Al eerder blogden wij over de bestrijding van de toen nog te ontwikkelen corona app en de privacyrisico’s die daar mee samen kunnen gaan.
Inmiddels is de app onder de naam coronamelder ontwikkeld en heeft de Autoriteit Persoonsgegevens (AP) zijn advies hierover uitgebracht. In opdracht van het Ministerie van WVS onderzocht het security bureau Radically Open Security (ROS) de app ook. De conclusies zet ik hieronder op een rijtje.
Even nog kort de achtergrond. De corona app wordt ingezet in de strijd tegen Covid-19 en ondersteunt de G.G.D. bij het bron- en contactonderzoek. De app wisselt signalen uit met andere smartphones in de omgeving. Van die signalen wordt een logboek met codes opgebouwd. Als iemand besmet is dan vraagt de G.G.D. die persoon om de codes te uploaden. Degene die in de buurt zijn geweest ontvangen dan een melding in hun eigen app. De app zelf verzamelt geen namen, telefoonnummers of locatiegegevens. De Corona app kan privacyrisico’s geven.
Aanbevelingen AP
Door deze architectuur met codes biedt de app voldoende privacy waarborgen, dat concludeert ook de AP. Maar de Corona app geeft nog steeds privacyrisico’s. De zorg van de AP zit niet in de app zelf maar in het feit dat hij niet alleen staat maar onderdeel uit maakt van een systeem. Dat systeem bestaat uit onder meer de techniek van Google en Apple en de servers waar gegevens naartoe worden gestuurd. Het Google Apple Exposure Notification Framework is de software in de mobiele besturingssystemen van Android en IoS die de app mogelijk maakt. Het is niet duidelijk of gezondheidsgegevens in handen van Google en Apple komen en wat daar vervolgens mee gebeurt. Zeker tegen de achtergrond van het einde van het Privacy Shield, vraagt dit aandacht.
Daarnaast is de AP van mening dat de verwerking van de gegevens gezien de impact die dat kan hebben, een wettelijke grondslag moet hebben. De Minister van WVS moet daarbij de verwerkersverantwoordelijke worden. En de Wet moet ook privacy waarborgen bieden zoals het niet verplichten van werknemers om de app te gebruiken.
Bevindingen van Security Consultant ROS
Het Ministerie van VWS gaat blijkbaar ook niet over 1 nacht ijs en heeft het security bureau Radically Open Security gevraagd de app te onderzoeken op privacyrisico’s.
De opdracht bestond uit 2 delen:
- Onderzoek van de Dutch Crypto Framwork document, de basis voor de app
- Review van de code om te checken of de implementatie overeenkomt met het design.
Zij kwamen tot de volgende conclusies.
Wat betreft het eerste deel van de onderzoeksopdracht merkt ROS op dat het Dutch Crypto Framework is gebaseerd op de Google/Apple Exposure Notification (GAEN). De veiligheid van GAEN is volgens het buro nooit gecheckt of geaudit door een onafhankelijke partij. Deze bevinding sluit dus aan bij bij de zorg van de AP over de app.
Daarnaast ontdekte men dat de app een functie had die niet beschreven staat in het Dutch Crypto Framework. Medewerkers van de G.G.D. kunnen controleren of een besmet persoon die de app gedownload heeft, de app wel echt gebruikt om de contacten te waarschuwen. Dit zou kunnen betekenen dat een medewerker van de G.G.D. een besmet persoon kan dwingen alsnog de codes te downloaden. Deze mogelijkheid stond niet in het framework en strookt ook niet met de wens van het Ministerie van VWS dat de app volledig vrijwillig moet zijn.
Een door het Ministerie ingehuurde privacy deskundige geeft aan dat deze mogelijkheid in de testfase noodzakelijk was om te beoordelen of de app werkt. In de definitieve versie zal dit niet meer kunnen.
Conclusie: afwachten op de Eerste Kamer
De Tweede Kamer is ondanks het advies van de AP en de conclusies van ROS onlangs akkoord gegaan. De verwachting is dat de Eerste Kamer begin oktober het wetsvoorstel zal behandelen.
De app lijkt als de controle mogelijkheid in de definitieve versie verwijderd is geen bijzondere extra privacyrisico’s te bevatten. Het probleem zit hem in het feit dat onduidelijk is of en wat voor gegevens Google en Apple ontvangen