Brief regering : Landelijke introductie “CoronaMelder”

Nr. 460 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 juli 2020

Met deze brief informeer ik uw Kamer over mijn voorgenomen besluit om op 1 september
de app voor digitale contactopsporing, sinds vorige week bekend onder de naam «CoronaMelder»,
landelijk te introduceren. Mijn voornemen om CoronaMelder op 1 september te introduceren
is er op gericht om CoronaMelder onderdeel te laten zijn van de «dijk» die een eventuele
tweede golf in het najaar tegen moet houden. Met CoronaMelder bied ik mensen een digitaal
middel om zichzelf en daarmee ook anderen te beschermen tegen verspreiding van het
virus.

CoronaMelder is een aanvulling op de reguliere bron- en contactopsporing van de GGD
en ondersteunt de bestrijding van het Coronavirus en het beteugelen van de consequenties
ervan. De ontwikkeling van CoronaMelder is gestart met het OMT-advies van 6 april
om «zo snel mogelijk de mogelijkheden voor ondersteuning van bron- en contactopsporing
m.b.v. mobiele applicaties te onderzoeken. Het OMT acht dit noodzakelijk voor de toekomstige
fase in aanvulling op reguliere bron- en contactopsporing door de GGD-en. Het OMT
heeft een voorkeur voor een populatiegebaseerde aanpak gebruikmakend van technieken
die de privacy van eindgebruikers waarborgen conform de AVG-wetgeving».

Op 7 april heb ik uw Kamer laten weten een verkenning te starten welke digitale middelen
binnen het beleid van testen, traceren en thuisrapportage kunnen worden ingezet.1 Ik heb gekeken naar twee mogelijke apps ter aanvulling en ter ondersteuning van de
bron- en contactopsporing van de GGD: een app voor digitale contactopsporing en een
app voor thuisrapportage voor op het Coronavirus positief geteste mensen. Deze brief
gaat over de eerstgenoemde app. Na de zomer informeer ik u over de voortgang ten aanzien
van de tweede app.

Op 9 april verzocht uw Kamer mij middels de motie van het lid Jetten c.s.2 «hierover zo spoedig mogelijk duidelijkheid te geven aan het parlement, waarbij het
uitgangspunt is dat de inzet van deze apps proportioneel is en de apps op het gebied
van privacy voldoen aan de bestaande wetgeving zoals de AVG, en de Autoriteit Persoonsgegevens
bij deze uitwerking betrokken zal worden». Ik heb u daarom in al mijn brieven over
de stand van zaken ten aanzien van COVID-19 een update gegeven over de voortgang.

Ik ben in de ontwikkeling van CoronaMelder onder andere opgetrokken met de landen
om ons heen en de blauwdruk van CoronaMelder komt grotendeels overeen met bijvoorbeeld
de Duitse, de Italiaanse en de Ierse app. Ik ben verheugd u te kunnen melden dat CoronaMelder
zo ver gereed is én dat de uitkomsten van de tests en checks die ik tot dusver heb
uitgevoerd dusdanig zijn, dat ik voornemens ben CoronaMelder op 1 september landelijk
te introduceren. Dit onder voorbehoud van de uitkomsten van de aanvullende beproevingen
en checks die ik voor de komende weken nog gepland heb op het gebied van privacy,
informatieveiligheid, nationale veiligheid, bruikbaarheid en toegankelijkheid.

In deze brief informeer ik u ook over het vervolg van de praktijktest en de stappen
die ik zet om gereed te zijn voor landelijke introductie op 1 september. Daarnaast
geef ik u een overzicht van de internationale ontwikkelingen en de wijze waarop ik
met andere landen optrek om te komen tot een app die ook in andere landen gebruikt
kan worden. Ten slotte informeer ik u over het wetsvoorstel dat ik aan uw Kamer zal
aanbieden, waarin waarborgen zijn opgenomen ter voorkoming van misbruik van de app
en voor de duidelijkheid is geëxpliciteerd dat CoronaMelder onderdeel uitmaakt van
de bron- en contactopsporing door de GGD.

Ik ben graag bereid om uw Kamer in de tweede helft van augustus middels een Technische
Briefing uitgebreid over de app zelf, de testresultaten en de uitkomsten van alle
checks te informeren.

Totstandkoming CoronaMelder

Na mijn aankondiging om te onderzoeken hoe digitale middelen kunnen helpen bij de
beheersing en bestrijding van het Coronavirus, heb ik uit tal van nationale en internationale
hoeken adviezen en aanbiedingen gehad ten aanzien van werkende oplossingen. Ik heb
daarom in april een korte marktconsultatie gehouden om te verkennen wat er in de markt
al beschikbaar was. Vervolgens heb ik deze aangedragen werkende oplossingen in een
openbare beproeving getoetst op het voldoen aan de eisen die ik, mede op aangeven
van diverse experts zoals de coalitie «veiligtegencorona» en een grote groep van wetenschappers,
aan de digitale oplossing stel. Deze openbare beproeving heeft plaats gevonden in
het weekend van 18 en 19 april en is bekend geworden onder de naam «Appathon».

Zoals ik u in mijn brief van 21 april3 heb laten weten, is er uit de marktconsultatie en de daaropvolgende openbare beproeving
geen werkende oplossing gekomen die voldeed aan alle eisen op het gebied van privacy,
informatieveiligheid, nationale veiligheid, bruikbaarheid en toegankelijkheid. Omdat
ik aan deze eisen geen concessies doe, heb ik zelf een team samengesteld van experts
van binnen én buiten de overheid, dat in mijn opdracht op transparante wijze, in open
source en aansluitend op het «framework» van Apple en Google een app heeft gebouwd.
De afgelopen weken is gebouwd aan een goed werkende app, aanvullend op de bron- en
contactopsporing van de GGD, die aan alle eisen voldoet.

Uitgangspunt bij de bouw van de app was een zo groot mogelijke transparantie. Tussenproducten
in de bouw van de app zijn door het bouwteam daarom doorlopend gepubliceerd op GitHub,
een online platform waarop software kan worden geplaatst door ontwikkelaars om anderen
uit te nodigen mee te kijken en mee te doen. Ditzelfde geldt ook voor de ontwerpen
van de gebruikersinterface. Door deze open manier van werken, is door de zogenaamde
«communities» al tijdens de bouw meegedacht en meegewerkt in het steeds verder verbeteren
van tussenproducten van de app. Ook is tijdens de bouw al uitgebreid getest op aansluiting
van de app bij de wensen van de GGD en de eisen die ik aan de app heb gesteld, waaronder
de in mijn brief van 24 juni4 genoemde veldtest met betrekking tot het gebruik van Bluetooth. Vanaf half juni zijn
er ook tests in laboratoriumsetting en vervolgens in de praktijk (onder andere in
de regio Twente) uitgevoerd. Ook is er met verschillende doelgroepen getest, zodat
de app bijvoorbeeld ook door mensen met een beperking gebruikt kan worden.

Daarnaast is gedurende de bouw door de onafhankelijke Begeleidingscommissie, de Taskforce
Digitale Ondersteuning bestrijding COVID-19 en de Taskforce Gedragswetenschappen kritisch
meegekeken en geadviseerd. Ik heb u het eerste advies van de Begeleidingscommissie
op 25 juni toegestuurd. Het tweede, derde en vierde advies ontvangt u bij deze brief
(zie ook hierna)5.

Tests en checks

Naast het binnenhalen van experts van binnen en buiten de overheid voor het ontwikkelen
van de app, heb ik ook een zorgvuldig traject van testen en checks ingericht om de
app te beproeven. Hieronder vindt u een overzicht van de beproevingen die ik uit heb
laten voeren.

Privacy en gegevensbescherming

Er is een Data Privacy Impact Assessment (DPIA) uitgevoerd waarvan het concept als
bijlage bij deze brief is toegevoegd (bijlage 2)6. De concept DPIA is op 7 juli, met een positief advies van de Functionaris Gegevensbescherming
van het Ministerie van VWS, aangeboden aan de Autoriteit Persoonsgegevens (AP) voor
een voorafgaande raadpleging. De AP heeft mij laten weten de stukken met voorrang
en zo snel mogelijk te behandelen, binnen de grenzen van de gebruikelijke zorgvuldigheidsvereisten
die de AP hanteert bij een voorafgaande raadpleging. De AP geeft aan te verwachten
2 tot 3 weken nodig te hebben voor het bestuderen van de stukken en het opstellen
van een advies.

Vanuit het oogpunt van zorgvuldigheid voert Privacy Management Partners daarnaast
momenteel een second opinion op de concept DPIA uit. Na advies van AP en de second
opinion zal de DPIA definitief gemaakt worden.

Informatieveiligheid

Om te borgen dat privacy en informatieveiligheid goed zijn geborgd in de app, heb
ik binnen het team van experts ook de heer De Winter7 aangetrokken om mij te adviseren op dit terrein. Ik heb hem vanuit zijn rol als kritisch
expert gevraagd advies uit te brengen met betrekking tot de haalbaarheid van de introductie
van CoronaMelder vanuit het perspectief van informatiebeveiliging en privacybescherming.
Ik geef invulling aan zijn adviezen en geef hieronder een overzicht van de stappen
die ik nog neem.

Door NFIR worden de eerste penetratietesten uitgevoerd en de bevindingen uit deze
tests worden opgelost. Op advies van de Functionaris Gegevensbescherming zal ik medio
augustus nog een penetratietest uit laten voeren op de finale testversie. Ik ben daarnaast
voornemens om gedurende het in gebruik zijn van CoronaMelder regelmatig penetratietesten
uit te laten voeren. Alle penetratietesten worden uitgevoerd op basis van geldende
open standaarden.

Het zogenaamde «cryptoraamwerk» van de app dat beschrijft hoe de versleuteling in
de app aansluit bij de werking van het framework van Apple/Google wordt eveneens getoetst.
Dit cryptoraamwerk is eerder op GitHub publiek toegankelijk gemaakt zodat de «community»
mee kan kijken. Door Radically Open Security is gestart met de review van het cryptoraamwerk.
Radically Open Security voert ook een audit uit op de broncode van de serverzijde
van CoronaMelder. Secura voert een audit uit op de broncode van de apps voor iOS en
Android. Het doel van de broncode onderzoeken is vast te stellen dat wat ontworpen
is en op papier dus aan alle eisen voldoet ook daadwerkelijk zo is gebouwd, om vast
te stellen dat er geen extra functionaliteit is toegevoegd (achterdeuren) en om te
beoordelen wat de beveiligingsstaat van de broncode is. De tussenresultaten laten
geen belemmeringen zien om het besluit te nemen op 1 september over te gaan tot landelijke
introductie.

Ik heb Fox-IT gevraagd een second opinion uit te voeren op de testen ten aanzien van
informatieveiligheid. Zij hebben aangegeven dat het ontworpen proces kan leiden tot
een product dat vanuit beveiliging geschikt voor het doel is en dat de risico’s beheersbaar
zijn, wanneer de nog geplande tests met succes worden doorlopen.

Ook de website Coronamelder.nl is getest op informatieveiligheid. Het compliancyrapport
(zie bijlage 3)8 geeft aan dat er vanuit de techniek, toegankelijkheid en beveiliging geen hindernissen
zijn om live te gaan.

Analyse van nationale veiligheidsrisico’s

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Nationaal
Cyber Security Centrum (NCSC) en het Nationaal Bureau voor Verbindingsbeveiliging
(NBV) als onderdeel van de Algemene Inlichtingen- en Veiligheidsdienst hebben samen
met mijn departement en de experts die CoronaMelder realiseren een analyse uitgevoerd
van de nationale veiligheidsrisico’s. Op 9 juli heb ik een advies ontvangen van de
NCTV, het NCSC en de NBV over de nationale veiligheidsrisico’s van CoronaMelder. Zij
concluderen dat, op basis van hetgeen op het moment van de analyse bekend was over
CoronaMelder en de inrichting daarvan, er weerbaarheid georganiseerd is tegen potentiële
risico’s op het gebied van nationale veiligheid als de gegeven adviezen worden geïmplementeerd.
De daarbij gegeven adviezen neem ik over en verwerk ik bij de verdere bouw van de
app en de backend.

Technische tests

Eerder heb ik u reeds bericht over de uitkomsten van de tests naar de werking van
bluetooth. Op 8 juni heb ik, in samenwerking met het Ministerie van Defensie, in Vught
een technische test uitgevoerd om de werking van de bluetooth-techniek te valideren
(zie bijlage 4)9. De definitieve uitkomsten van de analyses op de testresultaten laten zien dat bluetooth
een bruikbare techniek is voor CoronaMelder om in te schatten of iemand een hoog-risico
contact heeft gehad of niet. Het gaat hierbij dus niet om de exacte afstand en tijd.

CoronaMelder gebruikt de BLE-techniek (Bluetooth Low Energy) om te bepalen of twee
toestellen waarop de app is geïnstalleerd gedurende enige tijd voldoende dicht bij
elkaar in de buurt zijn geweest. Hiervoor meet de app de verzwakking van het bluetooth-signaal
(attenuation) en de tijdsduur van de waarneming van het signaal. Op grond van deze
parameters kan worden bepaald of iemand in een situatie is geweest met hoog risico
op besmetting met COVID-19. Bluetooth meet dus niet primair de afstand of duur, de
bluetooth-techniek is daar niet voor bedoeld. Betrouwbare en precieze meting van de
afstand is met bluetooth niet mogelijk maar voor deze toepassing ook niet noodzakelijk.
De indicatie van nabijheid, in combinatie met de tijdsduur van het signaal (15 minuten),
blijkt op basis van de testmetingen in Vught voldoende om een betrouwbare uitspraak
te doen of de gebruiker een hoog risico op besmetting heeft gelopen. We zijn over
de beste instellingen in gesprek met de landen die met dezelfde techniek werken en
met Apple en Google.

Uit de metingen blijkt dat 73% van de situaties waarin een melding over een hoog-risico
contact werd verwacht ook een melding volgde (sensitiviteit van de app). Andersom
bleek dat eveneens in 73% van de situaties waarin géén melding over een hoog-risico
contact moest volgen, er ook geen melding kwam (de specificiteit van de app). De resultaten
zijn besproken in de Taskforces DOBC en Gedragswetenschappen. Op basis daarvan is
geconcludeerd dat de bluetooth-techniek voldoende betrouwbaar is om een voorspelling
te doen over of een gebruiker in een besmettelijke situatie is geweest. Vergelijk
dit met het regulier bron- en contactonderzoek, waarin ook iedereen die zich bijvoorbeeld
in hetzelfde restaurant bevond door de GGD kan worden gebeld, ook als men niet echt
dichtbij de achteraf positief geteste restaurantbezoeker is geweest.

Bewijs van software integriteit

Gedurende de bouw zijn er voortdurend tests uitgevoerd naar de technische werking
van de app. Om te bewijzen dat de versies van de apps die naar Google en Apple worden
gestuurd 1-op-1 gebaseerd zijn op de versies die zijn gepubliceerd op GitHub, zijn
door de Landsadvocaat in samenwerking met een zogenaamde «Escrow partij» (Escrow Alliance)
validatiecontroles uitgevoerd. Voor elke versie van elke applicatie zal een verklaring
van juistheid en integriteit worden afgegeven.

Toegankelijkheid

De gebruikersinterface van de app is vanaf de bouw wekelijks getest met allerlei doelgroepen.
Honderden Nederlanders deden hier aan mee. In het bouwteam is een expert (en ervaringsdeskundige)
ten aanzien van toegankelijkheid opgenomen. Meer dan 350 ontwerpers hebben online
suggesties gedaan. De onderzoeksresultaten worden regelmatig gepubliceerd op GitHub.
Maike Klip, één van de onderzoekers, schreef over haar ervaringen ook de blog «Een
app voor Simone10».

Op 6 juli is door Accessibility.nl onderzoek opgeleverd naar de toegankelijkheid van CoronaMelder (zie bijlage 5)11. De uitkomsten van dit onderzoek zijn dat de app op dat moment voldeed aan 46 van
de 50 criteria voor WCAG 2.1, niveau AA. Op 4 van de 50 succescriteria zijn één of
meerdere verbeterpunten gevonden. Dit zorgt ervoor dat met name gebruikers die afhankelijk
zijn van hulpsoftware problemen ervaren met de waarneembaarheid en/of bedienbaarheid.
Daarbij moet vooral gedacht worden aan mensen met een visuele of motorische beperking.
Gewerkt wordt aan het voor landelijke introductie zoveel mogelijk oplossen van deze
laatste bevindingen.

Het College voor de Rechten van de Mens heeft gedurende het ontwikkelproces meegekeken
en mij van advies voorzien vanuit het oogpunt van inclusie en toegankelijkheid. Het
College heeft het rapport van Accessibility.nl van mij ontvangen en hiervan kennis
genomen. Het College heeft mij laten weten verheugd te zijn dat bij het ontwerp van
CoronaMelder de opmerkingen van het College zijn meegenomen en geeft aan ten aanzien
van het rapport van Accessibility geen op- en/of aanmerkingen te hebben.

Uitkomsten LabTest

Van 29 juni tot 3 juli is door de Universiteit Twente een LabTest uitgevoerd (zie
bijlage 6)12. Deze test richtte zich op gebruikersvriendelijkheid en begrijpelijkheid van de app.
In totaal 50 mensen uit diverse groepen (jongeren, volwassenen, middenstanders, laaggeletterden)
zijn gevraagd opdrachten uit te voeren met de app. Deze mensen zijn geobserveerd bij
het uitvoeren van de opdrachten en geïnterviewd over hun ervaringen. Daarbij is onder
andere gekeken naar hoe mensen door de app navigeren en of de teksten in de app worden
begrepen. Hiermee is informatie opgehaald om de gebruikersvriendelijkheid en begrijpelijkheid
van de volgende versies van de app te verbeteren. Uit de LabTest blijkt dat CoronaMelder
voldoet aan eisen van gebruiksgemak, de werking van de app begrijpelijk is, de teksten
de werking goed uitleggen en de app er verzorgd uitziet. De meeste vragen ontstaan
rondom de notificatie van een risicovol contact (wat moet ik precies doen?). Dit zal
worden meegenomen in de aanpak van de communicatie door de GGD-medewerkers. Met de
GGD zal gewerkt worden aan het opleiden van de medewerkers en het verzorgen van goed
instructiemateriaal. Voor vragen over CoronaMelder wordt ook een helpdesk ingericht.

Daarnaast blijkt uit de LabTest dat de communicatie over CoronaMelder rondom privacyaspecten
van belang is voor de acceptatie. Proefpersonen die aanvankelijk weerstand hadden
waren na de gebruikerstest vanwege de uitleg van de werking in de app positiever gestemd
over CoronaMelder.

In overleg met de taskforce Gedragswetenschappen is aan de LabTest een ethische beproeving
toegevoegd. Deze beproeving bestond uit twee onderdelen: een ethische analyse door
een expertpanel en een «begeleidingsethiek» sessie met een panel van burgers. Deze
ethische beproeving is uitgevoerd onder voorzitterschap van prof. Peter-Paul Verbeek
(Universiteit Twente). Het expertpanel heeft een tiental kernwaarden13 geïdentificeerd die centraal dienen te staan in het beoordelen van de voor bestrijding
van de pandemie ingezette CoronaMelder en mij op elk van deze tien kernwaarden van
aanbevelingen voorzien die ik meeneem in de bouw, introductie in de samenleving en
communicatiestrategie (zie bijlage 7)14.

Uitkomsten veldtest

Van 8 tot 13 juli is een veldtest uitgevoerd. Dit betrof een onderzoek onder 1.500
mensen uit de regio Twente en eenzelfde onderzoek onder een representatieve groep
Nederlanders. De resultaten van dit onderzoek worden op dit moment geanalyseerd.

De eerste resultaten van de veldtest laten zien dat na het testen van de app 83% een
positieve houding ten opzichte van de app heeft, 14% staat neutraal ten opzichte van
de app en 1% is negatief. Driekwart van de testers denkt dat de app helpt bij het
bestrijden van het virus. Sommige gebruikers denken wel dat de app ook locatie verwerkt,
terwijl dat niet het geval is. De app weet niet waar je bent. Ook op basis van deze
resultaten zullen zowel de app als de verdere communicatie worden verbeterd.

Deze eerste uitkomsten ondersteunen mijn voornemen om tot landelijke introductie over
te gaan. Ik kijk uit naar de verdere analyse van de test en zal de uitkomsten hiervan
verwerken bij het vervolg.

Tweede, derde en vierde advies Begeleidingscommissie

Tweede advies Begeleidingscommissie

De Begeleidingscommissie heeft op 30 juni een tweede advies uitgebracht dat zich richt
op het gebruik van het framework van Google en Apple. De commissie adviseert mij om
met Google en Apple een verwerkersovereenkomst als bedoeld in artikel 28 van de Algemene
Verordening Gegevensbescherming te sluiten en hierin op te nemen dat zij garanderen
geen gegevens voor eigen doeleinden te zullen verwerken in het kader van het gebruik
van CoronaMelder, óók niet wanneer functionaliteit in de besturingssystemen en/of
software ingebouwd zal worden. Verder wordt geadviseerd om op te nemen dat gebruikers
van Android toestellen niet verplicht worden om geolocatie aan te zetten, nu dit niet
noodzakelijk is voor het functioneren van de app. Zij adviseren de Autoriteit Persoonsgegevens
te verzoeken toezicht te houden op zorgvuldige naleving van de regels ter bescherming
van persoonsgegevens door alle betrokken partijen, inclusief Google en Apple, en dit
onderwerp in Europees verband aan te kaarten omdat dit probleem ook in andere EU-lidstaten
kan ontstaan.

Het beschermen van de privacy van gebruikers van de app is een harde eis voor mij
bij de introductie van CoronaMelder. Hierboven heb ik beschreven welke checks ik heb
uitgevoerd om de privacy te borgen. Apple en Google zijn inderdaad betrokken partijen
maar geen verwerkers in de zin van de AVG. Het afsluiten van een verwerkersovereenkomst
met Apple en Google is dan ook niet mogelijk. Ik vind het wel belangrijk dat er goede
afspraken met Google en Apple zijn, deze zijn opgenomen in het document Exposure Notification.15

Gebruikers met een Android telefoon krijgen in alle apps zoals CoronaMelder die gebruik
maken van het framework van Apple en Google (en daarmee ook in alle andere landen
die een dergelijke app ontwikkelen) een melding over het gebruik van locatiegegevens.
Op Android schaart Google het gebruik van Bluetooth onder locatieservices omdat met
sommige Bluetooth toepassingen locatie kan worden bepaald. Voor gebruikers is dit
verwarrend, omdat CoronaMelder vervolgens geen toegang krijgt (en ook niet zal krijgen)
tot locatiegegevens.

Zowel in Europees verband als op nationaal niveau is doorlopend overleg met Apple
en Google. Dit zal actief worden voortgezet om ook deze voorgelegde zaken te bespreken.
Gedurende het gehele traject is ook regelmatig contact met de Autoriteit Persoonsgegevens
(AP) over de voortgang van de app. De AP houdt toezicht op verwerkingen van persoonsgegevens
en kijkt daarom, zoals ook hierboven beschreven, mee op CoronaMelder. De AP is een
onafhankelijke toezichthouder. Het is aan de AP zelf om te bepalen welke prioriteiten
zij stelt.

Derde advies Begeleidingscommissie

Op 3 juli heb ik het derde advies van de Begeleidingscommissie ontvangen. Dit derde
advies van de Begeleidingscommissie ziet op de relatie tussen CoronaMelder en de Covid-19
teststrategie. De Begeleidingscommissie adviseert dat het cruciaal is voor de ontwikkeling
en lancering van de app, dat het handelingsadvies na notificatie, een burger direct
toegang geeft tot testen, onafhankelijk van de aanwezigheid van symptomen of klachten.
Aangeraden wordt om ook epidemiologen en infectieziektenmodelleurs te betrekken om
algoritmen en parameters optimaal in en bij te kunnen stellen. Internationale afstemming
over grensoverschrijdend gebruik van notificatie-apps is hierin ook belangrijk. Geadviseerd
wordt verder om de lancering eventueel uit te stellen tot eerder genoemde punten zijn
gerealiseerd en om duidelijk met het publiek te communiceren dat CoronaMelder onderdeel
is van de bredere Covid-19 strategie. Hierbij is het zowel belangrijk om het belang
van notificaties voor de burger zelf en voor de samenleving als geheel, alsmede de
beperkingen van de techniek te benoemen.

Mede op basis van het eerste advies van de Begeleidingscommissie is het OMT eerder
al om advies gevraagd met betrekking tot het testen van mensen zonder symptomen of
klachten. Ik schreef u eerder16 dat het OMT aangaf dat dit relevant is bij uitbraken, zoals we recent bijvoorbeeld
hebben gezien in slachthuizen. De GGD kan in dergelijke gevallen besluiten tot het
testen van mensen zonder symptomen of klachten. Het past goed bij een risicogerichte
en risicogestuurde aanpak van testen in zo’n situatie. Ook kan het testen zonder symptomen
of klachten nuttig zijn bij mensen die in beeld zijn gekomen via bron- en contactopsporing.
Dit zou mogelijk ook kunnen gelden voor nauwe contacten van een besmette persoon die
via de app geïdentificeerd wordt en dit wordt meegenomen in het traject voor ontwikkeling
van apps.

Het handelingsadvies dat met de notificatie wordt meegezonden, wordt opgesteld door
de GGD. Dit advies kan veranderen afhankelijk van de fase waarin de bestrijding van
het virus zich bevindt en is geënt op de richtlijnen van het RIVM. Zo kan op basis
van het aantal dagen sinds het hoog-risico contact plaats vond het advies zijn om
zoveel mogelijk thuis te blijven en na een nader te bepalen aantal dagen sinds het
contact met de besmette persoon een test aan te vragen. Met betrekking tot dit laatste
voert het RIVM op dit moment op mijn verzoek een onderzoek uit naar testen zonder
klachten. Hierin wordt bekeken hoe het advies van de Begeleidingscommissie overgenomen
kan worden dat na notificatie, afhankelijk van de dag van het hoog-risico contact,
altijd een test zou moeten kunnen worden aangevraagd (ook als men geen klachten heeft).
Dit zal dan moeten gelden voor zowel opgespoorde contacten in de reguliere bron- en
contactopsporing als na notificatie in de app.

Vierde advies Begeleidingscommissie

Op 10 juli heeft de Begeleidingscommissie een vierde advies uitgebracht dat (wederom)
focust op de locatie-instellingen op Android telefoons. Bij gebruik van CoronaMelder
wordt toestemming gevraagd om locatiegegevens te gebruiken. Dit komt, zoals hierboven
ook beschreven, door de interpretatie van Google van het gebruik van bluetooth. De
Begeleidingscommissie adviseert om zo snel mogelijk contact op te nemen met Google
om de verplichte inschakeling van locatie-permissie te beëindigen. Daarnaast adviseert
de commissie om Nederlanders hierover proactief te informeren. De vraag om toestemming
om locatie-instellingen aan te zetten kan immers als een aantasting van privacy worden
ervaren. Zij adviseren tevens om gebruikers middels illustraties, animaties en Q&A
op websites te informeren hoe zij locatiegegevens voor andere apps uit kunnen zetten
en dit actief te bevorderen.

Zoals hiervoor ook al beschreven als reactie op het tweede advies van de Begeleidingscommissie,
houdt de locatie-toestemming niet in dat Google locaties van gebruikers bij kan houden.
Op Android schaart Google het gebruik van Bluetooth onder locatiediensten omdat met
sommige Bluetooth toepassingen locatie kan worden bepaald. Voor het bepalen van locaties
binnen een app moet de instelling geactiveerd zijn en moet de desbetreffende app ook
locatie-toegang hebben. Voor CoronaMelder is dat laatste niet het geval: CoronaMelder
kan niet bij locatiegegevens van de gebruiker. Indien Google besluit deze melding
niet aan te passen, dan zal ik documentatie laten opstellen om gebruikers te informeren
over hoe zij ervoor kunnen zorgen dat locatie-instellingen al dan niet aan staan en
ook dat CoronaMelder geen toegang tot locatiegegevens heeft. Eenzelfde vraag speelt
ook in andere landen die gebruik maken van het framework van Apple en Google. Wij
trekken reeds samen op in gesprekken met Google hierover en zullen ook leren van hoe
andere overheden momenteel met het uitleggen en documenteren van de genoemde kwestie
omgaan.

Advies Taskforces en Begeleidingscommissie dd 14 juli 2020

Op 14 juli heb ik overleg gehad met de voorzitters van de Begeleidingscommissie, de
Taskforce Digitale Ondersteuning Bestrijding COVID-19 en de Taskforce Gedragswetenschappen
over mijn voornemen CoronaMelder op 1 september landelijke te introduceren. De voorzitters
van deze adviesorganen hebben mij geadviseerd om op 1 september met CoronaMelder te
starten en (de opbrengsten en effecten van) het gebruik van CoronaMelder te blijven
evalueren en te leren van de opgedane ervaringen. Daarbij moet in ieder geval gekeken
worden naar het effect van het gebruik van de app op gedrag, epidemiologische waarde
en medische waarde en naar de ethische effecten. Nogmaals is mij geadviseerd ervoor
zorg te dragen dat het voor mensen mogelijk is om zich na een notificatie van CoronaMelder
te laten testen, ongeacht klachten of symptomen. Zoals ik hierboven aangaf, is het
melden van «de dag van het hoog-risico contact» belangrijk voor een goede werking
van de app zodat de melding kan worden toegespitst op het correcte advies. Daarnaast
hebben zij mij geadviseerd om bij het vervolg van de praktijktest ook te testen in
een regio waar het aantal besmettingen op dit moment wat hoger ligt. Tenslotte is
door de voorzitters het belang benadrukt van een goede uitleg van de werking van CoronaMelder,
zowel voor de individuele burger als voor de samenleving, en het ontkrachten van mythes
over de app.

Aanloop naar landelijke introductie

Mijn voornemen om de app op 1 september landelijk te introduceren, biedt de ruimte
om in de zomer nog meer ervaring op te doen en de landelijke introductie zorgvuldig
voor te bereiden.

Vervolg praktijktest

De afgelopen periode is de werking van de app in het veld getest door meer dan 1.500
mensen, onder andere in de regio Twente. Vanaf 17 augustus zal ik in aanloop naar
de landelijke introductie een volgende stap zetten in de praktijktest. Ik ben voornemens
dit te doen in de regio’s Twente en Rotterdam-Rijnmond. Ik kies voor Twente omdat
de GGD Twente vooruitloopt in de introductie van de app en eerder al testregio is
geweest en ik kies voor Rotterdam-Rijnmond aangezien hier meer besmettingen zijn.
De GGD Twente zal als eerste testregio de andere GGD-regio’s ondersteunen bij het
implementeren van het nieuwe werkproces.

Ik neem hiermee een voorbeeld aan het model van geleidelijke introductie dat onder
andere in Italië is gehanteerd. Hiermee zet ik geen onomkeerbare stappen, maar geef
ik ruimte aan de GGD om de werking te testen en om verbeterpunten voor de landelijke
introductie op te pakken.

Vanaf 17 augustus zal CoronaMelder beschikbaar komen in de appstores. Daarmee is de
app voor iedereen te downloaden, maar buiten de testregio’s nog niet volledig bruikbaar.
Het is namelijk niet mogelijk CoronaMelder alleen in de testregio’s beschikbaar te
stellen, omdat de appstores niet zo zijn ingericht. De app functioneert vanaf dat
moment technisch volledig en wisselt bijvoorbeeld de codes uit. Het melden van positieve
testuitslagen in de app wordt tijdens de testperiode echter alléén in de testregio’s
ondersteund door de GGD. Dit betekent dat een positieve test vanaf 17 augustus in
de regio’s Twente en Rotterdam-Rijnmond door gebruikers kan worden gemeld. Positieve
testen in andere regio’s kunnen nog niet in de app worden gemeld. Wie niet in een
testregio woont kan wel een notificatie krijgen na een contact met iemand die wel
in een testregio woont en positief is getest op het virus. Elke notificatie gaat uiteraard
gepaard met het bijbehorende handelingsadvies.

Voorbeeld werking app tijdens vervolg praktijktest

Een persoon uit de gemeente Enschede downloadt de app en gaat op familiebezoek in
Almere. Daar komt deze persoon langere tijd dichtbij een andere gast die de app ook
heeft gedownload. De Enschedeër wordt een aantal dagen later positief getest op het
Coronavirus. De GGD neemt contact met de besmette Enschedeër op en vraagt of deze
de app heeft. De Enschedeër meldt in de app positief getest te zijn. De andere gast
van het bezoek in Almere krijgt een notificatie via de app met een handelingsadvies
over wat te doen.

Omgekeerd zal wanneer de Almeerse persoon besmet blijkt te zijn de GGD Flevoland nog
niet vragen naar het gebruik van de app en kan nog geen positieve test worden gemeld
via de app. De Enschedeër krijgt in dit voorbeeld daarom gedurende de testperiode
nog geen notificatie.

De praktijktesten in de twee GGD-regio’s betekenen voor deze GGD-en dat zij voor de
appgebruikers in hun regio die positief getest zijn, tijdens het telefoongesprek de
codes autoriseren in het webportaal. Alle andere GGD-en zullen tijdens de praktijktesten
implementatie-ondersteuning ontvangen en kunnen leren van de ervaringen van de praktijktesten.
Aangezien alle Nederlanders (van 16 jaar en ouder) de app tijdens de gebruikerstesten
kunnen downloaden kunnen er bij de GGD-en vragen over de app binnenkomen.

In Duitsland bleek na introductie van hun nationale app dat de gezondheidsdiensten
veel vragen kregen over de (werking van) de app. Om te voorkomen dat dit ook in Nederland
gebeurt, wordt er voor vragen over CoronaMelder een aparte helpdesk ingericht waarnaar
in de app verwezen wordt. Voor het vervolg van de praktijktest start zullen alle BCO-medewerkers
geïnformeerd worden over deze helpdesk, zodat ook zij hiernaar kunnen verwijzen bij
vragen over CoronaMelder.

Communicatiecampagne

Als onderdeel van het zorgvuldige implementatieproces, gebruik ik de periode tot 1 september
ook om een communicatiecampagne voor te bereiden waarin het doel en de werking van
de app duidelijk worden gemaakt. Ter ondersteuning van de landelijke implementatie
van CoronaMelder is een massamediale (online- en offline) publiekscampagne voorzien
rondom de lancering van de app vanaf 1 september. De mediamix bestaat uit de inzet
van een tv-commercial, radio, buitenreclame, print en ook een online campagne (o.a.
banners, social media) met sterke focus op het stimuleren van directe downloads. In
de communicatiecampagne zal ook sterk de nadruk gelegd worden op vrijwilligheid van
het gebruik van de app.

Naast de massamediale publiekscampagne die ingezet gaat worden, wordt er gekeken welke
organisaties kunnen helpen bij de adoptie van de app onder de Nederlandse bevolking.
Op basis van bereik, bereidheid van vrijwillige adoptie en risico op virusverspreiding
in de fysieke ruimtes van eventuele partnerorganisaties is een eerste selectie gemaakt
van de te benaderen organisaties. Vanaf moment van introductie zal gestart worden
met de partnerships. Hierbij blijft het benadrukken van vrijwilligheid uiteraard een
voorwaarde waaraan ik niet zal tornen.

In de campagne is uiteraard ook aandacht voor minder makkelijk bereikbare doelgroepen
(waaronder laaggeletterden, migranten, slechthorenden en slechtzienden), voor wie
in samenwerking met gespecialiseerde partijen specifieke communicatiemiddelen zoals
bijvoorbeeld een Steffie-module worden ontwikkeld.

Voorbehoud bij voorgenomen introductie op 1 september

De planning die ik aanhoud om te komen tot landelijke introductie op 1 september is
ambitieus. Ik doe namelijk geen concessies als het gaat om onder meer privacy, informatieveiligheid
en toegankelijkheid. Daarnaast blijft het ook vanuit de techniek een ambitieuze planning.
Mijn voorgenomen besluit tot landelijke introductie van CoronaMelder kent nog enkele
voorbehouden alvorens een definitief besluit genomen kan worden.

Gezien de grote uitdagingen waarvoor de Belastingdienst staat heeft de Staatssecretaris
van Financiën mij verzocht om te onderzoeken of een andere landingsplek mogelijk is
voor de «backend» van de app dan het datacenter van de Belastingdienst. Ik onderzoek
daartoe nu de mogelijkheden en heb het CIBG gevraagd mij te adviseren over het beste
alternatief voor de landingsplek van de backend. Dit heeft niet alleen gevolgen voor
de implementatie van de techniek maar vraagt ook om aanvullende checks naar bijvoorbeeld
beveiliging.

De Autoriteit Persoonsgegevens (AP) heeft aangegeven enige tijd nodig te hebben voor
het uitbrengen van hun advies. Pas na positief advies van de AP zal ik besluiten tot
landelijke introductie.

De GGD heeft een grote rol en verantwoordelijkheid in het proces van bron- en contactopsporing.
De GGD-en hebben daarom een aantal randvoorwaarden geformuleerd waaraan voldaan moet
en zal zijn voor landelijke introductie. De komende periode zal benut worden om samen
met de GGD deze randvoorwaarden verder in te vullen.

Daarnaast zullen de tests en checks die ik continueer geen belemmeringen voor landelijke
introductie mogen opleveren. Het gaat daarbij naast het advies van de AP om:

– Een second opinion op de (concept) DPIA

– Finale penetratietesten en finale testen van de broncodes

– Een second opinion van Fox-IT op de volledigheid van deze testen ten aanzien van informatieveiligheid

– Herhaalde analyse in het licht van de nationale veiligheid van de finale versie

Ik zal uw Kamer half augustus informeren over de stand van zaken rondom de landingsplek
van de backend, het advies van de AP en de resultaten van de andere geplande tests
en checks.

Doel van CoronaMelder

CoronaMelder is een aanvulling op de reguliere bron- en contactopsporing van de GGD
om de verspreiding van het virus zoveel en zo snel mogelijk te helpen beteugelen.
Met CoronaMelder kunnen meer contacten van een besmette persoon sneller bereikt worden
en worden ook personen bereikt die besmette personen zich niet herinneren of die ze
niet kennen. Denk hierbij bijvoorbeeld aan personen die bij een besmet persoon in
het openbaar vervoer in de buurt hebben gezeten of bezoekers op het werk. Mocht iemand
achteraf positief getest worden op het Coronavirus, dan kan de betreffende besmette
persoon via de app dergelijke contacten anoniem waarschuwen. Deze contacten krijgen
dan via de app een notificatie als zij gedurende 15 minuten of langer in de nabijheid
zijn geweest en dus mogelijk een risico lopen ook besmet te zijn. Bij de melding via
de app krijgen zij direct een handelingsadvies over de te nemen maatregelen.

Met CoronaMelder wordt beoogd een bijdrage te leveren aan het zo snel mogelijk informeren
van burgers over hun risico op besmetting met het virus en daarmee aan het beheersen
van de verspreiding van het virus. Elke vroegtijdig gevonden besmetting is winst omdat
daarmee een mogelijke verspreidingsketen wordt verbroken. Ook bij een lage adoptiegraad
is daarom al een effect te verwachten van het gebruik van de app17. Dit neemt niet weg dat ik een zo hoog mogelijke adoptiegraad nastreef, want hoe
meer mensen de app gebruiken hoe meer mogelijke ketens van besmetting verbroken kunnen
worden.

Werking van CoronaMelder

Technische werking

CoronaMelder kan binnenkort gedownload worden uit de (Google en Apple) appstores en
is op elke smartphone die gebruik maakt van de besturingssystemen IOS en Android (versies
IOS 13.5 & Android 6 en hoger) te gebruiken. Het gebruik van de app is vrijwillig
en de app is gratis. CoronaMelder kan ook altijd weer van de telefoon verwijderd worden.
CoronaMelder is zo opgezet dat meerdere talen worden ondersteund. Bij de landelijke
introductie op 1 september zal de app Nederlands, Engels, Duits, Pools, Turks, Spaans,
Frans, Arabisch, Bulgaars en Roemeens ondersteunen.

CoronaMelder maakt elke 15 minuten een willekeurige code aan (vergelijkbaar met het
gooien van een dobbelsteen, maar dan met miljoenen zijden). Deze codes worden via
bluetooth uitgewisseld met CoronaMelders die op andere telefoons zijn geïnstalleerd
en die dicht in de buurt zijn. CoronaMelder registreert de willekeurige codes van
CoronaMelders van andere telefoons. Hierbij wordt op de telefoon opgeslagen welke
codes gezien zijn, gedurende welke periode en op ongeveer welke afstand van elkaar.
CoronaMelder registreert dus gegevens over de gebruiker en geen locaties. De willekeurige
codes die CoronaMelder van contacten registreert, worden na 14 dagen automatisch verwijderd
van de telefoon.

Als iemand positief getest is op het Coronavirus, zal deze persoon door de GGD gevraagd
worden of CoronaMelder is geïnstalleerd. Als dat het geval is, kan men dit vrijwillig
en met hulp van de GGD medewerker melden in CoronaMelder. CoronaMelder stuurt vervolgens
alle codes die de afgelopen 14 dagen zijn uitgezonden naar een server. Alle geïnstalleerde
CoronaMelders kijken een paar keer per dag op deze server en vergelijken lokaal op
de telefoon de codes van mensen die positief zijn getest met de codes van anderen
die zelf zijn ontvangen.

Als hier een match is, dan betekent dit dat de eigenaar van de telefoon de afgelopen
14 dagen langer dan 15 minuten nabij iemand is geweest die positief is getest op het
virus. CoronaMelder geeft een notificatie dat dit het geval is, op welke dag dit was
en een handelingsadvies. Omdat gebruik gemaakt wordt van willekeurige codes, weet
iemand die een notificatie ontvangt niet wie de persoon is die besmet is.

Werking in aanvulling op bron- en contactopsporing GGD

CoronaMelder is aanvullend op de bron- en contactopsporing door de GGD. De verwachting
is dat via de app ook contacten worden genotificeerd die niet via het reguliere BCO
worden opgespoord, bijvoorbeeld omdat de besmette persoon deze zich niet herinnert
of niet persoonlijk kent.

Als iemand positief getest is op het Coronavirus, zal deze persoon door de GGD gevraagd
worden of de CoronaMelder is geïnstalleerd. Als dat het geval is, kan men dit vrijwillig
en met hulp van de GGD medewerker melden in CoronaMelder. Pas dan ontvangen contacten
die de app ook gebruiken een notificatie, waaruit niet blijkt wie de positief geteste
persoon is. De mensen die een notificatie ontvangen krijgen direct een concreet handelingsadvies
om zoveel mogelijk thuis te blijven en zich bij klachten te laten testen. Onderzocht
wordt nog of zij zich ook zonder klachten kunnen laten testen, zodat zij bij een negatieve
testuitslag eerder weer uit de thuisquarantaine kunnen gaan en aan de samenleving
kunnen deelnemen. Naar verwachting zal dit voorafgaand aan de praktijktest maar zeker
voor landelijke introductie bekend zijn.

Doorlopende evaluatie van werking

De werking van CoronaMelder zal blijvend worden geëvalueerd aan de hand van een evaluatieprotocol
dat in samenwerking met RIVM, GGD en de Universiteit Utrecht wordt opgesteld. Doel
is om te bekijken of er daadwerkelijk sprake is van breder, sneller en efficiënter
opsporen van besmette mensen en of er wellicht niet beoogde neveneffecten zijn die
om bijsturing vragen. Deze evaluatie kan zo nodig leiden tot aanpassingen en bijstellingen
van de app, het werkproces of de informatievoorziening over de app. Uiteraard houd
ik uw Kamer op de hoogte van de uitkomsten van de doorlopende evaluatie.

Internationaal

Vanaf het begin van de ontwikkeling van CoronaMelder, heb ik aangegeven dat ik in
samenwerking met andere landen wil komen tot een app en ik daarbij ook bezie of deze
app óók over de grens te gebruiken is. Daarbij vind ik het van groot belang dat daar
ook gekozen is voor een decentrale oplossing die de privacy waarborgt.

De noodzaak om een oplossing te bieden voor de grensoverschrijdende interoperabiliteit
van notificatieapps werd ook erkend door de Europese Commissie. Daartoe heeft zij
op 8 april jl. een Aanbeveling gepubliceerd waarin zij oproept tot een Pan-Europese
aanpak voor het gebruik van bron- en contactopsporing apps bij de bestrijding van
COVID-19. In de Aanbeveling is het Europese eHealth Netwerk belast met de ontwikkeling van een gepaste oplossing. Het eHealth Netwerk heeft in
reactie daarop technische werkgroepen opgericht om met een interoperabiliteitsoplossing
te komen. Deze technische werkgroepen zijn opgezet conform de methodiek die lidstaten
aanhangen bij de ontwikkeling van hun nationale app, te weten de decentrale en de
centrale methode. Nederland neemt deel aan de technische werkgroep van decentrale
notificatieapps, samen met 17 andere EU-Lidstaten waaronder Duitsland en België.

Onder leiding van Duitsland is gewerkt aan een technische oplossing die de apps van
de landen die een decentrale methode hanteren interoperabel maken. Nederlandse technische
experts hebben hierin een essentiële bijdrage geleverd. Dit heeft uiteindelijk geresulteerd
in een door alle deelnemende landen gedragen technische oplossing. Op 16 juni jl.
is de technische oplossing door de Europese Commissie gepubliceerd18.

De technische oplossing houdt in dat er door de Europese Commissie een zogenaamde
«Federation Gateway Service» wordt gecreëerd waar landen hun nationale back-end server
op kunnen aansluiten. De landen zijn zelf verantwoordelijk voor het creëren van een
aansluiting met de Federation Gateway Service. Aansluiting op de Federation Gateway
Service is vrijwillig. Indien een aansluiting is gerealiseerd, dan is afgesproken
dat de backend servers van de landen die een decentrale app hanteren periodiek op
de sleutels van nieuwe geïnfecteerden (infected keys) naar de Federation Gateway Service
versturen waar deze voor de duur van 14 dagen worden opgeslagen. De Nederlandse app
kan zo ook een lijst van internationale codes van positief geteste mensen ophalen
en deze vergelijken met tegengekomen codes zoals dat ook binnen Nederland kan. Dat
is en blijft vrijwillig. Het ophalen van buitenlandse codes kan alleen met aanvullende
toestemming, middels een aparte instelling in CoronaMelder, door de gebruiker gebeuren.

De verwachting is dat de deelnemende landen de Federation Gateway Service vanaf eind
juli kunnen testen. De eerste landen die reeds live zijn gegaan met hun nationale
app zullen de oplossing als eerste testen. Nederland zal daarop aanhaken en de technische
oplossing ook testen. Dit zal naar verwachting vanaf medio augustus zijn. Voor feitelijke
invoering moet de juridische grondslag nog worden geëxpliciteerd. Op basis van deze
testen zal worden bepaald of en wanneer CoronaMelder ook interoperabel zal worden
met andere Europese apps.

Juridisch Kader

CoronaMelder is uitdrukkelijk bedoeld ter aanvulling van de bron- en contactopsporing
door de GGD in het kader van de bestrijding van het virus. De bron- en contactopsporing
dient een breed doel, namelijk het tegengaan van de verspreiding van infectieziekten
zoals het virus, en de toepassing daarvan moet dan ook breed worden uitgelegd19. De Wet publieke gezondheid (Wpg) laat de wijze waarop de bron- en contactopsporing
wordt uitgevoerd bewust vormvrij, juist omdat de GGD moet kunnen differentiëren naar
wat afhankelijk van de omstandigheden van het geval de beste aanpak is. Zo blijkt
uit de wetsgeschiedenis van de Wpg dat de schaal van de bron- en contactopsporing
afhankelijk is van de schaal van mogelijke besmetting en dat onder onderzoek door
de GGD ook het waarschuwen van mogelijk geïnfecteerde personen moet worden begrepen20.

Voor de bestrijding van het virus geldt dat het vanwege het grote besmettingsgevaar
noodzakelijk is dat de bron- en contactopsporing breed wordt ingezet: zoveel mogelijk
en zo vroeg mogelijk zicht krijgen op mensen die mogelijk besmet zijn met het virus.
CoronaMelder draagt daaraan bij. Zo zorgt CoronaMelder voor aanvulling op de bron-
en contactopsporing doordat mensen sneller kunnen worden bereikt en bovendien ook
personen kunnen worden bereikt van wie de geïnfecteerde gebruiker geen contactgegevens
heeft. Dit aspect van de bron- en contactopsporing kan alleen worden uitgevoerd indien
voorafgaand aan de constatering van een besmetting contactcodes van andere gebruikers
zijn verzameld. Beide aspecten zijn dus onlosmakelijk met elkaar verbonden voor het
goed kunnen uitvoeren van de bron- en contactopsporing en daarmee het bereiken van
het daaraan ten grondslag liggende doel de verspreiding van het virus tegen te gaan.

CoronaMelder is zodanig ontwikkeld dat het risico op identificatie van gebruikers
zo goed als uitgesloten is. Met het oog op maximale zorgvuldigheid wordt er echter
van uitgegaan dat er steeds sprake is van persoonsgegevens waardoor moet zijn voldaan
aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Ik heb bij de
uitwerking van CoronaMelder dan ook het richtsnoer van de European Data Protection
Supervisor (EDPB) over het gebruik van locatiegegevens en instrumenten voor contacttracering
in het kader van de uitbraak van COVID-19 als leidraad genomen21. In dit richtsnoer benadrukt de EDPB dat de AVG regels bevat die toestaan dat gebruik
wordt gemaakt van zowel anonieme gegevens als persoonsgegevens om overheidsinstanties
en andere actoren op nationaal en EU-niveau te ondersteunen bij het bewaken en indammen
van de verspreiding van het virus.

Net als voor de verwerking van persoonsgegevens die plaatsvindt ten behoeve van de
analoge bron- en contactopsporing is de verwerking van persoonsgegevens middels CoronaMelder
gerechtvaardigd vanwege de taak van algemeen belang van de GGD. Deze wettelijke taak
dient een zwaarwegend algemeen belang op het gebied van volksgezondheid aangezien
bron- en contactopsporing essentieel is voor het doorbreken van de keten van infecties
en het voorkomen van verdere infecties en daarmee een cruciale bijdrage levert aan
de bestrijding van het virus.

Verder is van belang dat er met CoronaMelder zo weinig mogelijk gegevens worden verwerkt,
gegevens vrijwel niet zijn te herleiden, slechts kort worden bewaard en dat de verwerking
van gegevens zo veel mogelijk lokaal op de telefoon van gebruikers plaatsvindt. Hiermee
wordt toepassing gegeven aan de AVG-beginselen van dataminimalisatie, privacy by design
en privacy by default.

Tot slot is van belang dat het gebruik van CoronaMelder, net als de deelname aan de
analoge bron- en contactopsporing, uitsluitend plaatsvindt op basis van vrijwilligheid.
Er wordt dan ook op verschillende momenten toestemming van gebruikers gevraagd voor
het downloaden van de app, het gebruik van de app en het verwerken van gegevens door
middel van de app. Ook kunnen gebruikers CoronaMelder tijdelijk uit zetten dan wel
op elk gewenst moment verwijderen.

Wetsvoorstel tijdelijke wet notificatieapplicatie

Van diverse zijden, waaronder uw Kamer, de Autoriteit Persoonsgegevens (AP) en het
College voor de rechten van de mens zijn zorgen geuit over het risico dat derden,
hoewel dat nadrukkelijk niet past bij het uitgangspunt van vrijwilligheid, anderen
zouden willen verplichten tot het gebruik van CoronaMelder, bijvoorbeeld als voorwaarde
om toegang te krijgen tot een bepaalde locatie. Zoals ook reeds aangegeven bij brief
van 22 april 2020 acht ik dat zeer onwenselijk. Het gebruik van CoronaMelder moet
te allen tijde vrijwillig zijn, mensen mogen nooit, direct dan wel indirect, door
wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere digitale
middelen die zijn bedoeld om met het virus besmette personen te identificeren. Dat
zal ik uitdragen in de communicatie over CoronaMelder. Daarnaast heb ik in het wetsvoorstel
tijdelijke wet notificatieapplicatie een antimisbruikbepaling opgenomen.

Deze bepaling borgt dat het niemand, werkgevers, zorgverzekeraars, onderwijsinstellingen,
winkels of wie dan ook, is toegestaan het gebruik van CoronaMelder of welk digitaal
hulpmiddel bedoeld om met het virus besmette personen te notificeren dan ook, direct
of indirect verplicht mag stellen. Zo is het bijvoorbeeld niet toegestaan dat een
restauranteigenaar het gebruik van CoronaMelder verplicht stelt voor het kunnen plaatsnemen
op zijn terras. Evenmin mag indirect worden verplicht tot het gebruik van CoronaMelder
of andere digitale middelen die zijn bedoeld om met het virus geïnfecteerde personen
op te sporen, bijvoorbeeld door financiële prikkels zoals een korting voor klanten
die aantonen dat zij de digitale middelen gebruiken. Aangezien niet tot het gebruik
van CoronaMelder mag worden verplicht, mag ook niet worden verplicht tot inzage in
CoronaMelder. De antimisbruikbepaling geldt voor een ieder, dus ook voor de GGD-en
zelf.

Daarnaast expliciteert het wetsvoorstel het een en ander over de verwerking van persoonsgegevens
die middels CoronaMelder plaatsvindt. Hoewel niet strikt noodzakelijk, de inzet van
digitale middelen door de GGD is immers al sinds jaar en dag gebruik, hecht ik eraan
hiermee op wetsniveau maximale duidelijkheid te geven over de inzet van CoronaMelder
en de daarbij behorende verwerking van persoonsgegevens.

Het wetsvoorstel was eerder onderdeel van het wetsvoorstel Tijdelijke wet maatregelen
covid-19 (Twm), dat op 13 juli jl. bij uw Kamer is ingediend. De Raad van State heeft
geadviseerd dit onderdeel uit de Twm te schrappen omdat het niet valt onder het primaire
doel van dat wetsvoorstel. Naar aanleiding van dit advies is besloten de antimisbruikbepaling
en de explicitering van de inzet van CoronaMelder op te nemen in een eigenstandig
wetsvoorstel. Om redenen van een zorgvuldige procedure is besloten het wetsvoorstel
opnieuw voor te leggen aan de Raad van State.

Aangezien het wetsvoorstel niet noodzakelijk is voor het in gebruik kunnen nemen van
CoronaMelder ben ik zoals hierboven aangegeven voornemens CoronaMelder per 1 september
in gebruik te nemen. Ik streef er uiteraard wel naar het wetsvoorstel na ommekomst
van het advies van de Raad van State zo spoedig mogelijk in te dienen.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge