CoronaMelder voldoet aan eisen Veilig tegen Corona

Na de bekendmaking van het voornemen om tot een app te komen, is er door een groep mensen een manifest opgesteld om de basale rechten en vrijheden van mensen te borgen.1 Ik ben een van de ondertekenaars van dit manifest. In dit hoofdstuk toetsen we in hoeverre is voldaan aan alle punten en de in het naschrift van het manifest genoemde punten. Minister Hugo de Jonge heeft aangegeven te willen voldoen aan de uitgangspunten.

De introductie bij het manifest duidt de context:

De Nederlandse overheid onderzoekt het gebruik van een app waarmee jij inzicht zou moeten krijgen in of je in de buurt bent geweest van iemand die besmet is met het Covid-19-virus. Als de overheid al zo’n app inzet, dan moet deze voldoen aan de volgende uitgangspunten. Deze uitgangspunten zijn opgesteld door deskundigen op het gebied van informatietechnologie, computerbeveiliging, privacy en de bescherming van fundamentele grondrechten. Wij geloven dat deze uitgangspunten noodzakelijk zijn voor het beschermen van onze vrijheden en rechten, onze veiligheid en sociale cohesie. Als niet aan deze uitgangspunten wordt voldaan, hebben we geen vertrouwen in de app en zullen we ons tegen de implementatie ervan verzetten.

1ste uitgangspunt

Eén doel: het onder controle krijgen van het virus

De app en de gegevens die ermee worden verzameld, mogen alleen worden gebruikt voor het onder controle krijgen van het virus. Het gebruik moet gericht zijn op het vereenvoudigen van contactonderzoek, dus op het informeren en beschermen van individuen. Ander gebruik moet verboden zijn en voorkomen worden. De applicatie mag bijvoorbeeld niet gebruikt worden voor de handhaving van beleid, voor het bepalen of iemand in aanmerking komt voor een vergoeding van of toegang tot zorg of voor commerciële doeleinden.

De situatie bij lancering

Er is inderdaad sprake van een hulpmiddel dat is gebouwd om COVID-19 onder controle te krijgen. Dat blijkt uit de kamerbrief “Landelijke introductie ‘CoronaMelder’” van minister Hugo de Jonge van 16 juli 2020 met kenmerk: 1722926-208233-DICIO2. Hierin schrijft hij:

Doel van CoronaMelder

CoronaMelder is een aanvulling op de reguliere bron- en contactopsporing van de GGD om de verspreiding van het virus zoveel en zo snel mogelijk te helpen beteugelen. Met CoronaMelder kunnen meer contacten van een besmette persoon sneller bereikt worden en worden ook personen bereikt die besmette personen zich niet herinneren of die ze niet kennen. Denk hierbij bijvoorbeeld aan personen die bij een besmet persoon in het openbaar vervoer in de buurt hebben gezeten of bezoekers op het werk. Mocht iemand achteraf positief getest worden op het Coronavirus, dan kan de betreffende besmette persoon via de app dergelijke contacten anoniem waarschuwen. Deze contacten krijgen dan via de app een notificatie als zij gedurende 15 minuten of langer in de nabijheid zijn geweest en dus mogelijk een risico lopen ook besmet te zijn. Bij de melding via de app krijgen zij direct een handelingsadvies over de te nemen maatregelen.

Met CoronaMelder wordt beoogd een bijdrage te leveren aan het zo snel mogelijk informeren van burgers over hun risico op besmetting met het virus en daarmee aan het beheersen van de verspreiding van het virus. Elke vroegtijdig gevonden besmetting is winst omdat daarmee een mogelijke verspreidingsketen wordt verbroken. Ook bij een lage adoptiegraad is daarom al een effect te verwachten van het gebruik van de app. Dit neemt niet weg dat ik een zo hoog mogelijke adoptiegraad nastreef, want hoe meer mensen de app gebruiken hoe meer mogelijke ketens van besmetting verbroken kunnen worden.

Ook uit de technische werking van het systeem blijkt dit. Om mobiele waarschuwingen te laten genereren, moet een COVID19-slachtoffer actief de sleutels vrijgeven. Deze komen vervolgens pas beschikbaar nadat de GGD deze heeft vrijgegeven. Dit doet de GGD via het landelijke digitale registratiesysteem CoronIT dat speciaal is ontwikkeld voor het bestrijden van de COVID19-pandemie. De technologie en het hele stelsel waarin het is ingebed, zijn zo gemaakt dat het niet voor andere doeleinden kan worden ingezet, zonder forse aanpassingen.

Daarbij komt dat de wetgeving beperkingen oplegt, waardoor het doel ook niet mag veranderen. De verwerking valt onder de Algemene Verordening Gegevensbescherming3 (kortweg: AVG). Dat staat in artikel 5, eerste lid aanhef en onder b4. Er is sprake van doelbinding en het maken van een aanpassing in de doelen is niet toegestaan. De verplichte5 DPIA die is opgesteld, vermeldt dat het doel. Namelijk dat CoronaMelder alleen is bedoeld voor het bestrijden van de COVID-19 pandemie:

Doel van de voorgenomen gegevensverwerkingen is om in aanvulling op de bron- en contactopsporing van de GGD-en een app aan te bieden die gebruikers waarschuwt als zij risicovol contact hebben gehad met een op COVID-19 positief getest persoon. Hierdoor neemt de kans toe dat potentieel geïnfecteerde personen eerder in beeld komen en – daarmee – dat een exponentiële uitbraak van het virus sneller wordt afgeremd.

Alle gegevens die worden verwerkt zijn strikt noodzakelijk om het bovenstaande doel op betrouwbare en veilige wijze te verwezenlijken.

CoronaMelder maakt gebruik van de API van Apple en Google. Om dat te mogen doen, moet de overheid zich houden aan licentievoorwaarden. Zowel in de licentie van Apple6 als Google7 wordt nadrukkelijk gesteld dat er alleen gebruik van de API mag worden gemaakt voor de bestrijding van COVID-19 en voor geen enkel ander doel (ook niet opsporing). Beide bedrijven geven duidelijk het doel van de API aan8:

Google en Apple voelen de verantwoordelijkheid overheden en de wereldbevolking te helpen COVID-19 te bestrijden. Daarom hebben we samen het systeem voor blootstellingsmeldingen ontwikkeld.

Zowel de wetgeving als de technische inrichting maken duidelijk dat de app slechts één doel kan dienen, namelijk het bestrijden van de COVID-19 pandemie. De kans op function creep is niet waarschijnlijk.

2de uitgangspunt

Gebaseerd op wetenschappelijk inzicht en bewezen effectief

De inzet van de app en de daarmee verzamelde gegevens moet gebaseerd zijn op wetenschappelijke kennis en aantoonbaar bijdragen aan het onder controle krijgen van het virus. Het moet vooraf helder zijn welke factoren van belang zijn voor de effectiviteit van de app, zoals bijvoorbeeld het percentage van de bevolking dat de app moet gebruiken. De app is vooraf getest op een beperkte groep gebruikers, op basis waarvan aantoonbaar is dat deze applicatie noodzakelijk, effectief en proportioneel is.

De situatie bij lancering

Internationaal wordt breed gebruikgemaakt van apps die melden wanneer er sprake is van een verhoogd risico op een besmetting. Bij vorige pandemieën werden deze hulpmiddelen nog niet ingezet. Het gevolg is dat er nog weinig wetenschappelijk onderzoek heeft plaatsgevonden naar de effectiviteit van dergelijke apps. Duidelijk is dat dergelijk onderzoek tijd kost. Dat betekent niet dat er geen wetenschappelijk onderzoek is gedaan.

Het huidige wetenschappelijk inzicht is dat de inzet van dergelijke apps effectief is. Dat blijkt uit het onderzoek9 ‘COVID-19 incidence and R decreased on the Isle of Wight after the launch of the Test, Trace, Isolate programme’ van Michelle Kendall​​, Luke Milsom​​, Lucie Abeler-Dörner​​, Chris Wymant​, Luca Ferretti​​, Mark Briers​​, Chris Holmes​, David Bonsall​​, Johannes Abeler​​ en Christophe Fraser. Uit de paper10 blijkt dat de Britse app op de Isle of Wright in een testfase door 38 procent van de bevolking is geïnstalleerd. Daarna komt het reproductiegetal R0 op de Isle of Wright substantieel lager te liggen dan in de rest van Verenigd Koninkrijk waar de app minder in gebruik. De onderzoekers kunnen niet uitsluiten dat er mogelijk ook andere factoren invloed hebben gehad en wijzen erop dat er meer onderzoek nodig is.

Daarnaast moet worden opgemerkt dat de Britse app gebruikmaakte van een centraal model en te boek staat als minder privacy-vriendelijk. Inmiddels is van deze app afgestapt en wordt gewerkt aan een app die vergelijkbaar is met het systeem zoals dat in Nederland is ontwikkeld.

De COVID-19 notificatieapp verschilt per land, waardoor de lijn niet zomaar kan worden doorgetrokken naar andere landen. De uiteindelijke effectiviteit van de app hangt immers niet alleen van de software af, maar ook van het gedrag van mensen. Wanneer zij geen verantwoording nemen, zal de uiteindelijke effectiviteit tegenvallen. Effectiviteit hangt verder af van het aantal besmettingen. Tijdens een besmettingsgolf zal de app meer effectiviteit sorteren dan tijdens periodes met nauwelijks nieuwe COVID-19-besmettingsgevallen.

Naast dit onderzoek is er aansluiting gezocht met wetenschappers op divers gebied, zoals uit het volgende punt blijkt.

3de uitgangspunt

Bewezen betrouwbaar en vanuit expertise

De app wordt ontwikkeld op basis van de expertise en onder de supervisie van onafhankelijke deskundigen, zoals dat nu ook al gebeurt voor wat betreft de medische aspecten van de bestrijding van het virus. Naast deskundigheid is ook publieke verantwoording en transparantie van de oplossing noodzakelijk. Daarmee worden de betrokken partijen scherp gehouden op zowel de effectiviteit als op het beschermen van mensenrechten en democratische beginselen. Op geen enkel moment in de ontwikkeling en inzet van de applicatie mogen we afhankelijk zijn van één enkele partij of systeem. De broncode van de applicatie en de overige infrastructuur is openbaar onder een vrije software licentie, zodat iedereen de werking van het systeem kan controleren. Ook moet aandacht besteed worden aan de controleerbaarheid van de daadwerkelijk gebruikte applicatie.

De situatie bij lancering

Op het moment van lancering is vast te stellen dat aan deze voorwaarde ruimschoots is voldaan.

  1. Taskforce digitale ondersteuning bestrijding COVID-19, die vanuit wetenschap en praktijk adviseert. Deze taskforce bestaat uit;
    1. Dr. Sjaak de Gouw, Directeur Publieke Gezondheid Hollands Midden | GGD GHOR
    2. Dr. Mart Stein, Senior onderzoeker en coördinator onderzoek LCI, RIVM, CIb, LCI
    3. Prof. dr. Marc Bonten, Arts-microbioloog,UMC Utrecht
    4. Dr. Martin Bootsma, Wiskundige, universitair docent, UMC Utrecht, Universiteit Utrecht
    5. Dr. Nicole Dukers-Muijrers, Epidemioloog, universitair hoofddocent, GGD Zuid Limburg, Universiteit Maastricht
    6. Prof. dr. Lisette van Gemert-Pijnen, Professor of Persuasive Health Technology, Universiteit Twente
    7. Drs. Mariska Petrignani, Arts M&G, stafarts IZB en RAV, GGD Amsterdam
    8. Drs. Stijn Raven, Arts infectieziektebestrijding, GGD Regio Utrecht
    9. Dr. Jim van Steenbergen, Arts infectieziektebestrijding, epidemioloog
    10. Dr. Lex van Velsen, Clustermanager eHealth, Roessingh Research and Development
    11. Dr. Freke Zuure, programmaleider eHealth, NHG
    12. Dr. Albert Jan van Hoek, Senior onderzoeker modellering, RIVM, CIb, EPI
    13. Dr. Susan van den Hof, Hoofd Centrum voor Epidemiologie en Surveillance van Infectieziekten, RIVM, CIb, EPI
    14. Dr. Margreet ter Wierik, Arts M&G en senior onderzoeker, RIVM, CIb, LCI
    15. Dr. Ir. Albert Wong, Senior Statisticus en Coördinator Thema “Methoden voor Verzameling en Analyse van Data” binnen het Strategisch Programma RIVM, RIVM
  2. Taskforce Gedragswetenschappen. Deze taskforce kijkt vanuit gedragswetenschappelijke expertise naar de bijdrage die digitale ondersteuning kan leveren aan het beheersen en opvolgen van besmettingen met het coronavirus. De Taskforce kijkt naar voorstellen van de ontwikkelaars, maar kan ook los daarvan adviezen uitbrengen. Het doel van de adviezen is dat de acceptatie van de digitale hulpmiddelen wordt vergroot, er minder ongewenste effecten zijn en gewenst gedrag wordt vergroot. Deze taskforce bestaat uit:
    1. Prof. dr. Catherine Bolman, Open Universiteit
    2. Prof. dr. Wolfgang Ebbers, Erasmus Universiteit Rotterdam
    3. Prof. dr. Lisette van Gemert-Pijnen, Universiteit Twente
    4. Dr. Sander Hermsen, OnePlanet Research Center
    5. Dr. ir. Nynke van der Laan, Tilburg University
    6. Prof. dr. ir. Peter-Paul Verbeek, Universiteit Twente
  3. De Begeleidingscommissie heeft als opdracht om de minister van VWS te adviseren over digitale ondersteuning bij de bestrijding van COVID-19, onder andere op basis van voorstellen van de Taskforce digitale ondersteuning bestrijding COVID-19 en de Taskforce Gedragswetenschappen. Daarbij kijkt de Begeleidingscommissie naar de vraag in hoeverre een voorstel voor digitale ondersteuning bijdraagt aan de bestrijding van het COVID-19. En in hoeverre het voorstel voldoet aan de gestelde randvoorwaarden. Deze commissie bestaat uit:
    1. Prof. Dr. Carl Moons, UMC Utrecht
    2. Dr. Sjaak de Gouw, GGD Hollands Midden
    3. Prof. Dr. Lisette van Gemert-Pijnen, Universiteit Twente
    4. Prof. Dr. Peter Boncz, Centrum Wiskunde & Informatica (CWI) en Vrije Universiteit Amsterdam
    5. Danny Mekić, NewTeam
    6. Dr. Hester de Vries, Kennedy v/d Laan / Universiteit Utrecht
    7. Prof. Dr. Maartje Schermer, Erasmus MC
    8. Prof. Dr. Jan Kluytmans, Amphia Ziekenhuis / UMC Utrecht
    9. Prof. Dr. Bart Jacobs, Radboud Universiteit
    10. Anne-Miek Vroom, Stichting IKONE
    11. Elisabeth van der Steenhoven, Public Matters
    12. Bert Wijnen, voormalig Internet Engineering Task Force (IETF) participant
    13. Patricia Heijdenrijk, Pharo
    14. Prof. Dr. Janneke van de Wijgert, UMC Utrecht
    15. Prof. Dr. Erik Buskens, UMC Groningen
    16. Prof. Dr. Jochen Cals, Universiteit Maastricht
  4. Bij de ontwikkeling van de software, de technische omgeving, het organiseren van de privacybescherming en informatiebeveiliging.
  5. Advisering rond privacy. Naast de aangehaalde expertise is aan diverse externe partijen gevraagd om advies:
    1. Aan de Autoriteit Persoonsgegevens is gevraagd advies uit te brengen;
    2. Er is ondersteuning gevraagd aan de landsadvocaat, die onder meer door de Autoriteit Persoonsgegevens worden ingezet om hun ruime expertise.
    3. Er is een second opinion op de DPIA gevraagd aan Privacy Management Partners. Deze organisatie beschikt over expertise op het gebied van privacywetgeving en wordt eveneens door de Autoriteit Persoonsgegevens ingezet om hun expertise.
  6. Onderzoeken en borging van de informatiebeveiliging. Om de informatiebeveiliging zo goed mogelijk te borgen, zijn de onderzoeken uitgevoerd door zeer vooraanstaande spelers op het gebied van informatiebeveiliging:
    1. Voor het toetsen van de broncode op de server voert Radically Open Security een onderzoek uit.
    2. Voor het toetsen van de server-setup voert KPN Security een interne toets en een penetratietest uit. De rapportages hiervan zijn intern voor KPN.
    3. Voor het toetsen van de broncode van de app voert Secura een onderzoek uit.
    4. Voor het toetsen van de vrijgegeven broncode door Apple en Google voert Radically Open Security een onderzoek uit.
    5. Beveiligingsbedrijf Noordbeek voert onder leiding van professor Paans een assessment uit naar de serveromgeving en de installatie van de servers voor beveiligingscertificaten.

4de uitgangspunt

De inzet van de applicatie is per definitie tijdelijk

De app mag alleen worden gebruikt voor het bovengenoemde doel en voor een vooraf bepaalde termijn. Enkel en alleen indien aantoonbaar noodzakelijk is dat de app langer wordt gebruikt, kan deze termijn worden verlengd. Als de applicatie niet meer effectief of noodzakelijk is, wordt de uitrol teruggedraaid en wordt de data verwijderd. Dit kan ook indien er maatschappelijke onrust ontstaat, bijvoorbeeld omtrent veiligheid of mogelijk misbruik van de applicatie. Terugdraaien kan door de functionaliteit van de app ongedaan te maken en de geregistreerde gegevens te verwijderen.

De situatie bij lancering

De inzet van de app is tijdelijk. Dat vloeit voort uit het doel van het bestrijden van de COVID-19-pandemie. In dat antwoord is uitgebreid beschreven dat een ander doel niet is toegestaan op basis van de licentie van de API, de wetgeving (AVG) en voor zover de technische inrichting dat borgt.

De huidige inrichting maakt het mogelijk om de werking van de app tijdelijk (bijvoorbeeld bij weinig besmettingen) of definitief te stoppen. Zodra er geen sleutels beschikbaar komen, zullen er geen notificaties meer zijn.

5de uitgangspunt

Niet tot individuen herleidbaar

Het moet onmogelijk zijn om met de gegevens, die door de app worden verzameld, gebruikers te de-anonimiseren, ook niet als de gegevens worden gecombineerd met andere gegevens. Dit betekent dat het systeem niet gebouwd kan zijn op het gebruik van identificatienummers van hardware of andere identificerende gegevens, zoals het “Bluetooth Device Address”.

De situatie bij lancering

CoronaMelder is zo opgezet dat alle inspanningen erop zijn gericht om herleidbaarheid tot personen te voorkomen. Dit is hiervoor in de rapportage al uitvoerig beschreven. De belangrijkste punten waar dat uit blijkt:

  • Er wordt met dagelijks wisselende sleutels gewerkt, die door de API-laag wordt beheerd. De app kan daar slechts onder voorwaarden bij.
  • Tijdens de uitwisseling van RPIs tussen telefoons wordt niet het Bluetooth Device Address gebruikt, maar een wisselend adres.
  • Wanneer sleutels worden geüpload is zeker gesteld dat het IP-adres van de verzendende telefoon niet wordt bewaard.
  • Notificaties worden op de telefoon zelf gegenereerd, waardoor niet herleidbaar is wie er een melding heeft gehad. Na het wegdrukken van een melding op de telefoon is niet te achterhalen dat er ooit een melding is geweest.
  • Er worden geen gebruikersgegevens door de app bewaard of teruggestuurd. Er kan geen indirecte herleidbaarheid bestaan. Nederland is hierin strikter dan andere landen, waar nog wel aanvullende gegevens worden verwerkt of statistieken worden bijgehouden.
  • Er is een strikte rollenscheiding tussen beheerders van de app en beveiligers. Hierdoor kan er geen data worden gecombineerd voor het geval er toch een theoretische herleidbaarheid zou zijn.
  • Het hele DP-3T model11 dat onder de app ligt, is opgesteld om iedere vorm herleidbaarheid te voorkomen.
  • Als het netwerkverkeer wordt bewaakt dan zorgen dummy uploads ervoor dat niet is vast te stellen of verkeer een besmetting betekent of dat het gaat om dummyverkeer.

6de uitgangspunt

Zo min mogelijk gegevens worden gebruikt

De app slaat zo min en zo kort mogelijk gegevens op. Dat betekent bijvoorbeeld dat de app geen gegevens over iemands locatie vastlegt, maar slechts het identificerende nummer van andere gebruikers in de buurt. Ook is het niet nodig om het precieze tijdstip van zo’n ontmoeting te registreren. Om de gegevens op tijd te kunnen verwijderen is alleen een datum van registratie nodig, geen tijdstip.

De situatie bij lancering

Er is sprake van strikte dataminimalisatie. Locatie en tijdstip worden niet bijgehouden. Wel wordt de datum van registratie bijgehouden voor het tijdig verwijderen van de gegevens. Daarnaast is dat van belang voor het maken van een inschatting voor het al dan niet geven van een melding (ouderdom van het contact in relatie tot de duur en de afstand zeer dichtbij of iets verder weg). Waar het mogelijk is om binnen het DP-3T model te werken met meerdere risicoklassen, is uit oogpunt van privacy gekozen om hier slechts beperkt gebruik van te maken.

7de uitgangspunt

Geen centraal opgeslagen persoonsgegevens

Alle gegevens en processen worden in beginsel lokaal op iemands telefoon verwerkt. Dat betekent bijvoorbeeld dat het proces van de beoordeling of een gebruiker recent in contact is geweest met een besmet persoon, bij de gebruiker plaats moet vinden. Mocht het toch nodig zijn om gegevens te delen, bijvoorbeeld na het constateren van een besmetting, dan alleen na vrijwillige, expliciete en geïnformeerde toestemming van de gebruiker. De gegevens die wél de telefoon van de gebruiker verlaten, mogen op geen enkele wijze herleidbaar zijn tot die gebruiker.

De situatie bij lancering

Er worden geen persoonsgegevens centraal opgeslagen. Het model is decentraal opgezet. De gebruiker geeft toestemming voor het uploaden van sleutels naar de server toe. De sleutels op de server zijn voor de GGD niet inzichtelijk of toegankelijk. De code om de sleutels vrij te geven, stuurt de GGD naar de server. Als de code eenmaal is gebruikt dan wordt deze niet op de server bewaard. Het is niet mogelijk voor de GGD om vast te stellen of er daadwerkelijk een upload van sleutels is geweest. De gebruiker kan een code oplezen uit de app zonder ooit sleutels te uploaden.

8ste uitgangspunt

Veilig en bestand tegen misbruik

Het is belangrijk dat de vertrouwelijkheid en integriteit van gegevens beschermd worden. Dat kan door het gebruik van encryptie en andere beveiligingstechnologieën. Soms is meer nodig. Denk bijvoorbeeld aan een situatie waarin de app enkel bij de constatering van een besmetting een seintje geeft aan een andere gebruikers. Versleuteld of niet, uit de verzending van gegevens is al af te leiden dat de desbetreffende gebruiker mogelijk besmet is.

De situatie bij lancering

Zoals reeds uitgebreid in dit rapport beschreven wordt er niet alleen intensief gebruikgemaakt van cryptografie, maar is er tevens geïnvesteerd in het zo goed mogelijk borgen van de versleuteling. Er is sprake van dummyverkeer om herleidbaarheid op het netwerkverkeer te voorkomen. Er is kortom fors in vele maatregelen geïnvesteerd teneinde alle denkbare risico’s te minimaliseren.

9de uitgangspunt

Gebruikersvriendelijk en toegankelijk

De applicatie is zo gebouwd dat deze voor iedereen in Nederland die het wil, te gebruiken is. Daarom moet nagedacht zijn over mensen die, bijvoorbeeld, niet beschikken over een smartphone, de Nederlandse taal niet machtig zijn of vanwege een beperking speciale aanpassingen behoeven.

De situatie bij lancering

Bij de ontwikkeling van CoronaMelder is gedacht aan mensen met allerhande beperkingen. Zo is de toegankelijkheid onderzocht voor mensen met een visuele beperking, 60+’ers, mensen met een licht verstandelijke beperking of een motorische beperking. Daarnaast is er veel onderzoek gedaan naar gebruikersvriendelijkheid.12 Waar mogelijk zijn de aanbevelingen opgevolgd.

Voor hen die de Nederlandse taal niet machtig zijn, is er ondersteuning in negen andere talen. Dit kan in de toekomst desgewenst worden uitgebreiden.

Wie geen smartphone heeft, kan de app niet gebruiken. Deze beperking is in het kader van het ontwikkelen van een app ook niet op te lossen. Volgens recente cijfers van het CBS13 gebruikt 92 procent van alle Nederlanders van 12 jaar en ouder een smartphone.

10de uitgangspunt

Nooit onder dwang van overheden of derden

Het gebruik van de applicatie mag op geen enkele manier worden afgedwongen. Als blijkt dat de app nodig is, dan is het belangrijk dat een groot deel van de bevolking deze app gebruikt. Dat kan alleen als de fundamentele grondrechten van de gebruiker worden gerespecteerd. Dus óók de keuze om de app niet te installeren. De overheid mag het gebruik ook niet met bijvoorbeeld een financieel lokkertje stimuleren. De applicatie moet daarnaast tijdelijk uit te schakelen en permanent te verwijderen zijn. Aan het weigeren van het gebruik mogen geen negatieve consequenties verbonden zijn. Dat betekent dat ook andere partijen, zoals een luchtvaartmaatschappij, zorgverzekeraar of een restaurant, geen voorwaarden mogen stellen aan het gebruik van de app. In het bijzonder moet het gebruik door werkgevers jegens werknemers en door opleidingsinstanties jegens scholieren/studenten strikt verboden worden.

De situatie bij lancering

De eerder genoemde Taskforce gedragswetenschappen heeft tien kernwaarden opgesteld, waarvan vrijwilligheid bij het gebruik van de app de eerste is. Vrijwilligheid is iets wat in het beleid sterk wordt benadrukt. Dat blijkt bijvoorbeeld uit de kamerbrief “Landelijke introductie ‘CoronaMelder’” van minister Hugo de Jonge van 16 juli 2020 met kenmerk: 1722926-208233-DICIO14. Hierin schrijft hij bijvoorbeeld op pagina 6 dat vrijwilligheid nadruk in de campagne krijgt:

In de communicatiecampagne zal ook sterk de nadruk gelegd worden op vrijwilligheid van het gebruik van de app.

Verder schrijft hij rond de adoptie over vrijwilligheid:

Naast de massamediale publiekscampagne die ingezet gaat worden, wordt er gekeken welke organisaties kunnen helpen bij de adoptie van de app onder de Nederlandse bevolking. Op basis van bereik, bereidheid van vrijwillige adoptie en risico op virusverspreiding in de fysieke ruimtes van eventuele partnerorganisaties is een eerste selectie gemaakt van de te benaderen organisaties. Vanaf moment van introductie zal gestart worden met de partnerships. Hierbij blijft het benadrukken van vrijwilligheid uiteraard een voorwaarde waaraan ik niet zal tornen.

Op pagina 13 van diezelfde brief schrijft hij het parlement:

Het gebruik van de app is vrijwillig en de app is gratis. CoronaMelder kan ook altijd weer van de telefoon verwijderd worden.

Op pagina 14 benadrukt hij ook dat het doorgeven van de sleutels na het positief testen op Corona ook vrijwillig is:

Als iemand positief getest is op het Coronavirus, zal deze persoon door de GGD gevraagd worden of de CoronaMelder is geïnstalleerd. Als dat het geval is, kan men dit vrijwillig en met hulp van de GGD medewerker melden in CoronaMelder.

Op pagina 17 van de brief benadrukt hij dat nogmaals:

Tot slot is van belang dat het gebruik van CoronaMelder, net als de deelname aan de analoge bron- en contactopsporing, uitsluitend plaatsvindt op basis van vrijwilligheid.

Op alle mogelijk manieren wordt duidelijk gemaakt dat er geen verplichting kan, mag en moet zijn. Op het moment van schrijven ligt er wetgeving voor die een verplichting tot gebruik van de app strafbaar stelt en waarbij ook over concrete handhaving is nagedacht. Mocht deze wetgeving worden goedgekeurd dan kan een overtreding van het verbod leiden tot een boete van 8.000 euro of tot zes maanden cel.

Aanvullende punten aan het einde van het manifest

Kortom, contact-apps moeten tijdelijk, transparant, volledig anoniem, vrijwillig en gebruiksvriendelijk zijn, zonder commerciële bijbedoelingen, en moeten onder regie staan van onafhankelijke deskundigen. De gelegenheidscoalitie roept de minister op om aan deze eisen gehoor te geven. De bestrijding van het coronavirus mag niet tot afkalving van onze privacy en fundamentele rechten leiden. Als het systeem dat nu ontwikkeld wordt niet aan deze eisen voldoet, zal deze coalitie zich met hand en tand tegen de implementatie ervan verzetten.

De situatie bij lancering

  • De inzet van de app is tijdelijk. Er zijn voorzieningen getroffen om de werking te kunnen opschorten als de uitbraak is geremd of de werking van de app in zijn geheel te stoppen.
  • Aan de transparantieverplichting wordt voldaan door waar mogelijk ontwerp, broncode, documentatie beschikbaar te maken en waar dit niet mogelijk is dit door basis van een audit inzichtelijk te maken.
  • Zoals eerder uitgelegd in het rapport is het gebruik juridisch gezien pseudoniem, maar door alle maatregelen in de praktijk anoniem. De beperkingen worden opgelegd door de fysieke beperkingen van internettechnologieën. Het is moeilijk voorstelbaar om extra stappen te zetten die nog kunnen bijdragen aan verdergaande anonimiteit.
  • Aan de verplichting tot vrijwilligheid wordt – zoals hiervoor uitgelegd – voldaan.
  • Uit de onderzoeken met betrekking tot het gebruik blijkt dat CoronaMelder inderdaad gebruikersvriendelijk is.
  • Er zijn geen commerciële bijbedoelingen. Doordat de Minister zelf de app vrijgeeft, zijn er geen andere doelen dan het bestrijden van de verspreiding van het COVID-19 virus.
  • Zoals hiervoor duidelijk is geworden is breed ingezet op regie vanuit onafhankelijke experts. Zo zitten deze niet alleen in sleutelposities in het project, maar ook in de begeleidingscommissie en het College voor de Rechten van de Mens.

Invloed op fundamentele rechten

Onderliggend aan het manifest staan – zoals in het manifest sterk wordt benadrukt – de privacy en fundamentele rechten centraal (De bestrijding van het coronavirus mag niet tot afkalving van onze privacy en fundamentele rechten leiden). Het uitgangspunt hiervoor is het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden15 (kortweg: het EVRM). Uiteraard is de privacy (Recht op eerbiediging van privé-, familie- en gezinsleven– artikel 8) zelf een fundamenteel recht. Dat privacy vorm krijgt op zowel het punt van privacy-recht als daadwerkelijke privacy is in dit rapport al beschreven.

Daarnaast zijn er andere fundamentele rechten, die gezamenlijk een basis geven op een recht op bescherming van de gezondheid. Het College voor de Rechten van de Mens wijst hiervoor16 naast diverse artikelen van het EVRM ook op het Internationaal Verdrag inzake economische, sociale en culturele rechten17 (kortweg: IVESCR). Artikel 12, tweede lid aanhef en onder c18 verplicht de Staat der Nederlanden om uitbraken, zoals COVID-19 te bestrijden. Overigens maakt het verdrag heel duidelijk dat IVESCR niet misbruikt mag worden om andere fundamentele rechten uit andere internationale verdragen in te beperken. Van een dergelijke inperking is geen sprake bij vrijwilligheid.

Nadrukkelijker vloeit een plicht om maatregelen te nemen voort uit artikel 11, aanhef en derde lid19 van het herzien Europees Sociaal Handvest20. Of hieruit meteen ook voortvloeit dat het aanbieden van de app hiertoe behoort, zal waarschijnlijk pas na procederen zeker zijn. Maar dat er een druk is om mensen een kans te bieden een waarschuwing te krijgen bij een verhoogd risico op besmetting met COVID-19 mag duidelijk zijn. CoronaMelder zou dan gelden als een zogenaamde ‘non pharmaceutical intervention’. Zeker als er meer wetenschappelijk bewijs komt dat er enige mate van effectiviteit blijkt te zijn. Hier is evident sprake van een spanning. Juist de vrijwillige benadering op een privacy-vriendelijke manier kleurt dit in ieder geval goed in.

Conclusie

Aan alle punten van het manifest wordt door CoronaMelder voldaan. Waar mogelijk is privacy het centrale uitgangspunt geweest. Op geen enkel punt is ingegrepen op de fundamentele rechten van de burger. Er is geen sprake van het zoeken van een balans tussen verschillende fundamentele rechten of het inperken van een fundamenteel recht. De Minister heeft waar mogelijk gekozen voor het borgen van de betrokken rechten met als uitgangspunt dat de privacy voorop moet staan. Het gevolg is dat CoronaMelder, vergeleken met andere landen die werken met een soortgelijk systeem, een hoger niveau van privacybescherming biedt. Het nadeel van die aanpak is dat het lastiger is statistieken van gebruik te verkrijgen, wat bijsturing moeilijker maakt.

Het enige punt waar niet optimaal aan kan worden voldaan is dat van wetenschappelijk bewijs van effectiviteit. De enige, op het moment van schrijven bekende wetenschappelijke studie21 van 14 juli 2020, suggereert dat het gebruik van dit soort apps daadwerkelijk een invloed heeft op het verspreiden van COVID-19 en de veel besproken R0. Er blijft sprake van een kip-ei-probleem, omdat nog nooit eerder bij een pandemie dergelijke tools zijn ingezet. Zonder het inzetten van de tool zal de effectiviteit nooit meetbaar worden en het niet inzetten van een tool kan de fundamentele rechten van mensen schenden. Het is moeilijk voor te stellen hoe er beter aan de eisen van de gelegenheidscoalitie ‘Veilig tegen Corona’ had kunnen worden voldaan.

1 https://www.veiligtegencorona.nl/burgerrechtenorganisaties-slaan-alarm-over-werkwijze.html

2 Kamerstuk: 25295-460 – https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z14096&did=2020D29955 – geverifieerd 8 augustus 2020

3 https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679 – geverifieerd op 9 augustus 2020.

4 Aanhef: Persoonsgegevens moeten

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

5 Er is sprake van een grootschalige verwerking wanneer meer dan één miljoen mensen CoronaMelder gaan gebruiken. Dat verplicht tot een DPIA. Wat daarbij verwerkt wordt en wat je ermee zult kunnen, speelt daarbij geen rol.

6 https://developer.apple.com/contact/request/download/Exposure_Notification_Addendum.pdf – geverifieerd op 9 augustus 2020 – artikel 3.1: A Contact Tracing App, and any data collected through the Contact Tracing App or through the use of the Exposure Notification APIs, may be used only for the purpose of COVID-19 response efforts and not for any other purpose (such as law enforcement, including as enforced quarantine).

7 https://blog.google/documents/72/Exposure_Notifications_Service_Additional_Terms.pdf – geverifieerd op 9 augustus 2020 – artikel 1D: Is used exclusively for COVID-19 response efforts and not for any other

purpose, such as law-enforcement or any punitive action (e.g., individual

quarantine enforcement);

8 https://www.google.com/covid19/exposurenotifications/ – geverifieerd op 9 augustus 2020

9 Dit betreft de studie: COVID-19 incidence and R decreased on the Isle of Wight after the launch of the Test, Trace, Isolate programme.Michelle Kendall, Luke Milsom, Lucie Abeler-Dorner, Chris Wymant, Luca Ferretti, Mark Briers, Chris Holmes, David Bonsall, Johannes Abeler, Christophe Fraser –

https://www.medrxiv.org/content/10.1101/2020.07.12.20151753v1 – link geverifieerd 8 augustus 2020.

10 https://www.medrxiv.org/content/10.1101/2020.07.12.20151753v1.full.pdf – link geverifieerd 8 augustus 2020.

11 https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf – geverifieerd 9 augustus 2020.

12 Eindrapportage Ministerie VWS Gebruikerstesten Corona Notificatie app (Regio Twente). Te downloaden: https://www.rijksoverheid.nl/documenten/rapporten/2020/07/10/eindrapportage-ministerie-vws-gebruikerstesten-corona-notificatie-app-regio-twente

13 https://www.cbs.nl/nl-nl/nieuws/2020/04/steeds-meer-ouderen-maken-gebruik-van-sociale-media

14 Kamerstuk: 25295-460 – https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z14096&did=2020D29955 – geverifieerd 8 augustus 2020

15 https://wetten.overheid.nl/BWBV0001000/2010-06-10 – geverifieerd 8 augustus 2020.

16 https://mensenrechten.nl/en/node/707 – geverifieerd op 8 augustus 2020.

17 https://wettten.overheid.nl/BWBV0001016/1979-03-11#Verdrag_2 – geverifieerd 8 augustus 2020.

18 Artikel 12: De door de Staten die partij zijn bij dit Verdrag te nemen maatregelen ter volledige verwezenlijking van dit recht omvatten onder meer die welke nodig zijn om te komen tot:

c) Voorkoming, behandeling en bestrijding van epidemische én endemische ziekten, alsmede van beroepsziekten en andere ziekten;

19 Aanhef: Teneinde de doeltreffende uitoefening van het recht op bescherming van de gezondheid te waarborgen, verbinden de Partijen zich, hetzij rechtstreeks, hetzij in samenwerking met openbare of particuliere instanties, passende maatregelen te nemen onder andere met het oogmerk:

Derde lid: epidemische, endemische en andere ziekten, alsmede ongevallen, zoveel mogelijk te voorkomen.

20 https://wetten.overheid.nl/BWBV0001800/2006-07-01#Verdrag_2 – geverifieerd 8 augustus 2020.

21 Dit betreft de studie: COVID-19 incidence and R decreased on the Isle of Wight after the launch of the Test, Trace, Isolate programme.Michelle Kendall, Luke Milsom, Lucie Abeler-Dorner, Chris Wymant, Luca Ferretti, Mark Briers, Chris Holmes, David Bonsall, Johannes Abeler, Christophe Fraser –

https://www.medrxiv.org/content/10.1101/2020.07.12.20151753v1 – link geverifieerd 8 augustus 2020.