Wat zijn de privacy aspecten van de nieuwe app CoronaMelder?
dr. Kees van Noortwijk | Erasmus School of Law | uit zijn zorgen

Zorgen over privacy bij introductie CoronaMelder

De Nederlandse overheid heeft de smartphone-app ‘CoronaMelder’ laten ontwikkelen en wil deze in de maand september 2020 voor heel Nederland gaan ‘uitrollen’. Er wordt op dit moment al mee getest in een aantal regio’s (Drenthe, Gelderland-Zuid, IJsselland, Noord- en Oost-Gelderland en Twente). De bedoeling van de app is dat deze bijhoudt bij wie iemand in de buurt is geweest. Wanneer die persoon later positief getest wordt op het coronavirus, ontvangen alle door de app geregistreerde contacten daar bericht van. Zij kunnen zich dan zelf laten testen. Op die manier draagt deze app bij aan het indammen van het coronavirus. Althans dat is de bedoeling.

Veel mensen twijfelen of ze deze app wel moeten installeren en gebruiken. Hun belangrijkste zorg betreft in de meeste gevallen hun privacy. Welke gegevens worden precies verzameld, en met wie worden die allemaal gedeeld? En voldoet dit aan de regels, met name die van de Algemene Verordening Gegevensbescherming (AVG)?

Hoe werkt de app CoronaMelder?

Dat is beslist geen geheim, sterker nog, de broncode van de app is voor iedereen in te zien (https://github.com/minvws). De app maakt gebruik van specifieke toevoegingen aan het besturingssysteem van de mobiele telefoon (IOS of Android), die dit voorjaar door Apple en Google – in niet vaak vertoonde nauwe samenwerking – zijn ontwikkeld. Deze toevoegingen staan bekend als het Exposure Notifications System (ENS). Het maakt gebruik van de in de telefoon aanwezige Bluetooth low-energy technologie, waarmee over korte afstand (meestal niet meer dan 10 meter) berichten kunnen worden uitgewisseld.

En hoe zit het met de ENS technologie die de app gebruikt?

  • De app zorgt ervoor dat ‘tracking messages’ worden verstuurd. Die berichten bevatten een unieke identificatiecode en toesteladres, beide versleuteld. Die code en het adres veranderen iedere 20 minuten, om het identificeren van één bepaald individu via willekeurige opgevangen berichten te bemoeilijken. De app bewaart de gebruikte ‘eigen’ ID’s en adressen.
  • Andere telefoons waarop ook de app actief is kunnen de tracking messages opvangen, wanneer ze dicht genoeg bij de zender in de buurt zijn. Opgevangen berichten worden 14 dagen bewaard.
  • Wanneer de gebruiker van de app positief getest wordt op het coronavirus, geeft hij of zij dat aan in de app. Die verstuurt dan (en alleen dan) alle in de laatste 14 dagen opgevangen tracking messages naar een centrale server, in dit geval een server ingericht en beheerd door het ministerie van VWS. Actieve CoronaMelder apps controleren een aantal keren per dag of op die centrale server één of meer van de ‘eigen’, bewaarde ID’s terug te vinden zijn. Wanneer dat het geval is, is de met corona besmette persoon in de buurt geweest.
  • Bij iedere tracking message worden enige ‘metadata’ (beschrijvende gegevens) bewaard, zoals de dag en tijd van ontvangst en de sterkte van het ontvangen signaal (maat voor de afstand tot de uitzendende app). Die gegevens worden meegewogen bij de berekening van de kans dat iemand daadwerkelijk besmet zou kunnen zijn, die de app uitvoert. Afhankelijk van de uitkomst van die berekening krijgt de eigenaar van de telefoon al dan niet de melding dat deze risico heeft gelopen op besmetting.

 

En nu de privacy

Is hier sprake van persoonsgegevens?

Persoonsgegevens zijn ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Op het eerste gezicht worden alleen willekeurige, door je telefoon gegenereerde gegevens verstuurd. Geen namen of adressen en ook geen locatiegegevens. Maar die gegevens kunnen in potentie, via het hierboven beschreven systeem, wel degelijk informatie over jou opleveren. Namelijk de informatie dat je bij een of meer met corona besmette personen in de buurt bent geweest. Die informatie wordt weliswaar alleen zichtbaar op je eigen telefoon, maar het is niet gezegd dat daar nooit iemand anders toegang toe zou kunnen hebben. Bijvoorbeeld wanneer de telefoon net gestolen is. De bewering dat via de app geen persoonsgegevens worden uitgewisseld is me dus wat te kort door de bocht.

Een ander punt van zorg, ook van de Autoriteit Persoonsgegevens (AP) is de onderliggende ENS technologie

Het ENS is ingebed is in het Android of IOS besturingssysteem van de telefoon. Dit besturingssysteem en andere op de telefoon geïnstalleerde apps communiceren met externe partijen en maken daarbij ook gebruik van gegevens waarmee de eigenaar kan worden geïdentificeerd, bijvoorbeeld diens naam of e-mail adres. Het is denkbaar dat dit ENS bepaalde gegevens (zoals de gegenereerde ID-codes) via deze software ‘doorsluist’ (bewust/bedoeld) of ‘lekt’ (onbedoeld) naar zo’n externe partij. Het is heel moeilijk om vast te stellen dat dit in het geheel niet gebeurt (of niet mogelijk is).

Hoe zit het met de verwerking van gegevens van de CoronaMelder op de server van de overheid?

Tenslotte is er nog de door de overheid ingerichte nationale server, waarmee de CoronaMelder apps communiceren. Die server verwerkt gegevens, en er valt zoals ik eerder aangaf veel voor te zeggen om die gegevens als persoonsgegevens te beschouwen. Dat betekent dat de verwerking moet voldoen aan de vereisten die de AVG stelt, er moet een geldige ‘verwerkingsgrond’ zijn (artikel 6 lid 1 AVG). De meest voor de hand liggende zou in dit geval zijn de grond genoemd in onderdeel e. van dat artikel: “de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”. Om de verwerking op die grond te kunnen baseren, is wetgeving nodig die het Ministerie van VWS de betreffende taak opdraagt.

 

Conclusie

Aan het gebruik van de CoronaMelder app en aan de gegevensverwerking die via die app plaatsvindt, zijn dus diverse privacyaspecten verbonden. Om die te kunnen beoordelen, is zorgvuldige bestudering van de functionaliteiten van deze software noodzakelijk. Het beschikbaar stellen van de broncode van app en serversoftware helpt daarbij, maar biedt helaas geen 100% zekerheid dat gegevens niet langs andere weg ‘gelekt’ kunnen worden.

CV

Dr. Kees van Noortwijk is Hoofddocent Recht en Technologie bij de Erasmus School of Law.  Daarnaast is hij als docent verbonden aan de opleiding Privacy & Compliance bij Erasmus Academie. 

Meer informatie

Wil je meer weten over de opleiding Privacy & Compliance?

Neem dan contact op met:

Miranda Smit

Adviseur Opleidingen

T: 0104088687

E: smit@erasmusacademie.nl