Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 augustus 2020

In mijn brief van 17 augustus1 heb ik uw Kamer geïnformeerd over het advies van de Autoriteit Persoonsgegevens naar aanleiding van mijn voornemen CoronaMelder op korte termijn landelijk te introduceren en over de spoedwetprocedure die ik naar aanleiding van dit advies ben gestart. In mijn brief van 17 augustus heb ik ook aangegeven dat, naast de wettelijke basis, er voor mij nog twee voorwaarden zijn voor ik over kan gaan tot landelijke introductie, te weten: positieve uitkomsten van het vervolg van de Praktijktest en positieve uitkomsten van de gezamenlijke uitvoeringstoets met de GGD op de effecten van CoronaMelder. Het wetsvoorstel heb ik u vrijdag 21 augustus doen toekomen (Kamerstuk 35 538). In deze brief informeer ik u over de uitkomsten van de tests en het oordeel van de GGD over de gereedheid om met CoronaMelder te werken op basis van deze tests.

Daarnaast zal ik in deze brief ingaan op de invulling van de eerder door mij aangekondigde doorlopende evaluatie van CoronaMelder en de inrichting van het toezicht en de handhaving. Vervolgens geef ik u inzicht in de resultaten van de tests naar de broncode, pentest en de duiding van de heer De Winter van de maatregelen die zijn genomen op het gebied van informatieveiligheid en privacy. Tenslotte ga ik nog in op het negende advies van de Begeleidingscommissie.

Vervolg praktijktest

Zoals in mijn brief van 17 augustus aangekondigd, ben ik op 17 augustus gestart met de volgende stap in de praktijktest. Doel van deze praktijktest is het testen van de werking van CoronaMelder in de praktijk van de GGD. Vijf regio’s2 hebben de werking van de app getest en leerervaringen opgedaan. Tegelijkertijd is tijdens deze testperiode ook gekeken naar de technische werking van de app bij grotere aantallen gebruikers.

Ten behoeve van het vervolg van de praktijktest is CoronaMelder in de nacht van 16 op 17 augustus in de appstores gezet. Hierbij zijn geen noemenswaardige onregelmatigheden geconstateerd. De eerste dag hebben zo’n 500.000 mensen de app gedownload. Na de eerste week van de test is dit opgelopen tot meer dan 1 miljoen downloads. Het is niet mogelijk te bepalen waar in Nederland de mensen wonen die de app hebben gedownload. Dit is een bewuste keuze als onderdeel van de uitgangspunten van «privacy by design».

Alle deelnemende GGD-en hebben lopende de test minimaal één besmette persoon gehad die de app had gedownload en bereid was zijn of haar contacten via de app te waarschuwen (wat immer op basis van vrijwilligheid gebeurt). Dit heeft ertoe geleid dat in de vijf GGD-regio’s ervaring op is gedaan met het voeren van gesprekken met mensen die positief getest zijn en de app gebruiken, het valideren van een code in de webportal en het beantwoorden van vragen van mensen die de app gebruiken. Ook zijn er 4123 testaanvragen gedaan door mensen die aangeven een notificatie te hebben ontvangen. Het aantal mensen dat een notificatie heeft ontvangen is onbekend en kan niet worden achterhaald. Dit is eveneens een bewuste ontwerpkeuze.

Uit de praktijktest blijkt dat medewerkers zich goed voorbereid voelden op basis van het trainingsmateriaal en de werkinstructies die de GGD-en hebben verstrekt aan de medewerkers van de bron- en contactopsporing. Medewerkers bleken zich hier goed mee te kunnen voorbereiden. De belangrijkste vragen die bleven bestaan betroffen de handelingsadviezen en dan met name het testbeleid gedurende de testperiode. De voorbereiding op en uitvoering van de veranderde werkprocessen is in alle vijf regio’s zonder grote problemen verlopen, evenals het technisch functioneren van de webportal en de app. Hiermee is vastgesteld dat de hele procesketen functioneel en technisch naar behoren functioneert.

De overige GGD-en hebben tijdens de praktijktest informatie en tips ontvangen over de voorbereidingen van de vijf regio’s die deelnemen aan de praktijktest. Het beschikbare informatiemateriaal zal op basis van deze inzichten worden verbeterd zodat ook de overige GGD-en goed voorbereid zijn op de landelijke introductie van CoronaMelder.

Op technisch gebied is geconstateerd dat, zowel bij iOS als bij Android-toestellen, de app niet altijd wordt bijgewerkt als deze op de achtergrond draait. Het gevolg hiervan is dat sommige gebruikers mogelijk pas een notificatie zien bij het openen van de app. Dit is onder meer afhankelijk van het app gebruik en het telefoontype en hangt samen met het framework van Apple en Google. Dit is ook in andere EU-landen geconstateerd. Ik werk samen met de Europese partners en Apple en Google intensief samen om tot een oplossing te komen. Vooralsnog zal het advies zijn om de app dagelijks te openen om het bijwerken te forceren. Dit is ook het advies dat onder andere in Duitsland op dit moment wordt gegeven.

Naar aanleiding van ervaringen in onder andere Duitsland is een aparte CoronaMelder helpdesk ingericht om de GGD te ontlasten van vragen over de werking van CoronaMelder. De CoronaMelder helpdesk ontvangt gemiddeld 100 vragen per dag. Veel gestelde vragen gingen over op welke telefoons de app wel/niet werkt en wat te doen met een melding als je in een andere GGD-regio woont.

Gezamenlijke uitvoeringstoets GGD-en

Door Berenschot is een uitvoeringstoets uitgevoerd gedurende de praktijktest. In deze toets is gekeken naar de gevolgen van de implementatie van CoronaMelder voor de GGD-en, in het bijzonder de gevolgen wanneer asymptomatisch testen als handelingsperspectief wordt geboden. Gezien de beperkte tijd tussen de testperiode en deze brief, is de definitieve rapportage nog niet beschikbaar. Wel is door Berenschot een managementsamenvatting van de tussenrapportage opgeleverd (zie bijlage)4.

Uit de managementsamenvatting blijkt dat de werkzaamheden rondom autoriseren van BCO-medewerkers om notificaties te kunnen sturen en het uitvoeren van de e-learning soepel verliepen. Het samen met de positief geteste persoon in CoronaMelder melden van de besmetting blijkt weinig extra tijd te kosten. Het onderzoek laat zien dat sommige GGD-en ervaren dat door de werking van CoronaMelder de regie over het reguliere BCO afneemt. Ook hebben sommige GGD-en de onjuiste verwachting dat CoronaMelder sturingsinformatie biedt om brandhaarden op te sporen. Vanwege privacy-by-design is dit niet het geval.

Berenschot concludeert dat in de pilotregio’s de testafname en testanalyse relatief meer gestegen is tijdens de pilotperiode ten opzichte van het landelijk gemiddelde. Tussen 20 en 26 augustus zijn in de pilotregio’s 22.900 testen afgenomen. Dit was 53,7% meer dan in de 7 daarvoor. In de rest van het land was de stijging in dezelfde periode 29,8%. In 412 gevallen werd gemeld dat men een notificatie had gehad (waarbij aangenomen kan worden dat een deel van deze contacten ook in reguliere bron- en contactopsporing zal zijn gevonden). Daarmee lijkt de toename in de testvraag meer een gevolg van de communicatie over corona en CoronaMelder dan van de notificaties zelf. Ook het aantal van 412 gemelde notificaties lijkt hoog ten opzichte van het aantal meldingen van besmetting dat samen met de GGD is gedaan in de app. Op 28 augustus hebben wij dit beeld gedeeld met de Europese landen die al een app hebben geïntroduceerd. Ierland gaf daarop aan dat die verhouding na de eerste paar dagen begon te verschuiven naar wat velen als meer realistisch ervaren.

Hiernaast geeft Berenschot aan dat men een stijging in het aantal vragen verwacht dat bij de GGD-en terecht komt als gevolg van de lancering. Deze impact op communicatie ontstaat ook omdat contacten informatie of adviezen krijgen vanuit zowel CoronaMelder als vanuit de BCO-medewerker. Om de communicatie te stroomlijnen is een landelijke Helpdesk voor CoronaMelder ingericht, voor zowel burgers als GGD-en. Bij deze Helpdesk zijn tot op heden voornamelijk vragen van burgers binnengekomen. De Helpdesk wordt vooralsnog weinig benaderd door de GGD-en.

Berenschot concludeert dat men over het algemeen positief kritisch is over CoronaMelder als aanvulling op het reguliere BCO. De onduidelijkheid over en late aankondiging van testen zonder klachten, die is ontstaan in de pilotperiode, draagt niet bij aan het draagvlak bij de GGD-en voor CoronaMelder. Asymptomatisch testen leidt tot een toename van het aantal testaanvragen en heeft daarmee impact op de capaciteit van zowel de afnamelocaties als de laboratoria. Daarnaast geeft men aan dat asymptomatisch testen niet in lijn is met de huidige LCI richtlijnen. Tot slot rapporteert Berenschot dat de huidige systemen niet ingericht zijn op het vooruit plannen van afspraken, wat nodig is wanneer er asymptomatisch getest wordt. Berenschot concludeert dat het om deze redenen ontbreekt aan breed draagvlak voor asymptomatisch testen als handelingsperspectief in de CoronaMelder.

Gereedheid GGD

Ik begrijp de zorgen van de GGD die blijken uit de uitvoeringstoets. Een deel van de effecten van introductie van CoronaMelder zijn naar mijn verwachting tijdelijk, zoals de toename van vragen van journalisten en het aantal mensen dat een test aanvraagt na notificatie ten opzichte van het aantal meldingen in de app. In het bijzonder begrijp ik de zorgen over testen zonder klachten. Het absoluut aantal testen na notificatie in CoronaMelder in de praktijktest was laag, zoals hiervoor gemeld. Maar zekerheid over aantallen in de toekomst is niet te geven. Daarom is het belangrijk doorlopend te evalueren. De praktijktest loopt door tot aan landelijke introductie van CoronaMelder. De ervaringen uit de uitvoeringstoets en de praktijktest zullen samen met de GGD worden opgepakt en bijvoorbeeld kunnen leiden tot aanpassingen en bijstellingen van de app, werkprocessen of de informatievoorziening over CoronaMelder.

Ik heb u eerder laten weten dat onderzocht wordt wat de meerwaarde is van testen zonder klachten. Als de uitkomsten hiervan daar aanleiding toe geven, zullen de RIVM-richtlijnen voor het bron- en contactonderzoek worden aangepast. Bij landelijke introductie van CoronaMelder zullen hierin de handelingsadviezen zijn opgenomen conform de op dat moment geldende LCI-richtlijnen. Ook als het gaat om asymptomatisch testen van nauwe contacten die via CoronaMelder een notificatie krijgen.

Doorlopende evaluatie

Op advies van de Begeleidingscommissie, de Taskforce Digitale Ondersteuning Bestrijding COVID-19 en de Taskforce Gedragswetenschappen, evalueer ik doorlopend de opbrengsten en effecten van het gebruik van CoronaMelder. De evaluatie richt zich op de vraag in welke mate CoronaMelder een bijdrage levert aan het breder, sneller en efficiënter opsporen van met het virus geïnfecteerde personen. De doorlopende evaluatie kan zo nodig leiden tot aanpassingen en bijstellingen van de app, werkprocessen of de informatievoorziening over CoronaMelder. Ten behoeve van de doorlopende evaluatie is, samen met RIVM en GGD-en, de begeleidingscommissie en beide taskforces, een evaluatieprotocol ontwikkeld (zie bijlage)5.

De evaluatie richt zich op de adoptiegraad van de app, het gebruik van de app, directe en indirecte beoogde effecten en op de niet beoogde effecten. Voor de evaluatie wordt gebruik gemaakt van gegevens van de GGD, de back-end van de app en surveys onder representatieve groepen Nederlanders waar het gedragseffecten betreft. Uw Kamer wordt tussentijds op de hoogte gehouden van de uitkomsten van de doorlopende evaluatie.

Ik vind het belangrijk te handelen vanuit de meest actuele stand van de wetenschap. De wetenschappelijke kennis van de epidemie en van het virus neemt nog steeds toe. Zoals eerder al gemeld suggereren simulatiemodellen en eerste wetenschappelijke inzichten dat, zelfs bij inachtneming van beperkt gebruik, de introductie van een notificatieapp kan bijdragen aan de reductie van het aantal verdere besmettingen en het reduceren van de tijd tussen besmetting en signalering van andere geïnfecteerden6. Daarnaast blijkt uit een recente modelstudie van de Universiteit Utrecht een mogelijke relatie tussen de snelheid van traceren en het reproductiegetal en dat apps als deze hier een bijdrage aan leveren. De komende maanden zal naar verwachting nog meer specifiek empirisch wetenschappelijk onderzoek naar de effecten van apps als CoronaMelder beschikbaar komen.

Inrichting toezicht en handhaving

Vrijwillig gebruik is een van de uitgangspunten van CoronaMelder en een verbod op misbruik zal daarom ook in de antimisbruikbepaling van de Tijdelijke wet notificatieapplicatie covid-19 worden vastgelegd. Vormen van misbruik zijn bijvoorbeeld vragen naar inzage in de app, toegang ontzeggen op basis van de inhoud of niet tonen van de app. Ook dwingen van installatie van de app is misbruik. Daarnaast zijn indirecte methoden, zoals het gebruiken van een gezagsverhouding of het bieden van een financieel voor- of nadeel tot het gebruik van de app niet toegestaan.

Toezicht helpt om misbruik te voorkomen en op te treden indien er toch sprake van is. Er is een meldpunt ingericht door de IGJ, waar burgers meldingen over direct en indirect misbruik van de CoronaMelder op eenvoudige wijze kunnen doen. Via dit meldpunt worden burgers geholpen naar de juiste toezichthouders. Wanneer het gaat om de openbare ruimte zal dit in de regel de toezichthouder van de betreffende gemeente zijn. Deze zet daartoe buitengewone opsporingsambtenaren in. De inzet van buitengewone opsporingsambtenaren wordt ingeregeld via bestaande structuren om efficiënte inzetbaarheid te waarborgen. Na een melding kan een onderzoek worden gedaan door de betreffende toezichthouder en indien sprake is van een overtreding kan het OM besluiten tot handhaving.

Op basis van de aantallen en aard van de meldingen kan worden besloten om andere toezichthouders aan te wijzen. Ik acht het van belang dat de antimisbruikbepaling op zo uniform mogelijke wijze wordt gehandhaafd. Dit wordt nog nader juridisch uitgewerkt in overleg met de aangewezen toezichthouders.

Uitkomsten Broncodeonderzoek, pentest en duidingsrappportage informatiebeveiliging en privacybescherming

Broncode onderzoek

Op mijn verzoek heeft Secura de broncode van de app onderzocht. Zij constateren dat er geen ongewenste code is toegevoegd en dat de code veilig is. Ze doen wel enkele aanbevelingen die worden opgevolgd (zie bijlage voor rapportage)7.

Ik heb tevens een notaris laten meekijken of de versies die beschikbaar zijn gesteld aan Apple en Google voor de appstores dezelfde versies zijn die op Github zijn gepubliceerd en waarop door de community is mee gekeken. Hiertoe heeft de notaris een zogenaamde «verified build»-verklaring afgegeven.

Pentest

Op mijn verzoek heeft NFIR een pentest uitgevoerd. Gezien de beperkte tijd tussen de testperiode en deze brief, is de definitieve rapportage nog niet beschikbaar. Wel is door NFIR een managementsamenvatting opgeleverd (zie bijlage)8. NFIR constateert dat er één bevinding was met classificatie «Hoog» en dat deze al is opgelost. De overige bevindingen met een lagere classificatie zijn of worden nog opgelost. De pentest zal met enige regelmaat worden herhaald.

Duidingsrapportage

Op mijn verzoek heeft de heer De Winter9 het totaalpakket aan maatregelen op het gebied van informatiebeveiliging en privacybescherming bekeken. In zijn duidingsrapportage geeft hij aan dat er op dit moment sprake is van «een situatie, waarbij er geen hoge risico’s blijken uit beveiligingsonderzoeken en onderzoeken naar de privacybescherming. Uit de testfase zijn deze risico’s ook niet gebleken. Dat betekent dat er geen zogenaamde «showstoppers» zijn.»

Hij geeft verder aan dat hem is gebleken dat men «goed doordrongen is van de risico’s en daar acteert op een manier die zeer verantwoordelijk is. Het is moeilijk te bedenken welke app vergelijkbare maatregelen kent om privacybescherming en informatiebeveiliging te borgen en ook geborgd te houden.» De heer De Winter concludeert alles overziend dat ik «geen onoverwogen beslissingen neem door met deze app te gaan beginnen.»

De verwachting van de heer De Winter is dat de beveiligingsonderzoeken die nog lopen de komende dagen geen radicaal ander beeld gaan opleveren. Op basis van de huidige kennis van de situatie stelt hij dat «deze app voor wat betreft informatiebeveiliging en privacybescherming «fit for purpose» is». Hij geeft wel het dringende advies om na lancering te blijven doorgaan met het intensief bewaken van alle risico’s en weer opnieuw risico’s in kaart te brengen. Ik neem dit advies uiteraard over.

Negende advies Begeleidingscommissie

Tot slot

Het voorstel voor de Tijdelijke wet notificatieapplicatie covid-19 heb ik u vrijdag 21 augustus doen toekomen. Hierin wordt ook de wettelijke grondslag voor CoronaMelder geëxpliciteerd. Het kabinet heeft besloten tegemoet te komen aan de wens van de Autoriteit Persoonsgegevens om landelijke introductie aan te houden tot deze wet in werking is getreden. Tot dat moment zal de praktijktest doorlopen zoals deze nu is vormgegeven in de vijf testregio’s.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge