Overheid maakt haast met Corona-app, maar toont wel oog voor zorgen

Het ministerie van Volksgezondheid, Welzijn en Sport maakt haast met de ontwikkeling van de Corona-app. Over twee weken moet de app al beschikbaar zijn. De vraag is of ze daarmee geen kansen missen. De zorgen om privacy en andere belangrijke randvoorwaarden lijken gelukkig wel serieus te worden genomen.

Vorige week barstte na een persconferentie van minister de Jonge de discussie los over een contact-tracing-app tegen Corona. Een aantal partijen, waaronder NLdigital, publiceerde een lijst met randvoorwaarden waaraan zo’n app moet voldoen. Een dag later, op Goede Vrijdag, verraste het ministerie van VWS iedereen met het bekend maken van twee tenders voor het ontwikkelen van twee ‘Corona-apps’. De deadline is erg strak: vandaag om 12u, een dag na het Paasweekend, is de tender gesloten. Dat gaf potentiële inschrijvers ongeveer vier dagen om met een voorstel te komen. Het ministerie laat er geen gras over groeien: op 16 april wil men al een eerste keuze gemaakt hebben. Een minimal viable product dient op 18 april te worden opgeleverd terwijl dan per 28 april de app beschikbaar moet zijn voor gebruik. Ambitieus is hier een understatement. Ook omdat Google en Apple werken aan een methodiek om via low-power bluetooth dit type apps te ondersteunen. Ze verwachten de API hiervoor medio mei klaar te hebben, het is dus de vraag hoe realistisch 28 april is.

Snelle werkwijze sluit brede uitvraag uit

Door gebruik te maken van TenderNed dient elke inzender te beschikken over eHerkenning. Juist nu er een uitvraag is naar een nog te ontwikkelen product op basis van een nieuw protocol (bijvoorbeeld het genoemde PEPP-PT), is het jammer dat het ministerie kiest voor een werkwijze die consortia onmogelijk maakt. Mede gegeven de eis “Als er oplossingen worden aangeboden moeten deze reeds bestaan, uitontwikkeld zijn en werken in een productie omgeving” rijst de vraag welke partij(en) VWS hier al op het oog heeft. Het had meer in lijn gelegen dat VWS een eerste uitvraag naar design en architectuur had gedaan, die dan als basis zouden kunnen dienen voor een implementatie uitvraag. Die extra week geeft dan ook de mogelijkheid om van de API’s van Apple en Google gebruik te maken.

Voldoende aandacht voor privacy en gegevensbescherming

In de opdracht sorteert het ministerie van VWS al voor op stringente privacy en informatiebeveiligingseisen. Elke respondent dient deze duidelijk te omschrijven, zowel op technisch niveau alsmede op organisatorisch niveau. Het ministerie laat zien te begrijpen dat beide noodzakelijk zijn en staart zich gelukkig niet blind op het alleen voldoen aan technische protocollen. De Tweede Kamer heeft afgelopen woensdag met 149 stemmen de motie Jetten aangenomen. Daarin wordt gevraagd om een proportionele app, die conform de Avg werkt. VWS geeft aan dat de eisen met betrekking tot privacy en informatiebeveiliging van de gelegenheidscoalitie “Veilig tegen Corona” betrokken worden bij de uitgangspunten. Ook NLdigital heeft vorige week een vijftal voorwaarden geformuleerd waar elke bron- en contactopsporings app aan moet voldoen: voor iedereen, privacy gewaarborgd, doelbeperkt, decentrale opslag en openbare protocollen.

Punten van kritiek

We zien dat VWS de app in het Nederlands en Engels wil aanbieden. We missen in de uitvraag echter oplossingen die buiten de app omgaan. Aangezien zo’n 7% van de Nederlandse bevolking geen smartphone gebruikt, lijkt deze groep in de tender buiten de boot te vallen. Privacy blijkt een belangrijk thema in de tender: de gegevens mogen niet tot individuen herleidbaar zijn, deanonimisatie dient onmogelijk te zijn, locatiegedrag en sociale netwerken dienen door gebruik van de app niet in kaart te kunnen worden gebracht en de gebruiker moet toestemming geven voor delen of uitlezen. De doelbeperking blijkt alleen impliciet uit de stringente privacy voorwaarden, echter wordt aan de gebruiker wel de mogelijkheid gegeven om toestemming voor delen te geven. NLdigital had graag gezien dat de ‘of’ in “Gegevens mogen uitsluitend uitgelezen of gedeeld worden als er sprake is van a) contact- of brononderzoek als bedoeld in art. 6 Wpg of b) toestemming van de gebruiker” als een ‘en’ wordt gelezen. Decentrale opslag van data is in de tender niet als voorkeur opgegeven, en dat is volgens NLdigital een gemiste kans. Alhoewel er een voorwaarde is dat een gebruiker bepaalt of data gedeeld wordt, geeft centrale opslag wel de mogelijkheid om naderhand een dataset te gebruiken voor onderzoek of voor andere beleidsoverwegingen. Decentrale opslag maakt dat nagenoeg onmogelijk. Graag zien we dan ook dat de gekozen oplossing voorziet in decentrale opslag. Ook zegt de tender niets over de te gebruiken protocollen, anders dan een referentie aan PEPP-PT in de inleiding. De voorwaarde dat er rekening gehouden dient te worden met “de grensstreek” beperkt potentieel de mogelijkheid voor een Nederlandse oplossing die 100% scoort op de privacy-index indien de buurlanden een ander, minder privacybeschermend protocol gebruiken. Onze oproep om de app breed beschikbaar te maken ziet toe op buitenlandse appstores. Voor een smartphone is het geen issue om meerdere apps te draaien. NLdigital ziet internationale compatibiliteit als ‘nice to have’, geen voorwaarde. Al met al lijkt het dat VWS serieus is met betrekking tot het beschermen van de privacy en ook de andere randvoorwaarden lijken in lijn met de motie van de Tweede Kamer. Wat ons betreft mist het accent op decentrale opslag, ook sluit de huidige uitvraag het gedeelte van de bevolking zonder smartphone uit, de digital divide moet niet door het virus vergroot worden!


Deel via:

Het laatste nieuws

Denemarken neemt EU-voorzitterschap over en zet in op digitale weerbaarheid

NLdigital zet in dit artikel de digitale prioriteiten van het Deense voorzitterschap uiteen en deelt in een volgend artikel onze analyse. 
Politiek & wetgeving

Cyberbeveiligingswet (NIS2) naar Tweede Kamer verzonden, inwerkingtreding in 2026 

De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, is ingediend bij de Tweede Kamer. Door de val van het kabinet en het zomerreces is de oorspronkelijke planning voor inwerkingtreding in 2025 onhaalbaar geworden. De wet kan mogelijk pas in de eerste helft van 2026 in werking treden, afhankelijk van politieke ontwikkelingen en de behandeling in het parlement.
Cybersecurity

Val kabinet-Schoof zorgt voor onzekerheid over digitaliserings-beleid

De val van kabinet-Schoof en het vertrek van de PVV-bewindspersonen zorgen voor grote onzekerheid over het digitaliseringsbeleid. Voor NLdigital en haar leden staan belangrijke dossiers op het spel, zoals de Nederlandse Digitaliseringsstrategie, AI in de zorg, het Ondernemerspact en de implementatie van NIS2. De samenwerking met ministeries komt onder druk te staan, en het is onduidelijk welke trajecten kunnen doorgaan. NLdigital roept de politiek op om koers te houden en digitalisering niet stil te laten vallen in deze demissionaire fase. Leden worden via de website en netwerken op de hoogte gehouden.
Politiek & wetgeving

Samen maken we digitalisering toekomstbestendig en mens-gericht

Phaedra Kortekaas, Managing Director bij SAS en bestuurslid van NLdigital, zet zich in voor een mensgerichte en toekomstbestendige digitalisering van de overheid. Ze benadrukt het belang van data, AI en publiek-private samenwerking om maatschappelijke opgaven aan te pakken. Voor SAS is het lidmaatschap van NLdigital waardevol vanwege kennisdeling, beleidsbeïnvloeding en toegang tot een sterk netwerk binnen de digitale sector.
Samenwerken met de overheid

De NAVO-top in Den Haag: Een cybersecurity uitdaging voor heel Nederland 

DDoS-aanvallen, phishing-pogingen gericht op IT-beheerders en op openbaar vervoer apps. Het zijn de zaken die je normaal ook ziet, maar tijdens de NAVO-top alles tegelijk en in hogere volumes.
Cybersecurity