Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 april 2021

Zoals ik in mijn brief van 28 april jl.1 aan uw Kamer heb geschreven is er een fout ontdekt in de Google Android implementatie van het Google Apple Exposure Notification (GAEN) framework. Hierbij breng ik u op de hoogte van de voortgang op dit onderwerp.

CoronaMelder maakt gebruik van het GAEN framework om ontmoetingen te detecteren en gebruikers een melding te geven als ze in contact zijn geweest met iemand die achteraf besmet bleek. Door de fout in Android is het denkbaar dat voor geïnstalleerde apps bijvoorbeeld kunnen vaststellen of de telefoon behoort tot iemand die eerder als besmet is gemeld in CoronaMelder of welke ontmoetingen met besmette personen hebben plaatsgevonden. Hiervoor moeten willekeurige codes wel eerst gecombineerd worden met andere databronnen, wat in Nederland in strijd is met de Tijdelijke wet notificatieapplicatie covid-19. Dit probleem doet zich voor zover nu bekend niet voor bij Apple telefoons en Google heeft eerder ook gemeld geen bewijs te hebben dat er daadwerkelijk misbruik van de gegevens heeft plaatsgevonden.

Het probleem doet zich voor op nagenoeg alle Google Android telefoons. Hoewel de oplossing dus bij Google ligt en zij gemeld hebben dit op te zullen lossen, heb ik eerder deze week besloten het delen van codes van Nederlandse gebruikers van CoronaMelder die zich besmet hebben gemeld in de app voor 48 uur stop te zetten. Dit om de gevolgen van een mogelijk datalek te beperken.

Na mijn besluit om geen CoronaMelder meldingen meer uit te sturen naar gebruikers is er frequent contact geweest met Google. Google heeft daarbij aangegeven dat ze de fout erkennen en in korte tijd alle Android telefoons wereldwijd van een oplossing zullen voorzien. Dat gebeurt via een update van de zogenaamde «Play services» waarbij in versie 211290003 en in de versies 211515000 en hoger de fout niet meer bestaat. Op CoronaMelder.nl is beschreven hoe mensen zelf kunnen controleren of hun telefoon al over de update beschikt.

Het Nederlandse team met technische experts heeft gisteravond en vandaag onderzocht of de fout door Google daadwerkelijk opgelost is. De resultaten van deze onderzoeken laten zien dat in genoemde versies de fout inderdaad niet meer bestaat. Aanvullend is er ook meerdere malen contact geweest met de onderzoeker die de initiële bevinding heeft gedaan. Deze onderzoeker onderschrijft de resultaten van ons onderzoek.

Google heeft mij laten weten dat de update in enkele delen wordt doorgevoerd. Deels is dit wereldwijd gebeurd. Na dit weekend zal, aldus Google, de update wereldwijd volledig zijn doorgevoerd. Dit gebeurt automatisch.

Gezien deze ontwikkelingen heb ik besloten de codes van mensen die met hulp van de GGD in CoronaMelder aangeven besmet te zijn om zo anderen te waarschuwen, vanaf zaterdag 1 mei 17:00 weer te publiceren. Ook de besmetmeldingen van de afgelopen dagen zullen dan gepubliceerd worden. Hierdoor zullen mensen alsnog een notificatie ontvangen als ze in contact zijn geweest met mensen die de afgelopen dagen in CoronaMelder hebben aangegeven besmet te zijn.

Ik blijf in contact met de Europese lidstaten in het eHealth Network als ook met Google om de situatie te monitoren. CoronaMelder gebruikers zullen via CoronaMelder.nl worden geïnformeerd over hoe zij kunnen nagaan welke versie van het Google framework op hun telefoon actief is. De CoronaMelder Helpdesk is beschikbaar voor mensen die hier vragen over hebben.

Tot slot onderzoeken wij of het mogelijk is om in de volgende versie van CoronaMelder te garanderen dat het doorgeven van een besmetting met hulp van de GGD alleen werkt op toestellen waar het probleem niet meer bestaat.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge