Na de appathon afgelopen weekend waarin ‘zeven appmakers live konden strijden tegen corona’, hebben ook diverse partijen de apps op verschillende punten moeten beoordelen. Die beoordelingen hebben allemaal een andere insteek, maar zijn unaniem in hun oordeel: we kunnen dit eigenlijk niet goed beoordelen. Wij zijn het daar mee eens.

Wat is nou het doel?

De Autoriteit Persoonsgegevens vraagt zich heel terecht af: "Wat wil het Ministerie van Volksgezondheid nu eigenlijk?" Wat is nu precies het doel? De AVG vereist dat het doel heel duidelijk en afgebakend wordt beschreven, maar daar is niet aan voldaan. Als op die vraag geen antwoord komtDe Autoriteit Persoonsgegevens is aan zet, kan ook niet beoordeeld worden of er zo min mogelijk gegevens verzameld worden, want wat noodzakelijk is hangt af van het doel. Ook is niet duidelijk op grond van welke wet de app ingezet mag worden, als daar al een wet voor bestaat. En de risico analyses (DPIA's) zijn voor zover aanwezig, weinig concreet. Kortom, de Autoriteit Persoonsgegevens kan er geen chocola van maken en stuurt het Ministerie terug naar de tekentafelLees het bericht van de AP. Als het nodig blijkt zal de Autoriteit Persoonsgegevens nogmaals beoordelen, maar alleen als de plannen beter uitgewerkt zijn.

Vernietigend oordeel

Wel concludeert de Landsadvocaat in haar rapport dat de apps niet voldoen aan de gestelde eisen en niet voldaan is aan de AVG. Zo blijkt dat een van de opties was om meldingen gericht te verzenden naar mogelijk besmette personen, maar het risico bestaat dan dat een besmet persoon toch wordt geïdentificeerd. Ook over de grondslag is de Landsadvocaat niet zo zeker: "Zekerheid op dit punt vergt nadere analyse en/of een nieuwe specifieke wettelijke grondslag.”

De KPMG heeft de apps op de informatiebeveiliging getestLees het rapport van KPMG en is ronduit vernietigend. Algemeen bekende beveiligingsmaatregelen ontbreken, gevoelige data wordt zonder versleuteling opgeslagen en wachtwoorden zijn ‘plaintext’ opgenomen in de code en dus leesbaar waardoor toegang tot gevoelige data kan worden verkregen.

Het overhaaste proces heeft precies geleid tot datgene waar we al bang voor waren: onzorgvuldigheid. Dit schreven we daar eerder over:

Hoorzitting en volgende stappen

Nu na honderden deskundigen, wetenschappers, politici, een toezichthouder, Landsadvocaat en audit-bureau zelfs de geheime diensten vraagtekens plaatsen bij het tempo en zorgvuldigheid van dit proces, lijkt het ons een uitgemaakte zaak: terug naar de tekentafel. We hopen dat het kabinet dit dinsdag op haar persconferentie zal beamen. Woensdag zijn we in ieder geval uitgenodigd voor de hoorzitting in de Tweede Kamer; wat ons betreft ligt de bal nu bij de politiek.