet uit te schakelen onderdelen van het besturingssysteem. Dat is ook de belangrijkste reden waarom de AP op 17 augustus bekendmaakte dat de privacy rond de corona-app CoronaMelder nog onvoldoende gewaarborgd is. Deze telemetrie-data wordt versleuteld en daarmee geheel oncontroleerbaar door de gebruiker, want ook niet uit te zetten, naar servers van deze techgiganten gestuurd en die zijn daarmee verwerkingsverantwoordelijke instantie geworden volgens de AVG. Alleen lees je dat nergens als je akkoord gaat met de privacy-voorwaarden bij de app of in deze dpia. Je hebt ook geen mogelijkheid om ze in te zien, aan te passen of te verwijderen en je weet niet wat een Google of Apple er verder mee doet. In de dpia komt het woord telemetrie niet voor. Daar weten ze nog net te melden dat het nu eenmaal inherent is dat het ip-adres wordt doorgegeven dat je op dat moment van de mobiele provider hebt gekregen (en hij van de overheid moet bewaren) en je bij het RIVM meldt dat je positief getest bent voor een coronabesmetting.
De rijksoverheid zou natuurlijk allang beter moeten weten en iedereen die een dpia uitvoert ook, zeker na de dpia’s die de Privacy Company voor de overheid uitvoerde in 2018 en in 2019 . De toen geconstateerde problemen met de telemetrie zijn nog steeds maar deels opgelost voor Windows 10 en Office365, waar ik vorig jaar maar weer eens over schreef in Computable. Er vanuit gaan dat het bij Apple en Google beter gesteld is met voldoen aan de AVG, is wel erg naïef of duidt op zijn minst op een ernstige kenniskloof.
Hoeveel discussie is nog nodig voor begrepen wordt dat opnieuw vele milioenen in het zand gezet zijn.
Inmiddels mag duidelijk zijn: het werkt niet en privacy bij google/apple is een sprookje.
Belangrijke vraag lijkt mij: Wordt er door deze app door google en apple nu meer data verzameld dan zonder deze app?
Als er geen verschil is lijkt mij bovenstaande zorgen in het artikel overbodig.
@Corne
wat precies naar Apple/Google gaat is niet bekend. Dat deel van de App is niet open source.
Zeggen dat de corona-app misschien wel extra data verzamelt is een gevalletje FUD. Ik geloof het niet, Apple verdient niet aan jouw gegevens, Apple laat je met harde euro’s betalen, en Google heeft al 1001 manieren om jouw gegevens te krijgen, die gaan zich hier niet aan branden.
Als je kritiek hebt op de corona-app, zeg dan dat het beperkte invloed heeft op het voorkomen van besmettingen (maar dat het vinden van “een schuldige” misschien wel makkelijker wordt gemaakt), en dat de accu van je telefoon eerder leeg zal zijn.
@Frank
lees de internationale pers. Geloven doe je in de kerk.
Er is geen enkel hard bewijs dat er gegevens verzameld worden. Er is wel alles aan gedaan om die mogelijkheid zover mogelijk in te perken.
De auteur gelooft blijkbaar dat Apple/Google deze gegevens wel verzamelen, maar geloven doe je in de kerk.
Er wordt gesteld dat er ‘Persoonsgegevens’ worden gestuurd naar Apple en Google omdat er over een ‘verwerkingsverantwoordelijke instantie’ wordt gesproken. Dit is echter niet het geval, er worden geen persoonsgegevens uitgewisseld door de Coronamelder app. De AVG is alleen relevant als er persoonsgegevens worden verwerkt. Het hele project van Coronamelder is open source, te vinden op Github. Hier staat ook duidelijk beschreven dat er geen persoonsgegevens worden vastgelegd danwel door de app zelf, danwel door de backend. Ik vind dit artikel behoorlijk tendentieus. Computable is in mijn optiek een redelijk toonaangevend vakblad en verdient meer kwaliteit dan artikelen die niet goed beargumenteert zijn zoals deze.
De auteur stelt :
Deze telemetrie-data wordt versleuteld en daarmee geheel oncontroleerbaar door de gebruiker, want ook niet uit te zetten, naar servers van deze techgiganten gestuurd en die zijn daarmee verwerkingsverantwoordelijke instantie geworden volgens de AVG. Alleen lees je dat nergens als je akkoord gaat met de privacy-voorwaarden bij de app of in deze dpia. Je hebt ook geen mogelijkheid om ze in te zien, aan te passen of te verwijderen en je weet niet wat een Google of Apple er verder mee doet. In de dpia komt het woord telemetrie niet voor. Daar weten ze nog net te melden dat het nu eenmaal inherent is dat het ip-adres wordt doorgegeven dat je op dat moment van de mobiele provider hebt gekregen (en hij van de overheid moet bewaren) en je bij het RIVM meldt dat je positief getest bent voor een coronabesmetting.
Ik kan me goed voorstellen dat aan de hand van het berichtverkeer eigenschappen, zoals telemetrie data is af te leiden wat de app aan het doen is. Zeker als de code opensource is. Bijv een persoon met een IP adres, misschien SEI en wie weet wat nog wel meer dat een persoon kan identificeren. Misschien komt er wel extra verkeer en/of meer terugmeldingen van server als Corona gedetecteerd is.
Maar goed, dat heeft de auteur toch al uitgelegd. Juist bij BigData (bijv de app + de telemetrie data) is de samenhang niet altijd duidelijk. Geloof in wat je er technisch mee kunt en geloof of dat ook daadwerkelijk gebeurt.
Geloof in Overheid en ICT ? Ik voel Fear, Uncertainty and Doubt.
Een rugnummer zoals bijvoorbeeld een IMEI is ook een persoonsgegeven als deze onlosmakelijk aan de persoon verbonden kan worden, zeker als deze ook nog eens onlosmakelijk gekoppeld is aan een rekeningnummer. Verder is het algemeen bekend dat zowel Apple als Google zoveel mogelijk informatie verzamelen via hun platformen om mensen te profileren maar sommigen steken hiervoor willens en wetens hun kop in het zand. Eén ding is echter duidelijk, er is geen plicht om de app te installeren zoals dat veel adviezen uiteindelijk ook geen wet zijn.
Bedankt Oudlid, goed dat er nog mensen zijn die met beide voeten stevig op de grond staan en niet dromen over hun favoriete leveranciers.