De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de 7 ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De AP vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de 7 app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.
De kaders die de overheid stelt voor de corona-app zijn onduidelijk. In het programma van eisen voor de app is een aantal fundamentele vragen onvoldoende beantwoord.
Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.
Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kon de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen.
De AP heeft van de appbouwers te weinig informatie ontvangen om een goed beeld te krijgen van de opzet van hun apps. Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.
‘Het is nog maar de vraag of die app er wel kan komen’, zegt Aleid Wolfsen. ‘Natuurlijk zal de AP eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.’
Alles bij de bron; AP [via de mail ontvangen]
Door de maatregelen tegen corona zijn de gebruikelijke tentamens in de lokalen op hogeschool of universiteit niet mogelijk. Daarmee zijn ook de gebruikelijke maatregelen tegen fraude buiten beeld. Denk daarbij aan het inzetten van surveillanten, het tonen van het paspoort en het inleveren van de mobiele telefoon. Mede daarom onderzoekt ook de HU of webproctoring aan de hogeschool gebruikt kan worden.
Sommige universiteiten hebben al online proctoring software in gebruik. Tilburg University besloot vorige week na een proef Proctorio in te zetten. Een ander systeem is ProctorExam.
Hiermee nemen anderen de camera en microfoon van de computer over. Ook houden zij bij welke sites studenten bezoeken en registreert het de hoofd- en oogbewegingen. Bij verdenkingen van fraude geeft het systeem een signaal.
‘Veel studenten, inclusief ikzelf, zijn tegen deze methode van examinering en we willen alles doen wat in onze macht ligt om het gebruik ervan te stoppen.’ Dat schrijft initiatiefneemster en Tilburgs student Naomi de Leng in de petitie. Zij heeft vooral bezwaren op het gebied van privacy.
Docente privacy Anke van Gorp van Integrale Veiligheidskunde wees in een interview op Trajectum ook op privacy-consequenties. ‘Online proctoring is mogelijk, maar dat is echt een inbreuk op de privacy want je gebruikt twee camera’s. Eén om met de docent te communiceren terwijl de camera van de mobiele telefoon de werkplek toont. Studenten moeten vaak hun kamer laten zien om te tonen dat ze alleen zijn. Dat heeft zware consequenties voor de privacy. Ik maak me daar zorgen over.’
Daarnaast bestaat de vrees dat de softwareleveranciers gegevens van studenten (zoals identiteit, filmbeelden, surfgedrag op internet) kunnen verkopen. De Landelijke Studentenvakbond wijst erop dat studenten toestemming moeten geven om hun gegevens op te slaan. Zij horen daarom de mogelijkheid te hebben om niet aan online tentamens mee te doen, zonder studievertraging op te lopen, stelt LSVb-voorzitter Tess Rutten.
Alles bij de bron; Trajectum
Het duurt nog wel even voor er een corona-opsporingsapp is die klaar is voor gebruik. Onder de zeven app-bouwers die dit weekend hun plannen voorlegden, tekent zich nog geen geschikte kandidaat af, erkent het ministerie van Volksgezondheid.
Het is nog maar de vraag of er al snel een app ten doop wordt gehouden, concludeert Gerritsen na afloop van de zogenoemde appathon. „We hebben vooral veel geleerd.”
Alles bij de bron; Telegraaf
It-ondernemer en Computable-columnist Hans van Bommel komt met het initiatief om open source een uiterst simpel werkende corona-app te ontwikkelen die de privacy respecteert en volledig transparant is. Hij wil een community om zich heen verzamelen die dit non-profit gaat doen. ‘Alles moet vanuit de burger worden opgezet,’ zegt hij. De app moet gratis beschikbaar komen zonder enig verdienmodel.
De Open Source Covid-19 Testing Support-app (app-c19) heeft als enige doel de GGD te ondersteunen bij het testen van mensen die in potentie het coronavirus hebben. Van Bommel denkt dat alleen met een volledig open initiatief voldoende draagvlak onder de Nederlandse bevolking kan worden verkregen. De zeven corona-apps die dit weekeinde tijdens de appathon van het Rijk zijn voorgeselecteerd, zijn zo massaal onder de kritiek bedolven dat geen van deze voorstellen op enig draagvlak mag rekenen.
Het zwaarst kregen de apps van Capgemini en Accenture het tijdens de appathon te verduren. Volgens experts die aan een eerdere beoordeling van de apps hadden deelgenomen, hadden beide bedrijven verzuimd iets over de privacy en beveiliging op papier te zetten. Tot hun stomme verbazing waren deze apps toch op de shortlist van het ministerie gekomen. Een aantal experts, waaronder Brenno de Winter, heeft openlijk afstand genomen van de selectieprocedure.
Bij een van de andere ‘finalisten’, Covid19 Alert, is inmiddels een datalek gevonden. Bij de beschikbaarstelling van de broncode was per ongeluk een bestand meegekopieerd met vele tientallen namen, mailadressen en versleutelde wachtwoorden.
Groot zijn de twijfels of de zeven apps die dit weekeinde aan het publiek worden gepresenteerd, ooit zullen gaan werken en breed worden omarmd. Minister De Jonge’s inzet dat de app zeker door 60 procent van de bevolking moet worden gebruikt, lijkt nu al volstrekt onhaalbaar. Experts als Danny Mekic, internetpionier Marleen Stikker en het D66-kamerlid Kees Verhoeven hebben daar hun grote twijfels over uitgesproken.
Het concept voor een open source covid-19 testing support app (app-c19) vraagt helemaal geen persoonsgegevens. De gebruiker hoeft app-c19 alleen maar te downloaden in de appstore. Dan is de app direct operationeel. De app staat gewoon ‘aan’. Als de gebruiker ervan af wil, verwijdert hij hem van de telefoon. Wanneer bluetooth tracking wordt uitgezet, werkt de app overigens ook niet meer. De app gebruikt geen locatiegegevens.
Uitgangspunt van de app is privacy by design. De app legt alleen vast welke andere smartphone de afgelopen dagen vanaf het moment dat de besmetting plaatsvond, het pad van de telefoonbezitter heeft gekruist binnen een bepaalde afstand. Desnoods kan hier nog aan worden toegevoegd hoe lang het contact heeft geduurd. Van Bommel: ‘Meer informatie is niet nodig.’
Wanneer de gebruiker corona-klachten heeft belt deze de GGD en ondergaat een test. Als de uitslag positief is, volgt quarantaine. De GGD kan met een token via app-c19 een bericht sturen naar de telefoon van de gebruiker. Dit gaat door fysiek en dus handmatig een qr-code te scannen. De corona-token informeert via het systeem de mensen die in de buurt van de besmette gebruiker zijn geweest. Van Bommel verwacht binnen zes á acht weken live te kunnen gaan.
Alles bij de bron; Computable
Bij een aanval op de Android-appstore Aptoide zijn de gegevens van twintig miljoen gebruikers gestolen. Het gaat om e-mailadressen, ip-adressen, namen, browsergegevens en sha-1-wachtwoordhashes zonder salt. De Android-appstore is een onderzoek gestart.
Beveiligingsonderzoeker Troy Hunt ontving de gestolen informatie en heeft de e-mailadressen van getroffen gebruikers aan zijn eigen datalekzoekmachine Have I Been Pwned toegevoegd. Van de 20 miljoen gelekte e-mailadressen was 38 procent al via een ander datalek bij de zoekmachine bekend.
Aptoide zal binnenkort de wachtwoorden van gebruikers resetten. Daarnaast is het niet mogelijk om nieuwe accounts bij de appstore aan te maken totdat het onderzoek is afgerond. Aptoide claimt meer dan 150 miljoen gebruikers te hebben en meer dan 1 miljoen apps aan te bieden.
Alles bij de bron; Security
De makers van het Belgische "Covid-19-alert" dingen in Nederland mee om de officiële app te mogen worden. Volgens ontwikkelaar Wouter Van Hecke, is de privacy niet in gevaar. Althans niet met de app "covid-19-alert". "Onze app is compleet privacy proof."
"Wij hebben een compleet anonieme app, compleet privacy proof. Je installeert die op je smartphone, en via bluetooth registreert die andere smartphones in de buurt met de app op. En als je in contact komt met een besmette persoon laat de app dat weten. Maar je weet niet wie, waar of wanneer precies. Er worden geen data doorgestuurd en er is geen enkele vorm van registratie."
De app zou ook niet misbruikt kunnen worden. Als een al te nieuwsgierige overheid de app zou willen wijzigen, dan kunnen de ontwikkelaars dat via een controlemechanisme achterhalen.
Alles bij de bron; VRTNieuws
Update; Binnen 24 uur datalek ontdekt bij "Covid-19-alert"
De organisatie van de app Covid 19 Alert zette gisteren de broncode van de app online. Daarin waren echter bijna tweeduizend volledige namen, e-mailadressen en versleutelde wachtwoorden te vinden van gebruikers van een andere app die aan de corona-app gelinkt is.
"Wij hebben de code zo snel mogelijk openbaar gemaakt", aldus een woordvoerder van de app tegen RTL Nieuws. "In dat proces hebben we per ongeluk deze data online gezet."
Na melding door RTL Nieuws hebben de makers van Covid19 Alert een deel van hun broncode offline gehaald. Desondanks is de gelekte data met enig zoekwerk nog steeds terug te vinden.
Bovendien is het offline halen van broncode in strijd met het verzoek van gezondheidsminister Hugo de Jonge om alle code openbaar te maken, zodat critici kunnen meekijken hoe de app in elkaar steekt, of dat wel veilig is en de privacy van de gebruiker niet schendt.
Alles bij de bron; NU
Na een ongekende spoedprocedure zijn er nog zeven kanshebbers om de Nederlandse corona-app te ontwikkelen. Dit weekeinde worden de inzendingen getoetst door het publiek. De privacywaakhond Autoriteit Persoonsgegevens en Kamerleden nemen de plannen later onder de loep. Kenners zijn kritisch: ,,Er is te veel haast’.
De inzendingen voldoen aan belangrijke eisen rond contactonderzoek, privacy en informatiebeveiliging, zo meldt het ministerie na consultatie van tientallen deskundigen. Al is één van hen het daar niet mee eens: ,,Er is input vakkundig genegeerd”, zegt Brenno de Winter, privacykenner. ,,Er zitten nu initiatieven bij die door ons afgeschoten zijn als onvoldoende op het gebied van privacy. Ik heb een dag weggegooid gisteren, dit is een janboel.”
Ook data-expert Peter Boncz is kritisch. ,,Dit gaat waarschijnlijk leiden tot een app die teruggefloten gaat worden”, zegt de onderzoeker van het Centrum voor Wiskunde & Informatica en professor aan de Vrije Universiteit Amsterdam. Maandag beoordeelt de Autoriteit Persoonsgegevens de inzendingen en woensdag houdt de Tweede Kamer nog een hoorzitting.
Alles bij de bron; AD
De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel 'aftapwet' en door critici 'sleepwet' genoemd, is sinds mei 2018 van kracht. De TIB is met de komst van de wet in het leven geroepen om te beoordelen of de minister rechtmatig toestemming geeft voor de inzet van bijzondere bevoegdheden van de geheime diensten.
Over de periode van april 2019 tot april 2020, heeft de TIB geoordeeld dat de ministers van Binnenlandse Zaken en Defensie de AIVD in 1,7 procent van de gevallen onterecht toestemming gaven om een verzoek in te dienen. Bij de militaire inlichtingendienst MIVD ging het om 3,1 procent van de gevallen.
In het eerste jaar keurde de TIB - nadat de minister toestemming had gegeven - bij de AIVD alsnog 4,5 procent van de verzoeken af. Bij de MIVD ging het toen om 5,8 procent. De TIB trapte toen onder meer op de rem nadat de ministers hun akkoord hadden gegeven voor het gebruik van de omstreden 'sleepnetmethode'.
De TIB is met name te spreken over de AIVD, wiens verzoeken "aanzienlijk verbeterd" zijn. De MIVD, die relatief minder verzoeken indient, wordt in het jaarverslag niet op dezelfde manier geprezen.
Alles bij de bron; NU
Om de corona-uitbraak in te dammen zet Rusland vol in op digitaal toezicht. De invoering van een digitaal codesysteem leidt tot lange rijen en zorgen over de privacy van burgers.
Toen Ajvazova metrostation Altoefjevo binnen wilde gaan, stond daar de politie. Vanwege de uitbraak van het nieuwe coronavirus zijn alle verplaatsingen binnen Moskou verboden, tenzij de reiziger beschikt over speciale toestemming. Sinds woensdag wordt er actief gecontroleerd. Voor Altoefjevo, maar ook bij andere metrostations ontstonden woensdagochtend lange wachtrijen en stonden forenzen dicht op elkaar gepakt – wat coronabesmettingen alleen maar in de hand kan werken. Die rijen maakten goed zichtbaar welke maatregelen de Russische autoriteiten nemen om het om zich heen grijpende coronavirus een halt toe te roepen.
Het belangrijkste antwoord van de autoriteiten op het virus is dwang en digitaal toezicht. Al weken werd er gesproken over het invoeren van de QR-codes – een digitaal ‘Ausweis’, schreven sommige Russen op Twitter – om verplaatsingen binnen de hoofdstad aan banden te leggen. Wie naar zijn werk of naar de dokter wil, moet via de site van de gemeente een code aanvragen. Te voet naar de lokale supermarkt staat iedereen nog vrij – maar ook dat kan veranderen, zo heeft burgemeester Sobjanin aangekondigd.
...In Moskou valt de druk nog mee. In sommige Russische regio’s wordt al gebruikgemaakt van een app waarin burgers niet alleen hun paspoortgegevens moeten invoeren, maar ook een pasfoto, de lichaamstemperatuur en het hartritme. De regio Moermansk wil enkelbanden met gps-trackers kopen voor patiënten bij wie Covid-19 is vastgesteld. Vladivostok zet drones in om te controleren of mensen zich aan de quarantainemaatregelen houden.
„Rusland is een van de koplopers op het gebied van digitale lijfeigenschap”, zegt Artjom Kozljoek van Roskomsvoboda, een organisatie die zich inzet voor digitale burgerrechten. Roskomsvoboda doet mee aan Pandemic Big Brother, een internationaal project dat in kaart moet brengen welke invloed de coronacrisis heeft op de digitale vrijheden wereldwijd.
Rusland scoort slecht: speciale corona-apps, het volgen van burgers via hun telefoon, censuur en gezichtsherkenning: in Moskou is een systeem operationeel van duizenden camera’s op straat en in de metro. Kozljoek is bezorgd. „Er worden nu tientallen miljoenen euro’s besteed aan nieuwe controlemechanismen. Die kunnen ook worden ingezet als de crisis is afgelopen. Die QR-codes zijn ook heel nuttig bij andere gelegenheden – de bevolking is er dan toch al aan gewend.”
Alles bij de bron; NRC
Op Goede Vrijdag maakten Apple en Google bekend dat ze samen ontwikkelaars van zulke traceer-apps gaan helpen. Apple en Google samen: alsof Pasen en Pinksteren op één dag vallen. De techreuzen bouwen zelf niet de apps, dat laten ze aan overheden en gezondheidsorganisaties over.
Binnenkort zit ‘contact tracing’ standaard in onze mobiele besturingssystemen. Je kunt zelf besluiten of je het activeert, zeggen Apple en Google. De verwachtingen van de traceer-apps zijn hooggespannen. Tegelijkertijd bestaat de angst dat we een surveillancenetwerk optuigen waar we nooit meer vanaf komen.
Om in coronasferen te blijven; is het middel niet erger dan de kwaal? Bluetooth is geen betrouwbare afstandsmeter als je niet weet om wat voor contacten het gaat. Je buurman hoest niet door de schutting heen, zijn bluetoothsignaal is wel zichtbaar. Dat geldt ook voor de kassière achter een glazen ruit.
Moxie Marlinspike, de bedenker van de privacyvriendelijke chat-app Signal, vond ook wat zwakheden in het Apple/Google-plan. Het systeem is anoniem, totdat je ziek wordt.
'So first obvious caveat is that this is "private" (or at least not worse than BTLE), *until* the moment you test positive. At that point all of your BTLE mac addres over the previous period become linkable. Why do they change to begin with? Because tracking is already a problem.'
Wellicht zijn Nederlanders massaal bereid zo’n app te installeren, in de hoop wat grip te krijgen op iets waar we tot nu toe machteloos naar staan te kijken. Maar of we er ook naar zullen leven, valt te betwijfelen.
Alles bij de bron; NRC