Sinds de app CoronaMelder afgelopen maandag werd gelanceerd, is deze inmiddels al ruim 400.000 keer gedownload. De app die gebruikt zal worden om het bron- en contactonderzoek van coronapatiënten aan te vullen zal mensen notificeren wanneer ze in de buurt zijn geweest van iemand die besmet is. Het belangrijkste idee achter de app is dat op deze manier meer mensen kunnen worden bereikt dan via regulier onderzoek. Toch zijn er bij de app nog wel een aantal kanttekeningen te plaatsen. Zo kwam de Autoriteit Persoonsgegevens deze week met de dringende waarschuwing dat de privacy rond CoronaMelder nog onvoldoende is gewaarborgd.
In het advies dat de AP uitbracht aan het ministerie stellen ze dat de minister afspraken zou moeten maken met Google en Apple over de software die zij leveren voor de inzet van de app. CoronaMelder is namelijk afhankelijk van andere technische onderdelen én wetgeving. De app staat niet op zichzelf, maar is onderdeel van een systeem. Volgens de AP zou de privacy binnen dat gehele systeem op orde moeten zijn. De grootste zorg gaat over het zogeheten Google Apple Exposure Notification framework,. Dit is de onderliggende software in mobiele besturingssystemen Android en iOS die het gebruik van CoronaMelder mogelijk maakt. Het is volgens de AP niet duidelijk of deze Amerikaanse techgiganten persoonsgegevens van gebruikers in handen krijgen en wat er met deze gegevens gebeurt. AP-voorzitter Aleid Wolfsen stelt dat het gaat om zeer gevoelige gegevens, van heel veel mensen. ‘Dus dat is zorgelijk. De overheid moet duidelijke afspraken maken met Google en Apple, voordat ze de app in gebruik neemt. En de AP moet kunnen controleren of dit goed geregeld is. Dat is nu niet het geval.’
Naast afspraken met Google en Apple zou er volgens de AP een wet moeten komen, omdat het hier gaat om een app met een omvangrijke en veelomvattende impact. In deze wet moet geregeld worden dat de minister van VWS de bevoegdheid krijgt de gegevens te verwerken, maar daarnaast zou de wet ook privacywaarborgen moeten bevatten. Zo zou erin moeten staan dat een gebruiker zelf mag bepalen of hij of zij de app wil gebruiken. Dat zou betekenen dat je bijvoorbeeld nergens geweigerd mag worden in de horeca als je de app niet op je telefoon hebt staan. Ook moet in de wet opgenomen worden dat een werkgever een werknemer niet mag verplichten de app te gebruiken. Tot Slot geeft de AP aan dat ook de ‘achterkant’ van de app goed beveiligd moet zijn. Hiermee doelt de AP op alle zaken die plaatsvinden op servers. Volgens Wolfsen is bijvoorbeeld nog niet bekend hoe de partij die de servers beheert de beveiliging geregeld heeft. ‘Het moet duidelijk zijn dat die beveiliging goed is. Pas dan kan de app ingezet worden’ aldus Wolfsen.
Toch kan er ook kritiek geuit worden op het advies dat de AP uitbrengt. Het advocatenkantoor Pels Rijcken heeft een juridische analyse losgelaten op het advies en komt tot de conclusie dat het advies niet zonder meer overtuigend is. Zo lijkt de AP in haar advies betrekkelijk weinig aandacht te hebben voor de buitengewone omstandigheden die aanleiding waren voor de ontwikkeling van de app. Daarnaast roept het standpunt van de AP dat toestemming geen passende verwerkingsgrondslag kan bieden bij Pels Rijcken de nodige vragen op, zeker in het licht van ontwikkelingen elders in de EU. Zowel de Europese Commissie als de EDPB hebben onderkend dat uitdrukkelijke toestemming wél een rechtsgeldige grondslag kan vormen voor de verwerking van bijzondere persoonsgegevens door middel van een notificatieapp. Ook hebben diverse andere EU-lidstaten, zoals Duitsland en Ierland, een notificatieapp ontwikkeld, waarbij de verwerking van eventuele bijzondere persoonsgegevens is gebaseerd op uitdrukkelijke toestemming van de gebruiker. Het is niet duidelijk waarom de situatie, in termen van de AVG, in Nederland zodanig afwijkt ten opzichte van deze andere laden. Over het advies van de AP met betrekking tot de verwerkingsrol van Apple en Google wordt nader toegelicht dat Google en Apple niet het doel en de middelen van de verwerking van de persoonsgegevens bepalen. Zij zijn dus geen verwerkingsverantwoordelijken, maar ze kwalificeren zichzelf evenmin als verwerkers. Pels Rijcken stelt dat het bekend is dat er bij het ontwerp van het Exposure Notification framework, voor is zorggedragen dat Apple en Google geen toegang kunnen krijgen tot de gegevens die betrekking hebben op de gebruikers van de app.
Er zijn dus nogal verschillende opvattingen over het privacy-aspect van deze app, die de komende periode nog tot voldoende discussie zal leiden. Bij De Functionaris zullen we de situatie en discussie omtrent CoronaMelder nauwlettend in de gaten houden. Mocht u in de tussentijd vragen hebben, of behoefte hebben aan advies omtrent uw privacy en de corona-app, neem dan contact met ons op.
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
