Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 juli 2020

Met deze brief informeer ik uw Kamer over mijn voorgenomen besluit om op 1 september de app voor digitale contactopsporing, sinds vorige week bekend onder de naam «CoronaMelder», landelijk te introduceren. Mijn voornemen om CoronaMelder op 1 september te introduceren is er op gericht om CoronaMelder onderdeel te laten zijn van de «dijk» die een eventuele tweede golf in het najaar tegen moet houden. Met CoronaMelder bied ik mensen een digitaal middel om zichzelf en daarmee ook anderen te beschermen tegen verspreiding van het virus.

CoronaMelder is een aanvulling op de reguliere bron- en contactopsporing van de GGD en ondersteunt de bestrijding van het Coronavirus en het beteugelen van de consequenties ervan. De ontwikkeling van CoronaMelder is gestart met het OMT-advies van 6 april om «zo snel mogelijk de mogelijkheden voor ondersteuning van bron- en contactopsporing m.b.v. mobiele applicaties te onderzoeken. Het OMT acht dit noodzakelijk voor de toekomstige fase in aanvulling op reguliere bron- en contactopsporing door de GGD-en. Het OMT heeft een voorkeur voor een populatiegebaseerde aanpak gebruikmakend van technieken die de privacy van eindgebruikers waarborgen conform de AVG-wetgeving».

Op 7 april heb ik uw Kamer laten weten een verkenning te starten welke digitale middelen binnen het beleid van testen, traceren en thuisrapportage kunnen worden ingezet.1 Ik heb gekeken naar twee mogelijke apps ter aanvulling en ter ondersteuning van de bron- en contactopsporing van de GGD: een app voor digitale contactopsporing en een app voor thuisrapportage voor op het Coronavirus positief geteste mensen. Deze brief gaat over de eerstgenoemde app. Na de zomer informeer ik u over de voortgang ten aanzien van de tweede app.

Op 9 april verzocht uw Kamer mij middels de motie van het lid Jetten c.s.2 «hierover zo spoedig mogelijk duidelijkheid te geven aan het parlement, waarbij het uitgangspunt is dat de inzet van deze apps proportioneel is en de apps op het gebied van privacy voldoen aan de bestaande wetgeving zoals de AVG, en de Autoriteit Persoonsgegevens bij deze uitwerking betrokken zal worden». Ik heb u daarom in al mijn brieven over de stand van zaken ten aanzien van COVID-19 een update gegeven over de voortgang.

Ik ben in de ontwikkeling van CoronaMelder onder andere opgetrokken met de landen om ons heen en de blauwdruk van CoronaMelder komt grotendeels overeen met bijvoorbeeld de Duitse, de Italiaanse en de Ierse app. Ik ben verheugd u te kunnen melden dat CoronaMelder zo ver gereed is én dat de uitkomsten van de tests en checks die ik tot dusver heb uitgevoerd dusdanig zijn, dat ik voornemens ben CoronaMelder op 1 september landelijk te introduceren. Dit onder voorbehoud van de uitkomsten van de aanvullende beproevingen en checks die ik voor de komende weken nog gepland heb op het gebied van privacy, informatieveiligheid, nationale veiligheid, bruikbaarheid en toegankelijkheid.

In deze brief informeer ik u ook over het vervolg van de praktijktest en de stappen die ik zet om gereed te zijn voor landelijke introductie op 1 september. Daarnaast geef ik u een overzicht van de internationale ontwikkelingen en de wijze waarop ik met andere landen optrek om te komen tot een app die ook in andere landen gebruikt kan worden. Ten slotte informeer ik u over het wetsvoorstel dat ik aan uw Kamer zal aanbieden, waarin waarborgen zijn opgenomen ter voorkoming van misbruik van de app en voor de duidelijkheid is geëxpliciteerd dat CoronaMelder onderdeel uitmaakt van de bron- en contactopsporing door de GGD.

Ik ben graag bereid om uw Kamer in de tweede helft van augustus middels een Technische Briefing uitgebreid over de app zelf, de testresultaten en de uitkomsten van alle checks te informeren.

Totstandkoming CoronaMelder

Na mijn aankondiging om te onderzoeken hoe digitale middelen kunnen helpen bij de beheersing en bestrijding van het Coronavirus, heb ik uit tal van nationale en internationale hoeken adviezen en aanbiedingen gehad ten aanzien van werkende oplossingen. Ik heb daarom in april een korte marktconsultatie gehouden om te verkennen wat er in de markt al beschikbaar was. Vervolgens heb ik deze aangedragen werkende oplossingen in een openbare beproeving getoetst op het voldoen aan de eisen die ik, mede op aangeven van diverse experts zoals de coalitie «veiligtegencorona» en een grote groep van wetenschappers, aan de digitale oplossing stel. Deze openbare beproeving heeft plaats gevonden in het weekend van 18 en 19 april en is bekend geworden onder de naam «Appathon».

Zoals ik u in mijn brief van 21 april3 heb laten weten, is er uit de marktconsultatie en de daaropvolgende openbare beproeving geen werkende oplossing gekomen die voldeed aan alle eisen op het gebied van privacy, informatieveiligheid, nationale veiligheid, bruikbaarheid en toegankelijkheid. Omdat ik aan deze eisen geen concessies doe, heb ik zelf een team samengesteld van experts van binnen én buiten de overheid, dat in mijn opdracht op transparante wijze, in open source en aansluitend op het «framework» van Apple en Google een app heeft gebouwd. De afgelopen weken is gebouwd aan een goed werkende app, aanvullend op de bron- en contactopsporing van de GGD, die aan alle eisen voldoet.

Uitgangspunt bij de bouw van de app was een zo groot mogelijke transparantie. Tussenproducten in de bouw van de app zijn door het bouwteam daarom doorlopend gepubliceerd op GitHub, een online platform waarop software kan worden geplaatst door ontwikkelaars om anderen uit te nodigen mee te kijken en mee te doen. Ditzelfde geldt ook voor de ontwerpen van de gebruikersinterface. Door deze open manier van werken, is door de zogenaamde «communities» al tijdens de bouw meegedacht en meegewerkt in het steeds verder verbeteren van tussenproducten van de app. Ook is tijdens de bouw al uitgebreid getest op aansluiting van de app bij de wensen van de GGD en de eisen die ik aan de app heb gesteld, waaronder de in mijn brief van 24 juni4 genoemde veldtest met betrekking tot het gebruik van Bluetooth. Vanaf half juni zijn er ook tests in laboratoriumsetting en vervolgens in de praktijk (onder andere in de regio Twente) uitgevoerd. Ook is er met verschillende doelgroepen getest, zodat de app bijvoorbeeld ook door mensen met een beperking gebruikt kan worden.

Daarnaast is gedurende de bouw door de onafhankelijke Begeleidingscommissie, de Taskforce Digitale Ondersteuning bestrijding COVID-19 en de Taskforce Gedragswetenschappen kritisch meegekeken en geadviseerd. Ik heb u het eerste advies van de Begeleidingscommissie op 25 juni toegestuurd. Het tweede, derde en vierde advies ontvangt u bij deze brief (zie ook hierna)5.

Tests en checks

Naast het binnenhalen van experts van binnen en buiten de overheid voor het ontwikkelen van de app, heb ik ook een zorgvuldig traject van testen en checks ingericht om de app te beproeven. Hieronder vindt u een overzicht van de beproevingen die ik uit heb laten voeren.

Privacy en gegevensbescherming

Er is een Data Privacy Impact Assessment (DPIA) uitgevoerd waarvan het concept als bijlage bij deze brief is toegevoegd (bijlage 2)6. De concept DPIA is op 7 juli, met een positief advies van de Functionaris Gegevensbescherming van het Ministerie van VWS, aangeboden aan de Autoriteit Persoonsgegevens (AP) voor een voorafgaande raadpleging. De AP heeft mij laten weten de stukken met voorrang en zo snel mogelijk te behandelen, binnen de grenzen van de gebruikelijke zorgvuldigheidsvereisten die de AP hanteert bij een voorafgaande raadpleging. De AP geeft aan te verwachten 2 tot 3 weken nodig te hebben voor het bestuderen van de stukken en het opstellen van een advies.

Vanuit het oogpunt van zorgvuldigheid voert Privacy Management Partners daarnaast momenteel een second opinion op de concept DPIA uit. Na advies van AP en de second opinion zal de DPIA definitief gemaakt worden.

Informatieveiligheid

Om te borgen dat privacy en informatieveiligheid goed zijn geborgd in de app, heb ik binnen het team van experts ook de heer De Winter7 aangetrokken om mij te adviseren op dit terrein. Ik heb hem vanuit zijn rol als kritisch expert gevraagd advies uit te brengen met betrekking tot de haalbaarheid van de introductie van CoronaMelder vanuit het perspectief van informatiebeveiliging en privacybescherming. Ik geef invulling aan zijn adviezen en geef hieronder een overzicht van de stappen die ik nog neem.

Door NFIR worden de eerste penetratietesten uitgevoerd en de bevindingen uit deze tests worden opgelost. Op advies van de Functionaris Gegevensbescherming zal ik medio augustus nog een penetratietest uit laten voeren op de finale testversie. Ik ben daarnaast voornemens om gedurende het in gebruik zijn van CoronaMelder regelmatig penetratietesten uit te laten voeren. Alle penetratietesten worden uitgevoerd op basis van geldende open standaarden.

Het zogenaamde «cryptoraamwerk» van de app dat beschrijft hoe de versleuteling in de app aansluit bij de werking van het framework van Apple/Google wordt eveneens getoetst. Dit cryptoraamwerk is eerder op GitHub publiek toegankelijk gemaakt zodat de «community» mee kan kijken. Door Radically Open Security is gestart met de review van het cryptoraamwerk. Radically Open Security voert ook een audit uit op de broncode van de serverzijde van CoronaMelder. Secura voert een audit uit op de broncode van de apps voor iOS en Android. Het doel van de broncode onderzoeken is vast te stellen dat wat ontworpen is en op papier dus aan alle eisen voldoet ook daadwerkelijk zo is gebouwd, om vast te stellen dat er geen extra functionaliteit is toegevoegd (achterdeuren) en om te beoordelen wat de beveiligingsstaat van de broncode is. De tussenresultaten laten geen belemmeringen zien om het besluit te nemen op 1 september over te gaan tot landelijke introductie.

Ik heb Fox-IT gevraagd een second opinion uit te voeren op de testen ten aanzien van informatieveiligheid. Zij hebben aangegeven dat het ontworpen proces kan leiden tot een product dat vanuit beveiliging geschikt voor het doel is en dat de risico’s beheersbaar zijn, wanneer de nog geplande tests met succes worden doorlopen.

Ook de website Coronamelder.nl is getest op informatieveiligheid. Het compliancyrapport (zie bijlage 3)8 geeft aan dat er vanuit de techniek, toegankelijkheid en beveiliging geen hindernissen zijn om live te gaan.

Analyse van nationale veiligheidsrisico’s

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Nationaal Cyber Security Centrum (NCSC) en het Nationaal Bureau voor Verbindingsbeveiliging (NBV) als onderdeel van de Algemene Inlichtingen- en Veiligheidsdienst hebben samen met mijn departement en de experts die CoronaMelder realiseren een analyse uitgevoerd van de nationale veiligheidsrisico’s. Op 9 juli heb ik een advies ontvangen van de NCTV, het NCSC en de NBV over de nationale veiligheidsrisico’s van CoronaMelder. Zij concluderen dat, op basis van hetgeen op het moment van de analyse bekend was over CoronaMelder en de inrichting daarvan, er weerbaarheid georganiseerd is tegen potentiële risico’s op het gebied van nationale veiligheid als de gegeven adviezen worden geïmplementeerd. De daarbij gegeven adviezen neem ik over en verwerk ik bij de verdere bouw van de app en de backend.

Technische tests

Eerder heb ik u reeds bericht over de uitkomsten van de tests naar de werking van bluetooth. Op 8 juni heb ik, in samenwerking met het Ministerie van Defensie, in Vught een technische test uitgevoerd om de werking van de bluetooth-techniek te valideren (zie bijlage 4)9. De definitieve uitkomsten van de analyses op de testresultaten laten zien dat bluetooth een bruikbare techniek is voor CoronaMelder om in te schatten of iemand een hoog-risico contact heeft gehad of niet. Het gaat hierbij dus niet om de exacte afstand en tijd.

CoronaMelder gebruikt de BLE-techniek (Bluetooth Low Energy) om te bepalen of twee toestellen waarop de app is geïnstalleerd gedurende enige tijd voldoende dicht bij elkaar in de buurt zijn geweest. Hiervoor meet de app de verzwakking van het bluetooth-signaal (attenuation) en de tijdsduur van de waarneming van het signaal. Op grond van deze parameters kan worden bepaald of iemand in een situatie is geweest met hoog risico op besmetting met COVID-19. Bluetooth meet dus niet primair de afstand of duur, de bluetooth-techniek is daar niet voor bedoeld. Betrouwbare en precieze meting van de afstand is met bluetooth niet mogelijk maar voor deze toepassing ook niet noodzakelijk. De indicatie van nabijheid, in combinatie met de tijdsduur van het signaal (15 minuten), blijkt op basis van de testmetingen in Vught voldoende om een betrouwbare uitspraak te doen of de gebruiker een hoog risico op besmetting heeft gelopen. We zijn over de beste instellingen in gesprek met de landen die met dezelfde techniek werken en met Apple en Google.

Uit de metingen blijkt dat 73% van de situaties waarin een melding over een hoog-risico contact werd verwacht ook een melding volgde (sensitiviteit van de app). Andersom bleek dat eveneens in 73% van de situaties waarin géén melding over een hoog-risico contact moest volgen, er ook geen melding kwam (de specificiteit van de app). De resultaten zijn besproken in de Taskforces DOBC en Gedragswetenschappen. Op basis daarvan is geconcludeerd dat de bluetooth-techniek voldoende betrouwbaar is om een voorspelling te doen over of een gebruiker in een besmettelijke situatie is geweest. Vergelijk dit met het regulier bron- en contactonderzoek, waarin ook iedereen die zich bijvoorbeeld in hetzelfde restaurant bevond door de GGD kan worden gebeld, ook als men niet echt dichtbij de achteraf positief geteste restaurantbezoeker is geweest.

Bewijs van software integriteit

Gedurende de bouw zijn er voortdurend tests uitgevoerd naar de technische werking van de app. Om te bewijzen dat de versies van de apps die naar Google en Apple worden gestuurd 1-op-1 gebaseerd zijn op de versies die zijn gepubliceerd op GitHub, zijn door de Landsadvocaat in samenwerking met een zogenaamde «Escrow partij» (Escrow Alliance) validatiecontroles uitgevoerd. Voor elke versie van elke applicatie zal een verklaring van juistheid en integriteit worden afgegeven.

Toegankelijkheid

De gebruikersinterface van de app is vanaf de bouw wekelijks getest met allerlei doelgroepen. Honderden Nederlanders deden hier aan mee. In het bouwteam is een expert (en ervaringsdeskundige) ten aanzien van toegankelijkheid opgenomen. Meer dan 350 ontwerpers hebben online suggesties gedaan. De onderzoeksresultaten worden regelmatig gepubliceerd op GitHub. Maike Klip, één van de onderzoekers, schreef over haar ervaringen ook de blog «Een app voor Simone10».

Uitkomsten LabTest

Van 29 juni tot 3 juli is door de Universiteit Twente een LabTest uitgevoerd (zie bijlage 6)12. Deze test richtte zich op gebruikersvriendelijkheid en begrijpelijkheid van de app. In totaal 50 mensen uit diverse groepen (jongeren, volwassenen, middenstanders, laaggeletterden) zijn gevraagd opdrachten uit te voeren met de app. Deze mensen zijn geobserveerd bij het uitvoeren van de opdrachten en geïnterviewd over hun ervaringen. Daarbij is onder andere gekeken naar hoe mensen door de app navigeren en of de teksten in de app worden begrepen. Hiermee is informatie opgehaald om de gebruikersvriendelijkheid en begrijpelijkheid van de volgende versies van de app te verbeteren. Uit de LabTest blijkt dat CoronaMelder voldoet aan eisen van gebruiksgemak, de werking van de app begrijpelijk is, de teksten de werking goed uitleggen en de app er verzorgd uitziet. De meeste vragen ontstaan rondom de notificatie van een risicovol contact (wat moet ik precies doen?). Dit zal worden meegenomen in de aanpak van de communicatie door de GGD-medewerkers. Met de GGD zal gewerkt worden aan het opleiden van de medewerkers en het verzorgen van goed instructiemateriaal. Voor vragen over CoronaMelder wordt ook een helpdesk ingericht.

Daarnaast blijkt uit de LabTest dat de communicatie over CoronaMelder rondom privacyaspecten van belang is voor de acceptatie. Proefpersonen die aanvankelijk weerstand hadden waren na de gebruikerstest vanwege de uitleg van de werking in de app positiever gestemd over CoronaMelder.

In overleg met de taskforce Gedragswetenschappen is aan de LabTest een ethische beproeving toegevoegd. Deze beproeving bestond uit twee onderdelen: een ethische analyse door een expertpanel en een «begeleidingsethiek» sessie met een panel van burgers. Deze ethische beproeving is uitgevoerd onder voorzitterschap van prof. Peter-Paul Verbeek (Universiteit Twente). Het expertpanel heeft een tiental kernwaarden13 geïdentificeerd die centraal dienen te staan in het beoordelen van de voor bestrijding van de pandemie ingezette CoronaMelder en mij op elk van deze tien kernwaarden van aanbevelingen voorzien die ik meeneem in de bouw, introductie in de samenleving en communicatiestrategie (zie bijlage 7)14.

Uitkomsten veldtest

Van 8 tot 13 juli is een veldtest uitgevoerd. Dit betrof een onderzoek onder 1.500 mensen uit de regio Twente en eenzelfde onderzoek onder een representatieve groep Nederlanders. De resultaten van dit onderzoek worden op dit moment geanalyseerd.

De eerste resultaten van de veldtest laten zien dat na het testen van de app 83% een positieve houding ten opzichte van de app heeft, 14% staat neutraal ten opzichte van de app en 1% is negatief. Driekwart van de testers denkt dat de app helpt bij het bestrijden van het virus. Sommige gebruikers denken wel dat de app ook locatie verwerkt, terwijl dat niet het geval is. De app weet niet waar je bent. Ook op basis van deze resultaten zullen zowel de app als de verdere communicatie worden verbeterd.

Deze eerste uitkomsten ondersteunen mijn voornemen om tot landelijke introductie over te gaan. Ik kijk uit naar de verdere analyse van de test en zal de uitkomsten hiervan verwerken bij het vervolg.

Tweede, derde en vierde advies Begeleidingscommissie

Tweede advies Begeleidingscommissie

De Begeleidingscommissie heeft op 30 juni een tweede advies uitgebracht dat zich richt op het gebruik van het framework van Google en Apple. De commissie adviseert mij om met Google en Apple een verwerkersovereenkomst als bedoeld in artikel 28 van de Algemene Verordening Gegevensbescherming te sluiten en hierin op te nemen dat zij garanderen geen gegevens voor eigen doeleinden te zullen verwerken in het kader van het gebruik van CoronaMelder, óók niet wanneer functionaliteit in de besturingssystemen en/of software ingebouwd zal worden. Verder wordt geadviseerd om op te nemen dat gebruikers van Android toestellen niet verplicht worden om geolocatie aan te zetten, nu dit niet noodzakelijk is voor het functioneren van de app. Zij adviseren de Autoriteit Persoonsgegevens te verzoeken toezicht te houden op zorgvuldige naleving van de regels ter bescherming van persoonsgegevens door alle betrokken partijen, inclusief Google en Apple, en dit onderwerp in Europees verband aan te kaarten omdat dit probleem ook in andere EU-lidstaten kan ontstaan.

Het beschermen van de privacy van gebruikers van de app is een harde eis voor mij bij de introductie van CoronaMelder. Hierboven heb ik beschreven welke checks ik heb uitgevoerd om de privacy te borgen. Apple en Google zijn inderdaad betrokken partijen maar geen verwerkers in de zin van de AVG. Het afsluiten van een verwerkersovereenkomst met Apple en Google is dan ook niet mogelijk. Ik vind het wel belangrijk dat er goede afspraken met Google en Apple zijn, deze zijn opgenomen in het document Exposure Notification.15

Gebruikers met een Android telefoon krijgen in alle apps zoals CoronaMelder die gebruik maken van het framework van Apple en Google (en daarmee ook in alle andere landen die een dergelijke app ontwikkelen) een melding over het gebruik van locatiegegevens. Op Android schaart Google het gebruik van Bluetooth onder locatieservices omdat met sommige Bluetooth toepassingen locatie kan worden bepaald. Voor gebruikers is dit verwarrend, omdat CoronaMelder vervolgens geen toegang krijgt (en ook niet zal krijgen) tot locatiegegevens.

Zowel in Europees verband als op nationaal niveau is doorlopend overleg met Apple en Google. Dit zal actief worden voortgezet om ook deze voorgelegde zaken te bespreken. Gedurende het gehele traject is ook regelmatig contact met de Autoriteit Persoonsgegevens (AP) over de voortgang van de app. De AP houdt toezicht op verwerkingen van persoonsgegevens en kijkt daarom, zoals ook hierboven beschreven, mee op CoronaMelder. De AP is een onafhankelijke toezichthouder. Het is aan de AP zelf om te bepalen welke prioriteiten zij stelt.

Derde advies Begeleidingscommissie

Op 3 juli heb ik het derde advies van de Begeleidingscommissie ontvangen. Dit derde advies van de Begeleidingscommissie ziet op de relatie tussen CoronaMelder en de Covid-19 teststrategie. De Begeleidingscommissie adviseert dat het cruciaal is voor de ontwikkeling en lancering van de app, dat het handelingsadvies na notificatie, een burger direct toegang geeft tot testen, onafhankelijk van de aanwezigheid van symptomen of klachten. Aangeraden wordt om ook epidemiologen en infectieziektenmodelleurs te betrekken om algoritmen en parameters optimaal in en bij te kunnen stellen. Internationale afstemming over grensoverschrijdend gebruik van notificatie-apps is hierin ook belangrijk. Geadviseerd wordt verder om de lancering eventueel uit te stellen tot eerder genoemde punten zijn gerealiseerd en om duidelijk met het publiek te communiceren dat CoronaMelder onderdeel is van de bredere Covid-19 strategie. Hierbij is het zowel belangrijk om het belang van notificaties voor de burger zelf en voor de samenleving als geheel, alsmede de beperkingen van de techniek te benoemen.

Mede op basis van het eerste advies van de Begeleidingscommissie is het OMT eerder al om advies gevraagd met betrekking tot het testen van mensen zonder symptomen of klachten. Ik schreef u eerder16 dat het OMT aangaf dat dit relevant is bij uitbraken, zoals we recent bijvoorbeeld hebben gezien in slachthuizen. De GGD kan in dergelijke gevallen besluiten tot het testen van mensen zonder symptomen of klachten. Het past goed bij een risicogerichte en risicogestuurde aanpak van testen in zo’n situatie. Ook kan het testen zonder symptomen of klachten nuttig zijn bij mensen die in beeld zijn gekomen via bron- en contactopsporing. Dit zou mogelijk ook kunnen gelden voor nauwe contacten van een besmette persoon die via de app geïdentificeerd wordt en dit wordt meegenomen in het traject voor ontwikkeling van apps.

Het handelingsadvies dat met de notificatie wordt meegezonden, wordt opgesteld door de GGD. Dit advies kan veranderen afhankelijk van de fase waarin de bestrijding van het virus zich bevindt en is geënt op de richtlijnen van het RIVM. Zo kan op basis van het aantal dagen sinds het hoog-risico contact plaats vond het advies zijn om zoveel mogelijk thuis te blijven en na een nader te bepalen aantal dagen sinds het contact met de besmette persoon een test aan te vragen. Met betrekking tot dit laatste voert het RIVM op dit moment op mijn verzoek een onderzoek uit naar testen zonder klachten. Hierin wordt bekeken hoe het advies van de Begeleidingscommissie overgenomen kan worden dat na notificatie, afhankelijk van de dag van het hoog-risico contact, altijd een test zou moeten kunnen worden aangevraagd (ook als men geen klachten heeft). Dit zal dan moeten gelden voor zowel opgespoorde contacten in de reguliere bron- en contactopsporing als na notificatie in de app.

Vierde advies Begeleidingscommissie

Op 10 juli heeft de Begeleidingscommissie een vierde advies uitgebracht dat (wederom) focust op de locatie-instellingen op Android telefoons. Bij gebruik van CoronaMelder wordt toestemming gevraagd om locatiegegevens te gebruiken. Dit komt, zoals hierboven ook beschreven, door de interpretatie van Google van het gebruik van bluetooth. De Begeleidingscommissie adviseert om zo snel mogelijk contact op te nemen met Google om de verplichte inschakeling van locatie-permissie te beëindigen. Daarnaast adviseert de commissie om Nederlanders hierover proactief te informeren. De vraag om toestemming om locatie-instellingen aan te zetten kan immers als een aantasting van privacy worden ervaren. Zij adviseren tevens om gebruikers middels illustraties, animaties en Q&A op websites te informeren hoe zij locatiegegevens voor andere apps uit kunnen zetten en dit actief te bevorderen.

Zoals hiervoor ook al beschreven als reactie op het tweede advies van de Begeleidingscommissie, houdt de locatie-toestemming niet in dat Google locaties van gebruikers bij kan houden. Op Android schaart Google het gebruik van Bluetooth onder locatiediensten omdat met sommige Bluetooth toepassingen locatie kan worden bepaald. Voor het bepalen van locaties binnen een app moet de instelling geactiveerd zijn en moet de desbetreffende app ook locatie-toegang hebben. Voor CoronaMelder is dat laatste niet het geval: CoronaMelder kan niet bij locatiegegevens van de gebruiker. Indien Google besluit deze melding niet aan te passen, dan zal ik documentatie laten opstellen om gebruikers te informeren over hoe zij ervoor kunnen zorgen dat locatie-instellingen al dan niet aan staan en ook dat CoronaMelder geen toegang tot locatiegegevens heeft. Eenzelfde vraag speelt ook in andere landen die gebruik maken van het framework van Apple en Google. Wij trekken reeds samen op in gesprekken met Google hierover en zullen ook leren van hoe andere overheden momenteel met het uitleggen en documenteren van de genoemde kwestie omgaan.

Advies Taskforces en Begeleidingscommissie dd 14 juli 2020

Op 14 juli heb ik overleg gehad met de voorzitters van de Begeleidingscommissie, de Taskforce Digitale Ondersteuning Bestrijding COVID-19 en de Taskforce Gedragswetenschappen over mijn voornemen CoronaMelder op 1 september landelijke te introduceren. De voorzitters van deze adviesorganen hebben mij geadviseerd om op 1 september met CoronaMelder te starten en (de opbrengsten en effecten van) het gebruik van CoronaMelder te blijven evalueren en te leren van de opgedane ervaringen. Daarbij moet in ieder geval gekeken worden naar het effect van het gebruik van de app op gedrag, epidemiologische waarde en medische waarde en naar de ethische effecten. Nogmaals is mij geadviseerd ervoor zorg te dragen dat het voor mensen mogelijk is om zich na een notificatie van CoronaMelder te laten testen, ongeacht klachten of symptomen. Zoals ik hierboven aangaf, is het melden van «de dag van het hoog-risico contact» belangrijk voor een goede werking van de app zodat de melding kan worden toegespitst op het correcte advies. Daarnaast hebben zij mij geadviseerd om bij het vervolg van de praktijktest ook te testen in een regio waar het aantal besmettingen op dit moment wat hoger ligt. Tenslotte is door de voorzitters het belang benadrukt van een goede uitleg van de werking van CoronaMelder, zowel voor de individuele burger als voor de samenleving, en het ontkrachten van mythes over de app.

Aanloop naar landelijke introductie

Mijn voornemen om de app op 1 september landelijk te introduceren, biedt de ruimte om in de zomer nog meer ervaring op te doen en de landelijke introductie zorgvuldig voor te bereiden.

Vervolg praktijktest

De afgelopen periode is de werking van de app in het veld getest door meer dan 1.500 mensen, onder andere in de regio Twente. Vanaf 17 augustus zal ik in aanloop naar de landelijke introductie een volgende stap zetten in de praktijktest. Ik ben voornemens dit te doen in de regio’s Twente en Rotterdam-Rijnmond. Ik kies voor Twente omdat de GGD Twente vooruitloopt in de introductie van de app en eerder al testregio is geweest en ik kies voor Rotterdam-Rijnmond aangezien hier meer besmettingen zijn. De GGD Twente zal als eerste testregio de andere GGD-regio’s ondersteunen bij het implementeren van het nieuwe werkproces.

Ik neem hiermee een voorbeeld aan het model van geleidelijke introductie dat onder andere in Italië is gehanteerd. Hiermee zet ik geen onomkeerbare stappen, maar geef ik ruimte aan de GGD om de werking te testen en om verbeterpunten voor de landelijke introductie op te pakken.

Vanaf 17 augustus zal CoronaMelder beschikbaar komen in de appstores. Daarmee is de app voor iedereen te downloaden, maar buiten de testregio’s nog niet volledig bruikbaar. Het is namelijk niet mogelijk CoronaMelder alleen in de testregio’s beschikbaar te stellen, omdat de appstores niet zo zijn ingericht. De app functioneert vanaf dat moment technisch volledig en wisselt bijvoorbeeld de codes uit. Het melden van positieve testuitslagen in de app wordt tijdens de testperiode echter alléén in de testregio’s ondersteund door de GGD. Dit betekent dat een positieve test vanaf 17 augustus in de regio’s Twente en Rotterdam-Rijnmond door gebruikers kan worden gemeld. Positieve testen in andere regio’s kunnen nog niet in de app worden gemeld. Wie niet in een testregio woont kan wel een notificatie krijgen na een contact met iemand die wel in een testregio woont en positief is getest op het virus. Elke notificatie gaat uiteraard gepaard met het bijbehorende handelingsadvies.

De praktijktesten in de twee GGD-regio’s betekenen voor deze GGD-en dat zij voor de appgebruikers in hun regio die positief getest zijn, tijdens het telefoongesprek de codes autoriseren in het webportaal. Alle andere GGD-en zullen tijdens de praktijktesten implementatie-ondersteuning ontvangen en kunnen leren van de ervaringen van de praktijktesten. Aangezien alle Nederlanders (van 16 jaar en ouder) de app tijdens de gebruikerstesten kunnen downloaden kunnen er bij de GGD-en vragen over de app binnenkomen.

In Duitsland bleek na introductie van hun nationale app dat de gezondheidsdiensten veel vragen kregen over de (werking van) de app. Om te voorkomen dat dit ook in Nederland gebeurt, wordt er voor vragen over CoronaMelder een aparte helpdesk ingericht waarnaar in de app verwezen wordt. Voor het vervolg van de praktijktest start zullen alle BCO-medewerkers geïnformeerd worden over deze helpdesk, zodat ook zij hiernaar kunnen verwijzen bij vragen over CoronaMelder.

Communicatiecampagne

Als onderdeel van het zorgvuldige implementatieproces, gebruik ik de periode tot 1 september ook om een communicatiecampagne voor te bereiden waarin het doel en de werking van de app duidelijk worden gemaakt. Ter ondersteuning van de landelijke implementatie van CoronaMelder is een massamediale (online- en offline) publiekscampagne voorzien rondom de lancering van de app vanaf 1 september. De mediamix bestaat uit de inzet van een tv-commercial, radio, buitenreclame, print en ook een online campagne (o.a. banners, social media) met sterke focus op het stimuleren van directe downloads. In de communicatiecampagne zal ook sterk de nadruk gelegd worden op vrijwilligheid van het gebruik van de app.

Naast de massamediale publiekscampagne die ingezet gaat worden, wordt er gekeken welke organisaties kunnen helpen bij de adoptie van de app onder de Nederlandse bevolking. Op basis van bereik, bereidheid van vrijwillige adoptie en risico op virusverspreiding in de fysieke ruimtes van eventuele partnerorganisaties is een eerste selectie gemaakt van de te benaderen organisaties. Vanaf moment van introductie zal gestart worden met de partnerships. Hierbij blijft het benadrukken van vrijwilligheid uiteraard een voorwaarde waaraan ik niet zal tornen.

In de campagne is uiteraard ook aandacht voor minder makkelijk bereikbare doelgroepen (waaronder laaggeletterden, migranten, slechthorenden en slechtzienden), voor wie in samenwerking met gespecialiseerde partijen specifieke communicatiemiddelen zoals bijvoorbeeld een Steffie-module worden ontwikkeld.

Voorbehoud bij voorgenomen introductie op 1 september

De planning die ik aanhoud om te komen tot landelijke introductie op 1 september is ambitieus. Ik doe namelijk geen concessies als het gaat om onder meer privacy, informatieveiligheid en toegankelijkheid. Daarnaast blijft het ook vanuit de techniek een ambitieuze planning. Mijn voorgenomen besluit tot landelijke introductie van CoronaMelder kent nog enkele voorbehouden alvorens een definitief besluit genomen kan worden.

Gezien de grote uitdagingen waarvoor de Belastingdienst staat heeft de Staatssecretaris van Financiën mij verzocht om te onderzoeken of een andere landingsplek mogelijk is voor de «backend» van de app dan het datacenter van de Belastingdienst. Ik onderzoek daartoe nu de mogelijkheden en heb het CIBG gevraagd mij te adviseren over het beste alternatief voor de landingsplek van de backend. Dit heeft niet alleen gevolgen voor de implementatie van de techniek maar vraagt ook om aanvullende checks naar bijvoorbeeld beveiliging.

De Autoriteit Persoonsgegevens (AP) heeft aangegeven enige tijd nodig te hebben voor het uitbrengen van hun advies. Pas na positief advies van de AP zal ik besluiten tot landelijke introductie.

De GGD heeft een grote rol en verantwoordelijkheid in het proces van bron- en contactopsporing. De GGD-en hebben daarom een aantal randvoorwaarden geformuleerd waaraan voldaan moet en zal zijn voor landelijke introductie. De komende periode zal benut worden om samen met de GGD deze randvoorwaarden verder in te vullen.

Daarnaast zullen de tests en checks die ik continueer geen belemmeringen voor landelijke introductie mogen opleveren. Het gaat daarbij naast het advies van de AP om:

• – Een second opinion op de (concept) DPIA

• – Finale penetratietesten en finale testen van de broncodes

• – Een second opinion van Fox-IT op de volledigheid van deze testen ten aanzien van informatieveiligheid

• – Herhaalde analyse in het licht van de nationale veiligheid van de finale versie

Ik zal uw Kamer half augustus informeren over de stand van zaken rondom de landingsplek van de backend, het advies van de AP en de resultaten van de andere geplande tests en checks.

Doel van CoronaMelder

CoronaMelder is een aanvulling op de reguliere bron- en contactopsporing van de GGD om de verspreiding van het virus zoveel en zo snel mogelijk te helpen beteugelen. Met CoronaMelder kunnen meer contacten van een besmette persoon sneller bereikt worden en worden ook personen bereikt die besmette personen zich niet herinneren of die ze niet kennen. Denk hierbij bijvoorbeeld aan personen die bij een besmet persoon in het openbaar vervoer in de buurt hebben gezeten of bezoekers op het werk. Mocht iemand achteraf positief getest worden op het Coronavirus, dan kan de betreffende besmette persoon via de app dergelijke contacten anoniem waarschuwen. Deze contacten krijgen dan via de app een notificatie als zij gedurende 15 minuten of langer in de nabijheid zijn geweest en dus mogelijk een risico lopen ook besmet te zijn. Bij de melding via de app krijgen zij direct een handelingsadvies over de te nemen maatregelen.

Met CoronaMelder wordt beoogd een bijdrage te leveren aan het zo snel mogelijk informeren van burgers over hun risico op besmetting met het virus en daarmee aan het beheersen van de verspreiding van het virus. Elke vroegtijdig gevonden besmetting is winst omdat daarmee een mogelijke verspreidingsketen wordt verbroken. Ook bij een lage adoptiegraad is daarom al een effect te verwachten van het gebruik van de app17. Dit neemt niet weg dat ik een zo hoog mogelijke adoptiegraad nastreef, want hoe meer mensen de app gebruiken hoe meer mogelijke ketens van besmetting verbroken kunnen worden.

Werking van CoronaMelder

Technische werking

CoronaMelder kan binnenkort gedownload worden uit de (Google en Apple) appstores en is op elke smartphone die gebruik maakt van de besturingssystemen IOS en Android (versies IOS 13.5 & Android 6 en hoger) te gebruiken. Het gebruik van de app is vrijwillig en de app is gratis. CoronaMelder kan ook altijd weer van de telefoon verwijderd worden. CoronaMelder is zo opgezet dat meerdere talen worden ondersteund. Bij de landelijke introductie op 1 september zal de app Nederlands, Engels, Duits, Pools, Turks, Spaans, Frans, Arabisch, Bulgaars en Roemeens ondersteunen.

Werking in aanvulling op bron- en contactopsporing GGD

CoronaMelder is aanvullend op de bron- en contactopsporing door de GGD. De verwachting is dat via de app ook contacten worden genotificeerd die niet via het reguliere BCO worden opgespoord, bijvoorbeeld omdat de besmette persoon deze zich niet herinnert of niet persoonlijk kent.

Als iemand positief getest is op het Coronavirus, zal deze persoon door de GGD gevraagd worden of de CoronaMelder is geïnstalleerd. Als dat het geval is, kan men dit vrijwillig en met hulp van de GGD medewerker melden in CoronaMelder. Pas dan ontvangen contacten die de app ook gebruiken een notificatie, waaruit niet blijkt wie de positief geteste persoon is. De mensen die een notificatie ontvangen krijgen direct een concreet handelingsadvies om zoveel mogelijk thuis te blijven en zich bij klachten te laten testen. Onderzocht wordt nog of zij zich ook zonder klachten kunnen laten testen, zodat zij bij een negatieve testuitslag eerder weer uit de thuisquarantaine kunnen gaan en aan de samenleving kunnen deelnemen. Naar verwachting zal dit voorafgaand aan de praktijktest maar zeker voor landelijke introductie bekend zijn.

Doorlopende evaluatie van werking

De werking van CoronaMelder zal blijvend worden geëvalueerd aan de hand van een evaluatieprotocol dat in samenwerking met RIVM, GGD en de Universiteit Utrecht wordt opgesteld. Doel is om te bekijken of er daadwerkelijk sprake is van breder, sneller en efficiënter opsporen van besmette mensen en of er wellicht niet beoogde neveneffecten zijn die om bijsturing vragen. Deze evaluatie kan zo nodig leiden tot aanpassingen en bijstellingen van de app, het werkproces of de informatievoorziening over de app. Uiteraard houd ik uw Kamer op de hoogte van de uitkomsten van de doorlopende evaluatie.

Internationaal

Vanaf het begin van de ontwikkeling van CoronaMelder, heb ik aangegeven dat ik in samenwerking met andere landen wil komen tot een app en ik daarbij ook bezie of deze app óók over de grens te gebruiken is. Daarbij vind ik het van groot belang dat daar ook gekozen is voor een decentrale oplossing die de privacy waarborgt.

De noodzaak om een oplossing te bieden voor de grensoverschrijdende interoperabiliteit van notificatieapps werd ook erkend door de Europese Commissie. Daartoe heeft zij op 8 april jl. een Aanbeveling gepubliceerd waarin zij oproept tot een Pan-Europese aanpak voor het gebruik van bron- en contactopsporing apps bij de bestrijding van COVID-19. In de Aanbeveling is het Europese eHealth Netwerk belast met de ontwikkeling van een gepaste oplossing. Het eHealth Netwerk heeft in reactie daarop technische werkgroepen opgericht om met een interoperabiliteitsoplossing te komen. Deze technische werkgroepen zijn opgezet conform de methodiek die lidstaten aanhangen bij de ontwikkeling van hun nationale app, te weten de decentrale en de centrale methode. Nederland neemt deel aan de technische werkgroep van decentrale notificatieapps, samen met 17 andere EU-Lidstaten waaronder Duitsland en België.

Onder leiding van Duitsland is gewerkt aan een technische oplossing die de apps van de landen die een decentrale methode hanteren interoperabel maken. Nederlandse technische experts hebben hierin een essentiële bijdrage geleverd. Dit heeft uiteindelijk geresulteerd in een door alle deelnemende landen gedragen technische oplossing. Op 16 juni jl. is de technische oplossing door de Europese Commissie gepubliceerd18.

De technische oplossing houdt in dat er door de Europese Commissie een zogenaamde «Federation Gateway Service» wordt gecreëerd waar landen hun nationale back-end server op kunnen aansluiten. De landen zijn zelf verantwoordelijk voor het creëren van een aansluiting met de Federation Gateway Service. Aansluiting op de Federation Gateway Service is vrijwillig. Indien een aansluiting is gerealiseerd, dan is afgesproken dat de backend servers van de landen die een decentrale app hanteren periodiek op de sleutels van nieuwe geïnfecteerden (infected keys) naar de Federation Gateway Service versturen waar deze voor de duur van 14 dagen worden opgeslagen. De Nederlandse app kan zo ook een lijst van internationale codes van positief geteste mensen ophalen en deze vergelijken met tegengekomen codes zoals dat ook binnen Nederland kan. Dat is en blijft vrijwillig. Het ophalen van buitenlandse codes kan alleen met aanvullende toestemming, middels een aparte instelling in CoronaMelder, door de gebruiker gebeuren.

De verwachting is dat de deelnemende landen de Federation Gateway Service vanaf eind juli kunnen testen. De eerste landen die reeds live zijn gegaan met hun nationale app zullen de oplossing als eerste testen. Nederland zal daarop aanhaken en de technische oplossing ook testen. Dit zal naar verwachting vanaf medio augustus zijn. Voor feitelijke invoering moet de juridische grondslag nog worden geëxpliciteerd. Op basis van deze testen zal worden bepaald of en wanneer CoronaMelder ook interoperabel zal worden met andere Europese apps.

Juridisch Kader

CoronaMelder is uitdrukkelijk bedoeld ter aanvulling van de bron- en contactopsporing door de GGD in het kader van de bestrijding van het virus. De bron- en contactopsporing dient een breed doel, namelijk het tegengaan van de verspreiding van infectieziekten zoals het virus, en de toepassing daarvan moet dan ook breed worden uitgelegd19. De Wet publieke gezondheid (Wpg) laat de wijze waarop de bron- en contactopsporing wordt uitgevoerd bewust vormvrij, juist omdat de GGD moet kunnen differentiëren naar wat afhankelijk van de omstandigheden van het geval de beste aanpak is. Zo blijkt uit de wetsgeschiedenis van de Wpg dat de schaal van de bron- en contactopsporing afhankelijk is van de schaal van mogelijke besmetting en dat onder onderzoek door de GGD ook het waarschuwen van mogelijk geïnfecteerde personen moet worden begrepen20.

Voor de bestrijding van het virus geldt dat het vanwege het grote besmettingsgevaar noodzakelijk is dat de bron- en contactopsporing breed wordt ingezet: zoveel mogelijk en zo vroeg mogelijk zicht krijgen op mensen die mogelijk besmet zijn met het virus. CoronaMelder draagt daaraan bij. Zo zorgt CoronaMelder voor aanvulling op de bron- en contactopsporing doordat mensen sneller kunnen worden bereikt en bovendien ook personen kunnen worden bereikt van wie de geïnfecteerde gebruiker geen contactgegevens heeft. Dit aspect van de bron- en contactopsporing kan alleen worden uitgevoerd indien voorafgaand aan de constatering van een besmetting contactcodes van andere gebruikers zijn verzameld. Beide aspecten zijn dus onlosmakelijk met elkaar verbonden voor het goed kunnen uitvoeren van de bron- en contactopsporing en daarmee het bereiken van het daaraan ten grondslag liggende doel de verspreiding van het virus tegen te gaan.

CoronaMelder is zodanig ontwikkeld dat het risico op identificatie van gebruikers zo goed als uitgesloten is. Met het oog op maximale zorgvuldigheid wordt er echter van uitgegaan dat er steeds sprake is van persoonsgegevens waardoor moet zijn voldaan aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Ik heb bij de uitwerking van CoronaMelder dan ook het richtsnoer van de European Data Protection Supervisor (EDPB) over het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19 als leidraad genomen21. In dit richtsnoer benadrukt de EDPB dat de AVG regels bevat die toestaan dat gebruik wordt gemaakt van zowel anonieme gegevens als persoonsgegevens om overheidsinstanties en andere actoren op nationaal en EU-niveau te ondersteunen bij het bewaken en indammen van de verspreiding van het virus.

Tot slot is van belang dat het gebruik van CoronaMelder, net als de deelname aan de analoge bron- en contactopsporing, uitsluitend plaatsvindt op basis van vrijwilligheid. Er wordt dan ook op verschillende momenten toestemming van gebruikers gevraagd voor het downloaden van de app, het gebruik van de app en het verwerken van gegevens door middel van de app. Ook kunnen gebruikers CoronaMelder tijdelijk uit zetten dan wel op elk gewenst moment verwijderen.

Wetsvoorstel tijdelijke wet notificatieapplicatie

Van diverse zijden, waaronder uw Kamer, de Autoriteit Persoonsgegevens (AP) en het College voor de rechten van de mens zijn zorgen geuit over het risico dat derden, hoewel dat nadrukkelijk niet past bij het uitgangspunt van vrijwilligheid, anderen zouden willen verplichten tot het gebruik van CoronaMelder, bijvoorbeeld als voorwaarde om toegang te krijgen tot een bepaalde locatie. Zoals ook reeds aangegeven bij brief van 22 april 2020 acht ik dat zeer onwenselijk. Het gebruik van CoronaMelder moet te allen tijde vrijwillig zijn, mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere digitale middelen die zijn bedoeld om met het virus besmette personen te identificeren. Dat zal ik uitdragen in de communicatie over CoronaMelder. Daarnaast heb ik in het wetsvoorstel tijdelijke wet notificatieapplicatie een antimisbruikbepaling opgenomen.

Deze bepaling borgt dat het niemand, werkgevers, zorgverzekeraars, onderwijsinstellingen, winkels of wie dan ook, is toegestaan het gebruik van CoronaMelder of welk digitaal hulpmiddel bedoeld om met het virus besmette personen te notificeren dan ook, direct of indirect verplicht mag stellen. Zo is het bijvoorbeeld niet toegestaan dat een restauranteigenaar het gebruik van CoronaMelder verplicht stelt voor het kunnen plaatsnemen op zijn terras. Evenmin mag indirect worden verplicht tot het gebruik van CoronaMelder of andere digitale middelen die zijn bedoeld om met het virus geïnfecteerde personen op te sporen, bijvoorbeeld door financiële prikkels zoals een korting voor klanten die aantonen dat zij de digitale middelen gebruiken. Aangezien niet tot het gebruik van CoronaMelder mag worden verplicht, mag ook niet worden verplicht tot inzage in CoronaMelder. De antimisbruikbepaling geldt voor een ieder, dus ook voor de GGD-en zelf.

Daarnaast expliciteert het wetsvoorstel het een en ander over de verwerking van persoonsgegevens die middels CoronaMelder plaatsvindt. Hoewel niet strikt noodzakelijk, de inzet van digitale middelen door de GGD is immers al sinds jaar en dag gebruik, hecht ik eraan hiermee op wetsniveau maximale duidelijkheid te geven over de inzet van CoronaMelder en de daarbij behorende verwerking van persoonsgegevens.

Het wetsvoorstel was eerder onderdeel van het wetsvoorstel Tijdelijke wet maatregelen covid-19 (Twm), dat op 13 juli jl. bij uw Kamer is ingediend. De Raad van State heeft geadviseerd dit onderdeel uit de Twm te schrappen omdat het niet valt onder het primaire doel van dat wetsvoorstel. Naar aanleiding van dit advies is besloten de antimisbruikbepaling en de explicitering van de inzet van CoronaMelder op te nemen in een eigenstandig wetsvoorstel. Om redenen van een zorgvuldige procedure is besloten het wetsvoorstel opnieuw voor te leggen aan de Raad van State.

Aangezien het wetsvoorstel niet noodzakelijk is voor het in gebruik kunnen nemen van CoronaMelder ben ik zoals hierboven aangegeven voornemens CoronaMelder per 1 september in gebruik te nemen. Ik streef er uiteraard wel naar het wetsvoorstel na ommekomst van het advies van de Raad van State zo spoedig mogelijk in te dienen.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge