Appnificent7

Afgelopen weekend vond de appathon plaats voor de zeven geselecteerde partijen die een voorstel voor een corona-app hadden ingediend. De appathon was open voor publiek via het YouTube-kanaal van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Een unicum!

Even qua context: de achterliggende ratio is geweest dat, op verzoek van het Outbreak Management Team (OMT), een marktconsultatie is geopend door het ministerie van VWS, waarbij haast geboden was. De aankondiging op TenderNed van VWS vermeldt letterlijk het volgende: ‘het doel van deze uitnodiging is om voorstellen te krijgen voor: Slimme digitale oplossingen, zoals bijvoorbeeld apps, die kunnen bijdragen aan bron- en contactopsporing, waarbij stringente eisen worden gesteld aan onder meer snelle beschikbaarheid, privacy en informatiebeveiliging (…) Randvoorwaarden waaronder dergelijke digitale oplossingen kunnen worden ingezet (met betrekking tot techniek, inhoud, werking, implementatie, de privacy en informatieveiligheid)’.

Danny Mekić vergeleek de appathon afgelopen zaterdag bij het televisieprogramma Op1, met het songfestival. Als ik de publieke opinie op (sociale) media goed lees en interpreteer, is die opinie eerder één grote soap & fail. De kritiek was niet mals – namelijk dat een mislukt ICT-project van de overheid nog nooit zo snel aan het licht was gekomen – en ook de grappen waren niet van de lucht. Ook heeft een aantal van de door VWS gevraagde experts, zich publiekelijk van het project gedistantieerd.

Was het nu zo’n echt grote mislukking? Ik denk eerlijk gezegd van niet. Overigens is het ministerie van VWS, ook gedurende de appathon zelf, over deze consultatie open en duidelijk geweest: we zullen ongetwijfeld fouten maken. En, voeg ik daar aan toe, een fout is pas een fout als je er niet van leert. En nu komt ‘ie: VWS heeft dit weekeinde waanzinnig veel geleerd. Zowel procesmatig als op de inhoud.

Een paar voorbeelden. Er zijn binnen een paar dagen meer dan 750 voorstellen voor de corona-apps ingediend, waarvan VWS er uiteindelijk zeven heeft geselecteerd voor de appathon (vandaar mijn titel: appnificent7.) De zeven geselecteerden hebben een weekeinde lang hun voorstellen kunnen aanpassen en verbeteren, op basis van onder meer de feedback van diverse expertpanels, maar ook op basis van de publieke feedback. Zoek op Twitter bijvoorbeeld op de hashtag #appathon, en ‘eat your heart out’. Voorts heeft KPMG een technische audit op de zeven voorstellen uitgevoerd, heeft de landsadvocaat de privacyaspecten van de zeven apps onder de loep genomen en vandaag kwam ook nog eens het advies van de privacywaakhond – de Autoriteit Persoonsgegevens (AP) – over het algemene privacykader van zo’n corona-app.

Welnu, wat leert dit VWS allemaal? Wat mij betreft de (on)mogelijkheden van een app zelf, de publieke mening en dus wetenschap over waar VWS staat met publiek draagvlak. Maar ook de technische en juridische uitdagingen van zo’n app. Dat laatste allemaal binnen 72 uur, mind you.

Ik pak met name even de bevindingen van KPMG, de landsadvocaat (Pels Rijcken) en de AP eruit. KPMG komt met, mag ik wel zeggen, een vernietigend rapport. Sowieso heeft KPMG maar zes partijen onderzocht, omdat één van de partijen de benodigde informatie niet had verstrekt: ‘op basis van de validatie waarin geconstateerd is dat de benodigde informatie niet kon worden verstrekt, is besloten één van de leveranciers uit te sluiten van verder onderzoek’.

De belangrijkste bevindingen van KPMG luiden mijns inziens als volgt:

• Er zijn géén ‘secure coding’ principes toegepast, waardoor algemeen bekende en te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd: ‘hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden’.
• De apps maken gebruik van ‘hardcoded’ wachtwoorden die leesbaar zijn opgenomen in de leesbare broncode: ‘het is gebleken dat met deze wachtwoorden toegang kon worden verkregen tot databases’.
• De achterliggende infrastructuur (inclusief de API) kan veel al misbruikt worden zonder benodigde identificatie/authenticatie: ‘hierdoor kan veelvuldig toegang worden verkregen tot vertrouwelijke data en/of kan foutieve data worden opgevoerd’.

De landsadvocaat is ook niet echt enthousiast in zijn samenvatting van de privacy-analyse. De apps voldoen niet aan de Algemene verordening gegevensbescherming (AVG). Maar hij formuleert het wel wat milder en sluit niet uit dat er misschien wel aan de AVG kán worden voldaan: ‘wij hebben op basis van de beoordeelde stukken bij geen van de voorstellen (…) kunnen vaststellen dat wordt voldaan aan alle eisen van de AVG. Daarmee is echter niet gezegd dat niet alsnog aan de AVG kan worden voldaan. Dat vergt enerzijds een doorontwikkeling en anderzijds een meer gedetailleerde uitwerking van de voorstellen.’

Dit laatste punt is interessant, want hiermee lijkt de landsadvocaat aan te geven dat de AVG wel ruimte biedt voor corona-apps. De AP is hiervan nog duidelijk niet van overtuigd.

De AP komt eerst met een flinke vingerwijzing naar het ministerie van VWS, want concludeert geen onderzoek te hebben kúnnen uitvoeren:
‘de AP spreekt haar waardering uit voor het innovatief vermogen van app-ontwikkelaars waarvan de AP een voorstel heeft ontvangen. Tegelijkertijd constateert de AP dat de voorstellen qua opzet nog onvoldoende uitgekristalliseerd zijn. (…) Daarom komt de AP tot de volgende bevindingen: De AP kan geen oordeel geven over de opzet van de zeven ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De AP vindt dat het ministerie van VWS de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de zeven app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.’

De AP neemt vervolgens de vrijheid om VWS nog even op een belangrijk wettelijk aspect in de corona-appdiscussie te wijzen, namelijk of de inzet van een app wel voldoet aan de eisen van proportionaliteit en subsidiariteit en aldus of er wel een nóódzaak bestaat om een app in te zetten: ‘bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk.’ De AP wil duidelijk eerst nog overtuigd worden door VWS, is mijn conclusie.

Inmiddels is bekendgemaakt dat de veiligheidsdiensten VWS afgelopen donderdag een brief hebben gestuurd. De strekking: waar op te letten in verband met nationale veiligheid. De NOS bericht dat de veiligheidsdiensten vooral geërgerd zijn over het tempo. ‘Haastige spoed is zelden goed’, hebben de diensten geroepen, schat ik zo in.

Deze rapporten en analyses bieden voldoende stof tot nadenken voor VWS en er is nog flink wat werk aan de winkel. Mij is niet helemaal duidelijk of VWS morgen (dinsdag 21 april) al besluit over hoe het nu verder gaat, of eerst het Kamerdebat van woensdag (22 april) afwacht.

Ik geef wel al mijn voorspelling: “waar de appnificent7 vechten om een been, gaat Ocean8 ermee heen”. Ik vermoed dat VWS met de opgedane kennis uit deze marktconsultatie en appathon, de opdracht via een opening in de aanbestedingswetgeving onderhands gunt aan een andere speler. Ik heb al complottheorieën gelezen dat VWS reeds een kandidaat op het oog zou hebben en die bewust de wind uit de zeilen heeft willen houden. Als dat zo is, loopt de appnificent7 wel – nogal – anders af dan de film.

We gaan het vast snel zien en horen, want dat is pas écht geloven. Maar feit is en blijft dat vooral de appathon een uniek event is geweest en wat mij betreft mag een dergelijke publieke transparantie vaker door de overheid worden toegepast.

Menno Weij is partner bij BDO Legal