Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

AP keurt corona-app terecht niet goed

 

Computable Expert

ir. Fred Hage
Director, VIRTUAL RELEASE. Expert van Computable voor het topic Digital Innovation.

Jacob Spoelstra ging hem vorige week nog niet gebruiken, de corona-app van de rijksoverheid. Nog vervelender voor het ministerie van Volksgezondheid is dat de Autoriteit Persoonsgegevens (AP) de app ook nog steeds niet veilig genoeg vindt op privacy-gebied. Terwijl hij toch helemaal volgens privacy-by-design-principes ontwikkeld is, volgens de makers en netjes van een dpia (data protection impact assessment) is voorzien. Hoe kan het dan toch weer misgaan?

Ze waren gewaarschuwd, de makers, zelfs door de Consumentenbond. Laten we eens met die dpia (data protection impact assessment), gegevensbeschermingseffectbeoordeling, volgens de AVG, beginnen. Want dat een stel ontwikkelaars en virologen en zelfs Brenno de Winter in hun enthousiasme om toch de langverwachte en al zo vaak afgewezen app nu eindelijk te mogen lanceren, iets essentieels op privacy-gebied over het hoofd zien, is goed voor te stellen. Maar dan zou toch de functionaris gegevensbescherming (FG) van de directie informatiebeleid/cio van VWS in het advies bij de dpia op dergelijke tekortkomingen wijzen en adviseren eerst verbeteringen aan te brengen. Dat lijkt niet het geval en van de 31 onderzochte privacy-gevoelige data-verwerkende onderdelen in de app, worden er maar twee met de inschatting 'na maatregelen medium risico' beoordeeld. De rest is laag of zelfs laag-laag.

De AP neemt bij de voorgestelde wijziging van de telecommunicatiewet één van de medium risico's ook al op de korrel in zijn advies, namelijk dat wetenschappers ook de gegevens krijgen. Daar proberen de ambtenaren van J&V het begrip openbare veiligheid op te rekken met volksgezondheid, terwijl de AVG volksgezondheid al apart als uitzonderingscategorie noemt. Maar dan valt het beoogde gebruik voor wetenschappelijk onderzoek er natuurlijk niet onder.

In dit geval beschrijft de dpia dat de uitgewisselde tokens (tek's) weliswaar goed versleuteld zijn, maar als ze langer dan vijftig jaar bewaard worden het onzeker is of de sleutels dan niet meer eenvoudig te kraken zullen zijn. Ach, theoretisch gevaar in een lab-omgeving en hoe privacy-gevoelig zijn die contactgegevens over vijftig jaar nu nog (als een groot deel van de gebruikers niet eens meer leeft)? Het andere medium risico bestaat volgens de dpia uit een nep-backend. Dan zou er ook een pki-overheidscertificaat vervalst moeten worden en als het soc van de Belastingdienst goed oplet is de kans laag. Maar mocht het succesvol gebeuren, dan is de impact, hier onder meer heel plastisch beschreven als 'ellende uithalen', nu eenmaal erg groot. Risico's die aanvaardbaar worden geacht, gezien het grote belang van de app.

Telemetriedata blijft struikelblok

"De telemetrie-data wordt versleuteld en daarmee geheel oncontroleerbaar door de gebruiker naar servers van diverse techgiganten gestuurd"

Maar waar blijkbaar ontwikkelaars, Brenno en de FG geen weet van hebben en de AP nu wel in de gaten begint te krijgen, is de informatie die Google of Apple ontvangt vanuit de app, via niet uit te schakelen onderdelen van het besturingssysteem. Dat is ook de belangrijkste reden waarom de AP op 17 augustus bekendmaakte dat de privacy rond de corona-app CoronaMelder nog onvoldoende gewaarborgd is. Deze telemetrie-data wordt versleuteld en daarmee geheel oncontroleerbaar door de gebruiker, want ook niet uit te zetten, naar servers van deze techgiganten gestuurd en die zijn daarmee verwerkingsverantwoordelijke instantie geworden volgens de AVG. Alleen lees je dat nergens als je akkoord gaat met de privacy-voorwaarden bij de app of in deze dpia. Je hebt ook geen mogelijkheid om ze in te zien, aan te passen of te verwijderen en je weet niet wat een Google of Apple er verder mee doet. In de dpia komt het woord telemetrie niet voor. Daar weten ze nog net te melden dat het nu eenmaal inherent is dat het ip-adres wordt doorgegeven dat je op dat moment van de mobiele provider hebt gekregen (en hij van de overheid moet bewaren) en je bij het RIVM meldt dat je positief getest bent voor een coronabesmetting. 

De rijksoverheid zou natuurlijk allang beter moeten weten en iedereen die een dpia uitvoert ook, zeker na de dpia's die de Privacy Company voor de overheid uitvoerde in 2018 en in 2019 . De toen geconstateerde problemen met de telemetrie zijn nog steeds maar deels opgelost voor Windows 10 en Office365, waar ik vorig jaar maar weer eens over schreef in Computable. Er vanuit gaan dat het bij Apple en Google beter gesteld is met voldoen aan de AVG, is wel erg naïef of duidt op zijn minst op een ernstige kenniskloof.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7044719). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij AP

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.