Onderzoekers van Radically Open Security (ROS) zijn op een privacyissue gestuit in de corona-app van het kabinet, CoronaMelder. In de huidige versie kunnen medewerkers van de GGD controleren of iemand die besmet is met het virus, de app gebruikt om dit door te geven aan mensen met wie hij onlangs in contact is geweest. Brenno de Winter, de privacy- en securitydeskundige die door het kabinet is ingehuurd om de technische aspecten van de app te regelen, is bekend met het euvel en zegt dat deze voor de landelijke lancering verholpen wordt.
Dat schrijft De Volkskrant. Het onderzoek is inmiddels gepubliceerd door de medewerkers van ROS.
Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport (VWS) is al maanden druk bezig om een corona-app te introduceren. Hiermee wil hij enerzijds contactmomenten van gebruikers vastleggen en hen waarschuwen als ze in contact zijn geweest met iemand die besmet is met het coronavirus. Anderzijds hoopt de minister het bron- en contactonderzoek dat door medewerkers van de GGD wordt uitgevoerd te vereenvoudigen.
Bezorgde burgers, maatschappelijke organisaties en politieke adviesorganen hebben de afgelopen maanden hun zorgen geuit over de app. Hun voornaamste kritiekpunt had te maken met de privacy van gebruikers: kon deze wel gewaarborgd worden? Minister De Jonge heeft van meet af aan gezegd dat als er ook maar enige twijfel bestaat over de waarborging van de privacy, de app niet gelanceerd wordt. Daarnaast moet het gebruik van de corona-app geheel vrijwillig zijn. Verder wil de bewindspersoon de app maandelijks evalueren en heeft hij een meldpunt ingesteld waar misbruik gemeld kan worden.
Minister De Jonge wilde CoronaMelder aanvankelijk op 1 september landelijk uitrollen. Deze deadline bleek niet realistisch. De app is al meer dan 1,2 miljoen keer gedownload, maar werkt momenteel alleen in delen van Overijssel, Drenthe en Gelderland. Naar verwachting behandelt de Eerste Kamer volgende week de wettelijke regeling die de lancering van de app bekrachtigd.
Eind augustus schreef minister De Jonge een brief aan de Tweede Kamer waarin hij zei dat CoronaMelder “geen hoge risico’s” bevat. Dat bleek uit externe onderzoeken van partijen die door het ministerie van VWS waren ingehuurd om eventuele privacy- en beveiligingsproblemen aan de kaak te stellen. Met deze toezegging stemde de Tweede Kamer in met de CoronaMelder-wet.
Radically Open Security (ROS) had zijn onderzoek afgerond voordat het parlement ermee instemde. Het rapport is echter daarna pas openbaar gemaakt. Daarin staat dat de corona-app een aantal ‘ernstige issues’ bevat.
De grootste zorg is een privacyprobleem. Uit onderzoek van ROS blijkt dat medewerkers van de GGD kunnen zien of iemand die besmet is met corona dit via CoronaMelder kenbaar heeft gemaakt. Mensen bij wie hij de afgelopen twee weken 15 minuten of langer op korte afstand (minder dan anderhalve meter) in aanraking is geweest, krijgen dan een waarschuwing daarvan. “Dit vermindert anonimiteit en kan misbruikt worden om gebruikers onder dwang te zetten”, zo schrijven de onderzoekers in hun rapport.
De door het ministerie van VWS ingehuurde privacy- en securityexpert Brenno de Winter is bekend met het probleem. Tegenover De Volkskrant zegt hij dat dit nodig was om CoronaMelder te testen. Voordat de corona-app landelijk wordt gelanceerd, wordt dit probleem verholpen, zo belooft hij. Tegenover NU.nl zegt De Winter dat de onderzoekers goed werk hebben geleverd door de kwestie aan te kaarten.
Dat het rapport van ROS dat het privacyprobleem aanstipt pas openbaar is gemaakt nadat de Tweede Kamer de corona-app-wet had goedgekeurd, is volgens De Winter geen opzet. Door ‘technische problemen’ belandde het rapport te laat op zijn bureau. Volgens de privacy- en securityexpert was de Tweede Kamer op de hoogte gesteld van het feit dat er nog onderzoeken werden uitgevoerd.
Dit nieuwsbericht is ook te vinden in het dossier Coronavirus