Brief regering : Voortgang CoronaMelder
25 295 Infectieziektenbestrijding
Nr. 511
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 28 augustus 2020
In mijn brief van 17 augustus1 heb ik uw Kamer geïnformeerd over het advies van de Autoriteit Persoonsgegevens naar
aanleiding van mijn voornemen CoronaMelder op korte termijn landelijk te introduceren
en over de spoedwetprocedure die ik naar aanleiding van dit advies ben gestart. In
mijn brief van 17 augustus heb ik ook aangegeven dat, naast de wettelijke basis, er
voor mij nog twee voorwaarden zijn voor ik over kan gaan tot landelijke introductie,
te weten: positieve uitkomsten van het vervolg van de Praktijktest en positieve uitkomsten
van de gezamenlijke uitvoeringstoets met de GGD op de effecten van CoronaMelder. Het
wetsvoorstel heb ik u vrijdag 21 augustus doen toekomen (Kamerstuk 35 538). In deze brief informeer ik u over de uitkomsten van de tests en het oordeel van
de GGD over de gereedheid om met CoronaMelder te werken op basis van deze tests.
Daarnaast zal ik in deze brief ingaan op de invulling van de eerder door mij aangekondigde
doorlopende evaluatie van CoronaMelder en de inrichting van het toezicht en de handhaving.
Vervolgens geef ik u inzicht in de resultaten van de tests naar de broncode, pentest
en de duiding van de heer De Winter van de maatregelen die zijn genomen op het gebied
van informatieveiligheid en privacy. Tenslotte ga ik nog in op het negende advies
van de Begeleidingscommissie.
Vervolg praktijktest
Zoals in mijn brief van 17 augustus aangekondigd, ben ik op 17 augustus gestart met
de volgende stap in de praktijktest. Doel van deze praktijktest is het testen van
de werking van CoronaMelder in de praktijk van de GGD. Vijf regio’s2 hebben de werking van de app getest en leerervaringen opgedaan. Tegelijkertijd is
tijdens deze testperiode ook gekeken naar de technische werking van de app bij grotere
aantallen gebruikers.
Ten behoeve van het vervolg van de praktijktest is CoronaMelder in de nacht van 16
op 17 augustus in de appstores gezet. Hierbij zijn geen noemenswaardige onregelmatigheden
geconstateerd. De eerste dag hebben zo’n 500.000 mensen de app gedownload. Na de eerste
week van de test is dit opgelopen tot meer dan 1 miljoen downloads. Het is niet mogelijk
te bepalen waar in Nederland de mensen wonen die de app hebben gedownload. Dit is
een bewuste keuze als onderdeel van de uitgangspunten van «privacy by design».
Alle deelnemende GGD-en hebben lopende de test minimaal één besmette persoon gehad
die de app had gedownload en bereid was zijn of haar contacten via de app te waarschuwen
(wat immer op basis van vrijwilligheid gebeurt). Dit heeft ertoe geleid dat in de
vijf GGD-regio’s ervaring op is gedaan met het voeren van gesprekken met mensen die
positief getest zijn en de app gebruiken, het valideren van een code in de webportal
en het beantwoorden van vragen van mensen die de app gebruiken. Ook zijn er 4123 testaanvragen gedaan door mensen die aangeven een notificatie te hebben ontvangen.
Het aantal mensen dat een notificatie heeft ontvangen is onbekend en kan niet worden
achterhaald. Dit is eveneens een bewuste ontwerpkeuze.
Uit de praktijktest blijkt dat medewerkers zich goed voorbereid voelden op basis van
het trainingsmateriaal en de werkinstructies die de GGD-en hebben verstrekt aan de
medewerkers van de bron- en contactopsporing. Medewerkers bleken zich hier goed mee
te kunnen voorbereiden. De belangrijkste vragen die bleven bestaan betroffen de handelingsadviezen
en dan met name het testbeleid gedurende de testperiode. De voorbereiding op en uitvoering
van de veranderde werkprocessen is in alle vijf regio’s zonder grote problemen verlopen,
evenals het technisch functioneren van de webportal en de app. Hiermee is vastgesteld
dat de hele procesketen functioneel en technisch naar behoren functioneert.
De overige GGD-en hebben tijdens de praktijktest informatie en tips ontvangen over
de voorbereidingen van de vijf regio’s die deelnemen aan de praktijktest. Het beschikbare
informatiemateriaal zal op basis van deze inzichten worden verbeterd zodat ook de
overige GGD-en goed voorbereid zijn op de landelijke introductie van CoronaMelder.
Op technisch gebied is geconstateerd dat, zowel bij iOS als bij Android-toestellen,
de app niet altijd wordt bijgewerkt als deze op de achtergrond draait. Het gevolg
hiervan is dat sommige gebruikers mogelijk pas een notificatie zien bij het openen
van de app. Dit is onder meer afhankelijk van het app gebruik en het telefoontype
en hangt samen met het framework van Apple en Google. Dit is ook in andere EU-landen
geconstateerd. Ik werk samen met de Europese partners en Apple en Google intensief
samen om tot een oplossing te komen. Vooralsnog zal het advies zijn om de app dagelijks
te openen om het bijwerken te forceren. Dit is ook het advies dat onder andere in
Duitsland op dit moment wordt gegeven.
Naar aanleiding van ervaringen in onder andere Duitsland is een aparte CoronaMelder
helpdesk ingericht om de GGD te ontlasten van vragen over de werking van CoronaMelder.
De CoronaMelder helpdesk ontvangt gemiddeld 100 vragen per dag. Veel gestelde vragen
gingen over op welke telefoons de app wel/niet werkt en wat te doen met een melding
als je in een andere GGD-regio woont.
Gezamenlijke uitvoeringstoets GGD-en
Door Berenschot is een uitvoeringstoets uitgevoerd gedurende de praktijktest. In deze
toets is gekeken naar de gevolgen van de implementatie van CoronaMelder voor de GGD-en,
in het bijzonder de gevolgen wanneer asymptomatisch testen als handelingsperspectief
wordt geboden. Gezien de beperkte tijd tussen de testperiode en deze brief, is de
definitieve rapportage nog niet beschikbaar. Wel is door Berenschot een managementsamenvatting
van de tussenrapportage opgeleverd (zie bijlage)4.
Uit de managementsamenvatting blijkt dat de werkzaamheden rondom autoriseren van BCO-medewerkers
om notificaties te kunnen sturen en het uitvoeren van de e-learning soepel verliepen.
Het samen met de positief geteste persoon in CoronaMelder melden van de besmetting
blijkt weinig extra tijd te kosten. Het onderzoek laat zien dat sommige GGD-en ervaren
dat door de werking van CoronaMelder de regie over het reguliere BCO afneemt. Ook
hebben sommige GGD-en de onjuiste verwachting dat CoronaMelder sturingsinformatie
biedt om brandhaarden op te sporen. Vanwege privacy-by-design is dit niet het geval.
Berenschot concludeert dat in de pilotregio’s de testafname en testanalyse relatief
meer gestegen is tijdens de pilotperiode ten opzichte van het landelijk gemiddelde.
Tussen 20 en 26 augustus zijn in de pilotregio’s 22.900 testen afgenomen. Dit was
53,7% meer dan in de 7 daarvoor. In de rest van het land was de stijging in dezelfde
periode 29,8%. In 412 gevallen werd gemeld dat men een notificatie had gehad (waarbij
aangenomen kan worden dat een deel van deze contacten ook in reguliere bron- en contactopsporing
zal zijn gevonden). Daarmee lijkt de toename in de testvraag meer een gevolg van de
communicatie over corona en CoronaMelder dan van de notificaties zelf. Ook het aantal
van 412 gemelde notificaties lijkt hoog ten opzichte van het aantal meldingen van
besmetting dat samen met de GGD is gedaan in de app. Op 28 augustus hebben wij dit
beeld gedeeld met de Europese landen die al een app hebben geïntroduceerd. Ierland
gaf daarop aan dat die verhouding na de eerste paar dagen begon te verschuiven naar
wat velen als meer realistisch ervaren.
Hiernaast geeft Berenschot aan dat men een stijging in het aantal vragen verwacht
dat bij de GGD-en terecht komt als gevolg van de lancering. Deze impact op communicatie
ontstaat ook omdat contacten informatie of adviezen krijgen vanuit zowel CoronaMelder
als vanuit de BCO-medewerker. Om de communicatie te stroomlijnen is een landelijke Helpdesk voor CoronaMelder
ingericht, voor zowel burgers als GGD-en. Bij deze Helpdesk zijn tot op heden voornamelijk
vragen van burgers binnengekomen. De Helpdesk wordt vooralsnog weinig benaderd door
de GGD-en.
Berenschot concludeert dat men over het algemeen positief kritisch is over CoronaMelder
als aanvulling op het reguliere BCO. De onduidelijkheid over en late aankondiging
van testen zonder klachten, die is ontstaan in de pilotperiode, draagt niet bij aan
het draagvlak bij de GGD-en voor CoronaMelder. Asymptomatisch testen leidt tot een
toename van het aantal testaanvragen en heeft daarmee impact op de capaciteit van
zowel de afnamelocaties als de laboratoria. Daarnaast geeft men aan dat asymptomatisch
testen niet in lijn is met de huidige LCI richtlijnen. Tot slot rapporteert Berenschot
dat de huidige systemen niet ingericht zijn op het vooruit plannen van afspraken,
wat nodig is wanneer er asymptomatisch getest wordt. Berenschot concludeert dat het
om deze redenen ontbreekt aan breed draagvlak voor asymptomatisch testen als handelingsperspectief
in de CoronaMelder.
Gereedheid GGD
Ik begrijp de zorgen van de GGD die blijken uit de uitvoeringstoets. Een deel van
de effecten van introductie van CoronaMelder zijn naar mijn verwachting tijdelijk,
zoals de toename van vragen van journalisten en het aantal mensen dat een test aanvraagt
na notificatie ten opzichte van het aantal meldingen in de app. In het bijzonder begrijp
ik de zorgen over testen zonder klachten. Het absoluut aantal testen na notificatie
in CoronaMelder in de praktijktest was laag, zoals hiervoor gemeld. Maar zekerheid
over aantallen in de toekomst is niet te geven. Daarom is het belangrijk doorlopend
te evalueren. De praktijktest loopt door tot aan landelijke introductie van CoronaMelder.
De ervaringen uit de uitvoeringstoets en de praktijktest zullen samen met de GGD worden
opgepakt en bijvoorbeeld kunnen leiden tot aanpassingen en bijstellingen van de app,
werkprocessen of de informatievoorziening over CoronaMelder.
Ik heb u eerder laten weten dat onderzocht wordt wat de meerwaarde is van testen zonder
klachten. Als de uitkomsten hiervan daar aanleiding toe geven, zullen de RIVM-richtlijnen
voor het bron- en contactonderzoek worden aangepast. Bij landelijke introductie van
CoronaMelder zullen hierin de handelingsadviezen zijn opgenomen conform de op dat
moment geldende LCI-richtlijnen. Ook als het gaat om asymptomatisch testen van nauwe
contacten die via CoronaMelder een notificatie krijgen.
Doorlopende evaluatie
Op advies van de Begeleidingscommissie, de Taskforce Digitale Ondersteuning Bestrijding
COVID-19 en de Taskforce Gedragswetenschappen, evalueer ik doorlopend de opbrengsten
en effecten van het gebruik van CoronaMelder. De evaluatie richt zich op de vraag
in welke mate CoronaMelder een bijdrage levert aan het breder, sneller en efficiënter
opsporen van met het virus geïnfecteerde personen. De doorlopende evaluatie kan zo
nodig leiden tot aanpassingen en bijstellingen van de app, werkprocessen of de informatievoorziening
over CoronaMelder. Ten behoeve van de doorlopende evaluatie is, samen met RIVM en
GGD-en, de begeleidingscommissie en beide taskforces, een evaluatieprotocol ontwikkeld
(zie bijlage)5.
De evaluatie richt zich op de adoptiegraad van de app, het gebruik van de app, directe
en indirecte beoogde effecten en op de niet beoogde effecten. Voor de evaluatie wordt
gebruik gemaakt van gegevens van de GGD, de back-end van de app en surveys onder representatieve
groepen Nederlanders waar het gedragseffecten betreft. Uw Kamer wordt tussentijds
op de hoogte gehouden van de uitkomsten van de doorlopende evaluatie.
Ik vind het belangrijk te handelen vanuit de meest actuele stand van de wetenschap.
De wetenschappelijke kennis van de epidemie en van het virus neemt nog steeds toe.
Zoals eerder al gemeld suggereren simulatiemodellen en eerste wetenschappelijke inzichten
dat, zelfs bij inachtneming van beperkt gebruik, de introductie van een notificatieapp
kan bijdragen aan de reductie van het aantal verdere besmettingen en het reduceren
van de tijd tussen besmetting en signalering van andere geïnfecteerden6. Daarnaast blijkt uit een recente modelstudie van de Universiteit Utrecht een mogelijke
relatie tussen de snelheid van traceren en het reproductiegetal en dat apps als deze
hier een bijdrage aan leveren. De komende maanden zal naar verwachting nog meer specifiek
empirisch wetenschappelijk onderzoek naar de effecten van apps als CoronaMelder beschikbaar
komen.
Inrichting toezicht en handhaving
Vrijwillig gebruik is een van de uitgangspunten van CoronaMelder en een verbod op
misbruik zal daarom ook in de antimisbruikbepaling van de Tijdelijke wet notificatieapplicatie
covid-19 worden vastgelegd. Vormen van misbruik zijn bijvoorbeeld vragen naar inzage
in de app, toegang ontzeggen op basis van de inhoud of niet tonen van de app. Ook
dwingen van installatie van de app is misbruik. Daarnaast zijn indirecte methoden,
zoals het gebruiken van een gezagsverhouding of het bieden van een financieel voor-
of nadeel tot het gebruik van de app niet toegestaan.
Toezicht helpt om misbruik te voorkomen en op te treden indien er toch sprake van
is. Er is een meldpunt ingericht door de IGJ, waar burgers meldingen over direct en
indirect misbruik van de CoronaMelder op eenvoudige wijze kunnen doen. Via dit meldpunt
worden burgers geholpen naar de juiste toezichthouders. Wanneer het gaat om de openbare
ruimte zal dit in de regel de toezichthouder van de betreffende gemeente zijn. Deze
zet daartoe buitengewone opsporingsambtenaren in. De inzet van buitengewone opsporingsambtenaren
wordt ingeregeld via bestaande structuren om efficiënte inzetbaarheid te waarborgen.
Na een melding kan een onderzoek worden gedaan door de betreffende toezichthouder
en indien sprake is van een overtreding kan het OM besluiten tot handhaving.
Op basis van de aantallen en aard van de meldingen kan worden besloten om andere toezichthouders
aan te wijzen. Ik acht het van belang dat de antimisbruikbepaling op zo uniform mogelijke
wijze wordt gehandhaafd. Dit wordt nog nader juridisch uitgewerkt in overleg met de
aangewezen toezichthouders.
Uitkomsten Broncodeonderzoek, pentest en duidingsrappportage informatiebeveiliging
en privacybescherming
Broncode onderzoek
Op mijn verzoek heeft Secura de broncode van de app onderzocht. Zij constateren dat
er geen ongewenste code is toegevoegd en dat de code veilig is. Ze doen wel enkele
aanbevelingen die worden opgevolgd (zie bijlage voor rapportage)7.
Ik heb tevens een notaris laten meekijken of de versies die beschikbaar zijn gesteld
aan Apple en Google voor de appstores dezelfde versies zijn die op Github zijn gepubliceerd
en waarop door de community is mee gekeken. Hiertoe heeft de notaris een zogenaamde
«verified build»-verklaring afgegeven.
Pentest
Op mijn verzoek heeft NFIR een pentest uitgevoerd. Gezien de beperkte tijd tussen
de testperiode en deze brief, is de definitieve rapportage nog niet beschikbaar. Wel
is door NFIR een managementsamenvatting opgeleverd (zie bijlage)8. NFIR constateert dat er één bevinding was met classificatie «Hoog» en dat deze al
is opgelost. De overige bevindingen met een lagere classificatie zijn of worden nog
opgelost. De pentest zal met enige regelmaat worden herhaald.
Duidingsrapportage
Op mijn verzoek heeft de heer De Winter9 het totaalpakket aan maatregelen op het gebied van informatiebeveiliging en privacybescherming
bekeken. In zijn duidingsrapportage geeft hij aan dat er op dit moment sprake is van
«een situatie, waarbij er geen hoge risico’s blijken uit beveiligingsonderzoeken en
onderzoeken naar de privacybescherming. Uit de testfase zijn deze risico’s ook niet
gebleken. Dat betekent dat er geen zogenaamde «showstoppers» zijn.»
Hij geeft verder aan dat hem is gebleken dat men «goed doordrongen is van de risico’s
en daar acteert op een manier die zeer verantwoordelijk is. Het is moeilijk te bedenken
welke app vergelijkbare maatregelen kent om privacybescherming en informatiebeveiliging
te borgen en ook geborgd te houden.» De heer De Winter concludeert alles overziend
dat ik «geen onoverwogen beslissingen neem door met deze app te gaan beginnen.»
De verwachting van de heer De Winter is dat de beveiligingsonderzoeken die nog lopen
de komende dagen geen radicaal ander beeld gaan opleveren. Op basis van de huidige
kennis van de situatie stelt hij dat «deze app voor wat betreft informatiebeveiliging
en privacybescherming «fit for purpose» is». Hij geeft wel het dringende advies om
na lancering te blijven doorgaan met het intensief bewaken van alle risico’s en weer
opnieuw risico’s in kaart te brengen. Ik neem dit advies uiteraard over.
Negende advies Begeleidingscommissie
Op donderdag 20 augustus heeft de Begeleidingscommissie haar negende advies uitgebracht
(zie bijlage)10 die ingaat op de voorgenomen wetgeving. Zoals eerder aangegeven is de commissie van
mening dat explicitering van de wettelijke grondslag noodzakelijk is. In dit advies
belicht de commissie een aantal onderwerpen die zij essentieel acht op te nemen in
de wet. Het gaat hier om de tijdelijkheid van CoronaMelder, het borgen van de doelbinding
van gegevensverwerking, de bepaling van een harde bewaartermijn voor verwerkte gegevens,
en het verbod op gebruik van de app en gegevens hierin voor een ander doel dan waarvoor
deze bedoeld is, namelijk ondersteuning van bron- en contactopsporing. Naast dat gebruik
van CoronaMelder vrijwillig moet zijn, adviseert de commissie hier ook een meldpunt
voor te introduceren.
Verder wordt aangeraden een verbod op te nemen dat ingaat op Mobile Interpersonal
Proximity Surveillance (MIPS). Deze en eerdere adviezen die betrekking hebben op onderwerpen
die vallen binnen mijn bevoegdheid zijn verwerkt in het wetsvoorstel dat 21 augustus
aangeboden is aan uw Kamer. Zoals hierboven beschreven, is het bedoelde meldpunt voor
misbruik ingericht.
Tot slot
Het voorstel voor de Tijdelijke wet notificatieapplicatie covid-19 heb ik u vrijdag
21 augustus doen toekomen. Hierin wordt ook de wettelijke grondslag voor CoronaMelder
geëxpliciteerd. Het kabinet heeft besloten tegemoet te komen aan de wens van de Autoriteit
Persoonsgegevens om landelijke introductie aan te houden tot deze wet in werking is
getreden. Tot dat moment zal de praktijktest doorlopen zoals deze nu is vormgegeven
in de vijf testregio’s.
De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge
Indieners
-
Indiener
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport