Ondanks de belofte om de corona-app pas uit te rollen als de privacy goed is geregeld, maakt de minister haast. Veel haast.
De minister van Volksgezondheid beloofde de corona-app alleen uit te rollen na een positief advies van de privacy-toezichthouder. Tien dagen geleden stuurde zij haar advies: negatief. Niet landelijk uitrollen dus. Dat deed de minister tot onze teleurstelling daarna alsnog.
Sinds maandag kan iedereen in Nederland hem downloaden: Coronamelder, de app die je moet waarschuwen als je recent bij iemand in de buurt bent geweest die achteraf besmet bleek te zijn. Een vijfde van de GGD’s ondersteunt de app ook nu al, in de rest van het land kan je hem alleen beperkt gebruiken. De minister wil dat op 1 september alle GGD’s er klaar voor zijn, zodat iedereen in Nederland de app volledig kan gebruiken. De code is af, de knopjes zijn ingetekend en de servers staan klaar. En ere wie ere toekomt: de ontwikkelaars hebben veel zaken ontzettend goed geregeld in de app. Er worden niet meer gegevens opgeslagen dan strikt nodig, de app lijkt breed toegankelijk en iedereen kan de werking van de app voor het grootste deel controleren. Maar daarmee zijn we er nog niet.
Ongefundeerde app
Samen met allerlei andere organisaties publiceerde Bits of Freedom meer dan vier maanden geleden tien uitgangspunten waar de app aan moet voldoen, als (als!) er al een app voor contactonderzoek moet komen. Uitgangspunten die de minister zou meenemen. Wie de stand van zaken nu langs de lat van Veilig Tegen Corona legt, kan alleen maar concluderen dat de minister de meer fundamentele punten stelselmatig genegeerd heeft. Zo is nog altijd niet duidelijk wanneer de app effectief geacht wordt. Dat is belangrijk, want als de app niet werkt, moet de app weer ongedaan gemaakt worden.
De minister heeft ook altijd herhaald dat het gebruik van de app nooit verplicht mag worden, niet door de overheid en niet door anderen. De enige manier om er voor te zorgen dat dat ook echt niet gebeurt, is een juridisch verbod. Op straffe van een serieuze boete. En met fatsoenlijke handhaving. In zo’n wet moet bovendien worden vastgelegd wat het doel is van de app. En dat de app en de daarmee verzamelde gegevens nooit voor iets anders gebruikt mogen worden, ook niet door de politie en geheime diensten. Wat ook in die wet thuishoort: afspraken over de ontmanteling van de app.
Misbruik van zo’n app is allesbehalve een theoretisch risico. Kijk maar naar die andere onuitgewerkte maatregel die de minister over de schutting gooide, de registratie van klanten. Volgens de minister ook een onmisbare maatregel voor het bron- en contactonderzoek. Toch bleek in Duitsland en België de politie de gegevens over bezoekers van restaurants te misbruiken voor opsporingsonderzoeken. En in Nederland zijn amper een week na introductie al voorbeelden bekend van barmannen die de contactgegevens misbruikten om vrouwen naderhand lastig te vallen en gasten die ongewild op mailinglists komen.
Advies dat je wist dat zou komen
En we zijn niet de enige met kritiek. Ook de Nederlandse privacy-toezichthouder, de Autoriteit Persoonsgegevens, is glashelder in haar recente negatieve advies. Ze zegt letterlijk: “de privacy van de gebruikers van de app is nog onvoldoende gewaarborgd”. De toezichthouder vindt dat de minister afspraken moet maken met Google en Apple over de software die zij leveren voor de inzet van de app, dat er een wet moet komen om de inzet van de app goed te regelen en dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn. En dat is pijnlijk, omdat de minister dit advies van mijlenver had kunnen zien aankomen. En extra pijnlijk, want de minister beloofde keer op keer dat de app niet geïntroduceerd zou worden zonder een positief advies van de Autoriteit Persoonsgegevens.
Saillant detail: de minister ontving dat advies al op 6 augustus, dat is dus bijna twee weken vóór de lancering van de app. En ook nog vóór het debat in de Tweede Kamer waarvoor de Kamerleden hun zomerreces onderbraken. Maar toch vond de minister het niet de moeite waard om het parlement te informeren over de het ronduit negatieve advies van de toezichthouder. Die timing is ook merkbaar in het moment van openbaar maken: nét te laat om goed meegenomen te worden in de grote nieuwsbulletins van het NOS Journaal en RTL Nieuws.
Nee, de minister hoopte zijn probleem op te lossen met een positiever advies in de vorm van een second opinion van de Landsadvocaat. Dat klinkt statig en belangrijk, maar dat is natuurlijk gewoon “de advocaat van de minister”. Die pleit uiteraard voor de minister: “Wij van WC Eend…” En als je er nog twee seconden langer over nadenkt, dan is het eigenlijk stuitend dat de minister zegt: we zijn het niets eens met de toezichthouder, we vragen onze advocaat wel even. Als bedrijven de Autoriteit Persoonsgegevens net zo serieus zouden nemen als de minister dan kunnen we de toezichthouder net zo goed opheffen.
Drie verbroken beloftes
Je kunt ons niet wijsmaken dat het wél mogelijk is om in een paar maanden tijd een fantastisch team van ontwikkelaars en onderzoekers bij elkaar te zetten en in zo’n korte tijd een app te bouwen die technisch goed in elkaar zit, maar níét ook tijdig een relatief simpel wetsvoorstel naar het parlement te sturen. Nu de minister gedwongen wordt om te doen wat iedereen al lang wist dat nodig was, heeft hij zonder twijfel enorm veel haast. Het wetsvoorstel waar hij nu mee moet komen, noemt hij een “spoedwet”, een wet die extra snel door het parlement “moet”. Want er is haast bij. Maar haastige spoed is zelden goed, ook bij wetgeving. Het is te hopen dat de Tweede Kamer zich nu niet laat opjagen, ter compensatie van het gepruts van de minister. We moeten dit virus de baas, en dat vraagt om zorgvuldig handelen.
De laatste weken hebben we ons behoorlijk op de vlakte gehouden, om de minister de rust en ruimte te geven een ander goed in te richten. Die kans heeft de minister nu overduidelijk verspeeld. De minister heeft keer op keer gezegd dat de bescherming van de privacy van gebruikers van de app bovenaan stond, dat de app niet geïntroduceerd zou worden zonder een positief advies van de Autoriteit Persoonsgegevens en dat de uitgangspunten van de Veilig tegen Corona-coalitie in het ontwerp betrokken zouden worden. De minister verbreekt dus in één klap drie beloftes. Deze landelijke uitrol moet ongedaan gemaakt worden en eerst alle missende randvoorwaarden op orde gebracht. Pas dan, met een wet en positief advies van de Autoriteit Persoonsgegevens onder de arm, kan de minister zeggen dat de app af is.
Rejo Zenger werkt als beleidsadviseur bij digitale burgerrechtenbeweging Bits of Freedom.
Deze blog is eerder verschenen op de website van Bits of Freedom en is vrijgegeven onder een CC BY-SA-licentie