Twee dagen geen meldingen CoronaMelder vanwege datalek
De CoronaMelder-app geeft gebruikers twee dagen lang geen meldingen meer als ze in de buurt zijn geweest van een met corona besmet persoon. Minister Hugo de Jonge besloot hiertoe wegens het opgedoken privacyprobleem op Android.
Door een fout in software van Google zijn gegevens van corona-apps van overheden, waaronder de CoronaMelder, toegankelijk voor de voorgeïnstalleerde apps op Android-telefoons. Op die manier kunnen die apps "vaststellen of de telefoon in bezit is van iemand die eerder als besmet is gemeld in CoronaMelder en welke ontmoetingen met besmette personen hebben plaatsgevonden". In een brief aan de Tweede Kamer laat De Jonge weten dat Google heeft gemeld "geen bewijs te hebben dat deze apps daadwerkelijk data hebben verzameld en gebruikt".
Nederland is afgelopen donderdag op de hoogte gesteld van het probleem bij Google, stelt De Jonge. Daarna is Nederland "direct een technisch onderzoek gestart om de gevolgen in kaart te brengen". Uit dat onderzoek is woensdag gebleken "dat het inderdaad zo is dat gegevens van gebruikers gelezen kunnen worden door onbevoegde partijen".
Reactie Google 'onvoldoende'
Google zou het lek in het zogeheten Google-Apple Exposure Notification (GAEN) framework, dat de corona-apps van overheden mogelijk maakt, inmiddels hebben gedicht. Maar het duurt even voordat het probleem ook daadwerkelijk op alle telefoons is opgelost. "Daarbij bleken ze nog niet op de hoogte van de mogelijkheden voor misbruik die door onze experts aan hen zijn gemeld", schrijft De Jonge. De reactie van Google noemt hij dan ook "onvoldoende bevredigend". Daarom worden 48 uur lang geen meldingen gestuurd.
In die tijd wordt gecheckt of het lek daadwerkelijk is gedicht. Mocht het probleem inderdaad zijn verholpen, dan ontvangen gebruikers van de app na die tijd weer meldingen "en worden de waarschuwingen alsnog gestuurd".
De Autoriteit Persoonsgegevens riep het ministerie van Volksgezondheid woensdag al op de privacyproblemen met de CoronaMelder-app zo snel mogelijk op te lossen. Beveiligingsonderzoekers waarschuwden Google al op 19 februari voor de fout in het systeem.
'Ministerie verantwoordelijk'
"Het gaat hier om gezondheidsgegevens, zeer gevoelige informatie van heel veel mensen," zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens (AP). "Het ministerie van VWS is er verantwoordelijk voor dat gebruik van de app helemaal veilig is. Het ministerie heeft ervoor gekozen de software van Google te gebruiken."
In het advies dat de AP in augustus 2020 uitbracht aan het ministerie van VWS over de corona-app was het Google Apple Exposure Notification framework al de grootste zorg. Wolfsen: "Helaas lijken onze zorgen nu terecht te zijn geweest."
Google belooft update
Een woordvoerder van VWS laat weten dat Google werkt aan een update die het probleem moet oplossen. "De app die wij gebouwd hebben slaat geen gegevens op, op Androidtelefoons blijken nu wel bepaalde codes opgeslagen te worden Dat is tegen de afspraken over privacy die wij met het bedrijf gemaakt hebben."
Volgens hem hangt het vervolg van de samenwerking met Google af van de manier waarop en de snelheid waarmee Google een oplossing biedt.
Bluetooth
De CoronaMelder-app is in totaal 4,8 miljoen keer gedownload op zowel iOS als Android. De app houdt met bluetooth anoniem in de gaten of gebruikers langer dan een kwartier dicht bij andere mensen zijn geweest. Als zij vervolgens positief worden getest, kunnen ze andere gebruikers van de app waarschuwen.
Onlangs bleek uit een onderzoek dat meer dan 144.000 mensen zo'n melding van de app hebben gekregen. Mensen die zich na de melding lieten testen, waren significant vaker besmet dan de rest van de bevolking. Daaruit zou blijken dat de app wel effect heeft.
Rechtszaak tegen Google in de VS
In meer landen wordt geklaagd over de privacyproblemen met het coronatrackingsysteem van Google. In de Verenigde Staten is een claimpartij een rechtszaak gestart. Google zou volgens de eisers meerdere wetten hebben overtreden. Inzet van de zaak zou zijn om een collectieve schadevergoeding te krijgen voor Amerikaanse gedupeerden.