Het Rathenau Instituut is niet te spreken over de CoronaMelder, de app van de overheid in de strijd tegen het coronavirus die binnenkort verschijnt. Het adviesorgaan vraagt zich hardop af of de app niet een te zwaar middel is tegen het virus gezien zijn beperkte nauwkeurigheid. Ook denkt het instituut dat we onszelf te afhankelijk maken van Apple en Google. Tot slot vraagt de organisatie zich af of onze medische gegevens wel voldoende beschermd worden. Dat schrijft het Rathenau Instituut in een open brief aan de Tweede Kamer.
Sinds afgelopen februari waart het coronavirus rond in Nederland. Na een periode van strenge maatregelen en ‘intelligente lockdown’, viert het kabinet sinds juli de teugels. De regering doet er alles aan om een tweede golf te voorkomen.
Eén van de hulpmiddelen daarbij is de app CoronaMelder. Met de applicatie wil minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport twee dingen bereiken. Hij wil de GGD-afdelingen ondersteunen bij bron- en contactonderzoek en in een vroegtijdig stadium een beeld krijgen van een eventuele lokale of regionale opleving van het virus. “Met de app kunnen we sneller het virus in de kraag vatten en besmettingen voorkomen. Hoe meer mensen straks de app downloaden, hoe beter. De dijk die die tweede golf kan tegenhouden, dat zijn wij samen”, zo zei minister De Jonge afgelopen juli.
CoronaMelder wordt momenteel volop getest in de regio Twente en Rotterdom-Rijnmond. Ontwikkelaars, artsen, epidemiologen en veiligheidsexperts kijken daarbij naar de epidemiologische waarde, de technische werking en ervaringen van gebruikers. Het kabinet wil dat de app vanaf 1 september voor alle Nederlanders beschikbaar is.
Het Ratheneau Instituut volgt de ontwikkelingen van de Nederlandse corona-app al maanden op de voeten. De organisatie waarschuwde de regering en de Tweede Kamer in april om de app niet te zien als dé oplossing tegen de coronapandemie. Een eventuele introductie moest zorgvuldig verlopen en voldoende aandacht schenken aan alle relevante aspecten. Ook moest de overheid er alles aan doen om het vertrouwen van de burgers te winnen.
In zijn brief aan het parlement afgelopen juli schreef minister De Jonge dat de app een belangrijk hulpmiddel is tegen het coronavirus. Ook gaf hij meer details over de landelijke introductie van de app. Volgens het Rathenau Instituut roept de brief van de minister echter meer vragen op en blijft de informatievoorziening fragmentarisch. “De brief van de minister en de vele adviezen zijn puzzelstukjes van een onvolledige puzzel”, aldus het instituut. Zo is het nog altijd onduidelijk hoe de app bijdraagt vanuit de bestaande wetgeving en huidige bevoegdheden van de minister en GGD-afdelingen.
Een ander aspect waar volgens het Rathenau Instituut onduidelijkheid over bestaat, is hoe de corona-app zich verhoudt tot het Europees Verdrag voor de Rechten van de Mens (EVRM). Dit verdrag stelt duidelijke grenzen aan het recht van overheden om de privacy van burgers te schenden. Dit is geoorloofd op het moment dat de overheid daarmee de volksgezondheid beschermt. Het is de vraag of CoronaMelder daarvoor niet een te zwaar middel is. Volgens schattingen van experts heeft de corona-app een betrouwbaarheid van 70 tot 75 procent en bestaan er ‘onzorgvuldigheden in het meldingsproces’. Ook geeft het kabinet geen antwoord op de vraag wanneer de app niet meer proportioneel is en wanneer het gebruik ervan wordt stopgezet. Het kabinet moet dan ook vastleggen wanneer en onder welke voorwaarden de inzet van de app wordt beëindigd.
Ook vreest het Rathenau Instituut dat we te afhankelijk worden van Apple en Google nu het kabinet bekend heeft gemaakt om COVID-19 framework van de techbedrijven te gebruiken. Het gebrek aan transparantie speelt daarbij eveneens parten. “Google en Apple bieden nu geen volledig inzicht in de broncode van de door hen aangeboden API en het is onzeker of de deels geopenbaarde broncode wel dezelfde is als de code die in werkelijkheid op de telefoons van gebruikers staat. Onafhankelijke controle op veiligheidsaspecten en controle op oneigenlijke verwerking van persoonsgegevens zijn daardoor onmogelijk”, aldus het instituut.
Verder bepalen Apple en Google eenzijdig de voorwaarden voor het gebruik van het framework en staat het hen vrij om de gebruiksvoorwaarden van de API te wijzigen. In de ogen van het Rathenau Instituut worden de techbedrijven “bevoordeeld in hun concurrentiepositie” en is het onmogelijk vast te stellen of hun API een “Trojaans paard” is of niet.
Volgens het Rathenau Instituut kan het niet de bedoeling zijn dat private partijen als Apple en Google toegang krijgen tot medische of andere gevoelige gegevens. Worden burgers die de app installeren bijvoorbeeld voldoende beschermd door het medisch beroepsgeheim? “Het is nu onduidelijk hoe de app waarborgt dat het medisch beroepsgeheim wordt gerespecteerd en dat de gebruikers hierover worden geïnformeerd. In de tot nog toe verstrekte stukken is er nauwelijks aandacht uitgegaan naar deze aard van de gegevens en de daarbij geldende regels”, zo schrijft het instituut.
Het Rathenau Instituut heeft ook zijn bedenkingen bij de Data Privacy Impact Assessment (DPIA) die is uitgevoerd. Deze besteedt volgens haar alleen aandacht aan de privacyaspecten van de app en de data die daarin wordt verwerkt. Potentiële risico’s op profilering en stigmatisering worden buiten beschouwing gelaten. Anonimiseren van data betekent immers niet dat profilering onmogelijk is. “Ook als de data worden vernietigd of geanonimiseerd, kan persoonsgevoelige informatie blijven bestaan en kunnen (groepen) burgers hiervan nadeel of schade ondervinden”, schrijft de organisatie.
Tot slot vindt het Rathenau Instituut dat er voldoende aandacht moet zijn voor klachten, bezwaren en verhaalmogelijkheden voor burgers, ook als die niet voortvloeien uit de AVG.
Bekijk: Brief van het Rathenau Instituut aan het parlement
