Voorzitter: Adriaansens

Griffier: De Boer

De heer Roozendaal: Mijn naam is Ron Roozendaal. Ik ben directeur informatiebeleid bij VWS en verantwoordelijk voor de realisatie van de CoronaMelder. Ik zal de korte introductie voor u doen. Die lijkt op de introductie die in de Tweede Kamer is gegeven, met nog een aantal aanvullende elementen.

Wat vooropstaat is het doel van een app als deze. Infectieziekten bestrijden vergt bron- en contactopsporing van mensen die positief zijn getest. Dat is een intensief proces waarin de GGD mensen opspoort die in nauw contact zijn geweest met positief geteste personen en hun contacten belt, vraagt om rekening te houden met mogelijke besmetting en zo infectieketens doorbreekt. Het lastige is dat heel veel mensen niet precies weten met wie ze de afgelopen dagen/week in contact zijn geweest en zich sommige mensen niet meer herinneren of ook niet kennen. Bij een epidemie als deze bestaat er voor het eerst ook technologie die daar wellicht een rol in zou kunnen spelen. Zo is eerst in de wetenschap nagedacht over die technologie en de inzet daarvan. Dat heeft geresulteerd in meerdere landen die al een dergelijke app hebben geïntroduceerd. In Europa staat de teller op tien, maar in totaal zijn negentien landen bezig met introduceren.

Het doel van een app als deze staat dus voorop, namelijk het sneller meer mensen vinden die achteraf in contact blijken te zijn geweest met iemand die besmet was. Het is een aanvulling op het reguliere werk van de GGD als het gaat om het vinden en opsporen van mensen en zo ketens van infectie te doorbreken.

Ik ga op de volgende onderwerpen in: het proces, de werking, de resultaten tot nu toe, testen zonder klachten – dat was namelijk een belangrijk onderdeel van de praktijktest – de vraag hoe beoogd is doorlopend te gaan evalueren na inzet en hoe de wet er in grote lijnen uitziet.

Kort het proces. Het begon met een OMT-advies. Het OMT adviseerde om de rol van apps als deze te onderzoeken bij het aanvullen van het werk van de GGD, vanuit de gedachte dat je dan sneller meer mensen vindt en dus makkelijker infectieketens kunt doorbreken. In het debat dat diezelfde week nog volgde, nam de Tweede Kamer de motie aan dat dat met zo groot mogelijke aandacht voor privacy zou moeten gebeuren en dat de Tweede Kamer daarover geïnformeerd zou moeten worden.

Heel kort het proces van de afgelopen maanden. Na het OMT-advies is er een brief aan de Kamer gevolgd waarin opvolging wordt gegeven aan dat advies. In die tijd, en dan spreken we over enkele maanden geleden, was de gedachte dat er al veel meer apps zouden zijn die dit zouden kunnen. Dus is in eerste instantie niet voor ontwikkeling gekozen, maar voor marktverkenning: als er apps zijn, dan kun je die selecteren. Dus vond toen beproeving plaats. Vanwege het belang van een app als deze en vanwege het belang van vertrouwen in een app als deze, gebeurde dat in alle openbaarheid. In een weekend is een aantal apps beproefd. De conclusie van dat weekend was dat geen van de apps gereed was voor introductie, dat geen van de apps veilig genoeg was voor introductie en dat ook geen van de apps op dat moment voldeed aan alle eisen als het ging om privacy. De conclusie daarna was om het alsnog zelf te gaan realiseren. Dat was dus het moment dat de overheid besloot om het zelf te gaan doen. Daarbij is ervoor gekozen om dat volledig transparant en open te doen. Alles wat de afgelopen maanden is gebeurd, is in alle transparantie gebeurd. Mensen hebben kunnen meekijken bij de dagelijkse ontwikkeling van de app, maar ook bij bijvoorbeeld het testen van de toegankelijkheid et cetera. Mensen hebben dus alle dagen kunnen meekijken, en dat hebben ze ook gedaan. Er hebben duizenden mensen meegedaan, er hebben honderden mensen voorstellen gedaan voor verbetering van bijvoorbeeld het ontwerp en er hebben ook heel veel mensen verbeteringen voorgesteld voor de code en de aanpak. Er zijn daarna heel veel beproevingen geweest. We hebben bewust veel beproevingen uitgevoerd. Zo voldoet de app op dit moment aan 49 van de 50 internationale eisen aan toegankelijkheid en vanaf de volgende release ook aan de 50ste. Zo hebben we de app toegankelijk gemaakt voor mensen met een beperking, mensen die niet kunnen zien en mensen die het ingewikkeld vinden om met digitale hulpmiddelen en taal om te gaan.

In dat proces hebben we mede op verzoek van de Tweede Kamer de Autoriteit Persoonsgegevens betrokken. Die heeft op 6 augustus een advies gegeven op de door ons uitgevoerde gegevensbeschermingseffectbeoordeling, de PIA. Daar kom ik straks nog op terug. Het advies van de Autoriteit Persoonsgegevens was anders dan dat van de Raad van State later, namelijk: voor inwerkingtreding van de wet die u binnenkort gaat behandelen, zou landelijke introductie van deze app niet moeten plaatsvinden. We hebben tegelijkertijd wel een proef gedaan in vijf GGD-regio's, want om echt aan te tonen dat het werkt, moet de GGD er ook mee kunnen werken. Want alleen mensen die positief getest zijn, moeten dat kunnen melden. Anders kun je bijvoorbeeld een school stilleggen, zoals mijn tienerdochters voorstelden. De GGD moet er dus mee kunnen werken en het moet kunnen leiden tot een testaanvraag. We wilden ook testen in de praktijk of de GGD gereed was voor introductie van deze app en ook of de samenleving, of mensen ermee konden werken. Uiteindelijk heeft dat geleid tot de plenaire behandeling van het wetsvoorstel op 2 september.

Dan de app. Het is heel moeilijk voor te stellen dat je opsporing van nauw contact kunt doen zonder te weten wie de contacten zijn en zonder te weten waar je bent. Ergens begin dit jaar heeft een Europese groep wetenschappers daar een plan voor bedacht. Dat plan is ingebouwd in de app. Het plan is als volgt. Elke tien tot twintig minuten maakt de telefoon met een hele grote dobbelsteen een nieuwe code aan. Die code wordt tien tot twintig minuten lang uitgezonden naar andere telefoons. Andere telefoons ontvangen codes en noteren die. Er wordt dus niet genoteerd wat het telefoonnummer is of van wie de telefoon is. Er wordt alleen maar een door een hele grote dobbelsteen gegenereerde code geregistreerd. Wat nu als iemand corona heeft en positief getest is? Dan kan de GGD helpen om de codes die zijn uitgezonden in de besmettelijke periode, op een lijst te zetten. Dus niet wie je bent, waar je was of wat je deed, maar alleen «deze codes heb ik uitgezonden in de periode dat ik besmet was». Andere telefoons kunnen op de telefoon zelf controleren of ze die codes zijn tegengekomen. Als je die codes bent tegengekomen, ben je dus een besmet persoon tegengekomen. Het is moeilijk voor te stellen dat je dus nauw contact kunt ontdekken door niets te weten over mensen en ook niet te weten waar ze waren, wat ze deden of met wie ze in contact kwamen. De keerzijde hiervan is dat, in tegenstelling tot reguliere contactopsporing, dit volledig onbekend is bij de GGD. De GGD weet niet wie een notificatie heeft gehad en de GGD weet ook niet waar dat was. Er is dus niemand anders dan de ontvanger zelf die het signaal krijgt «je bent in contact geweest». Je krijgt de waarschuwing «je bent in contact geweest» en een advies wat te doen. In de testperiode die nu loopt, is dat advies: laat je testen. In het kader van onderzoek, dat ook plaatsvindt op Schiphol en in twee GGD-regio's bij de gewone, reguliere bron- en contactopsporing, vind je namelijk mensen die zonder dat ze klachten hebben, toch besmet lijken vanwege dat contact.

Al ingebouwd in de app is dat de overheid de app kan stoppen. Op het moment dat de app niet meer nodig is, wordt aan de GGD-kant het proces uitgezet en krijgt de appgebruiker de melding: deze app doet helemaal niets meer. Dus ingebouwd is de uitknop. Die zit in alle apps die mensen nu gebruiken. Op dat moment doet de app niets meer.

Over hoe dit werkt worden heel veel vragen gesteld en dat is begrijpelijk, omdat het moeilijk is voor te stellen hoe het werkt. Hoe nauwkeurig is het eigenlijk? De app zendt die willekeurige dobbelsteencodes uit via bluetooth. Dat is een techniek die we allemaal in onze telefoon hebben. Die is helaas niet supernauwkeurig. Je kunt niet tot op de centimeter vaststellen dat iemand binnen 1,5 meter was. Je kunt wel vaststellen dat het contact vijftien minuten was, maar niet dat het contact 100% zeker binnen 1,5 meter was. Wat je, als iemand een melding krijgt, zeker weet, is dat dat in 90% van de gevallen binnen 3 meter was. Wat je ook zeker weet, is dat niet iedereen een melding krijgt. Stel je voor, de telefoon zit in je broekzak. Dan zit je lichaam ertussen en daar gaat bluetooth niet zo goed doorheen. Kortom, het is geen magisch wondermiddel dat alles opspoort. Daarmee is het vergelijkbaar met de gewone, reguliere bron- en contactopsporing, want ook de GGD slaagt er niet in om iedereen op te sporen die in contact is geweest en ook de GGD kan niet vaststellen dat iemand vijftien minuten in het restaurant binnen 1,5 meter zat. Maar de GGD zal wel proberen iedereen in zo'n restaurant waar achteraf iemand besmet bleek op te sporen en te contacteren. In die zin is het dus niet magisch. Er zitten absoluut foutmarges in, maar tegelijkertijd zeggen wetenschappers dat het ook met die foutmarges een aanvullende bijdrage levert aan het reguliere werk van de GGD, omdat je meer mensen vindt maar vooral ook omdat je ze sneller waarschuwt dan de GGD in zijn reguliere contacten kan.

Tegelijkertijd is het bewijs hiervan alleen op simulaties gebaseerd. Er was nog niet een epidemie met dergelijke apps, dus het is de eerste keer dat dat wordt geïntroduceerd. Dat simulatiebewijs is relatief overtuigend, maar tegelijkertijd gebaseerd op de aannames in de modellen. Een Utrechtse onderzoeksgroep constateerde in zijn modellen dat het vooral de snelheid van waarschuwen is die effect kan hebben op de bestrijding. Een onderzoeksgroep uit Oxford publiceerde een beroemde simulatie waar het getal 60% uit is gekomen en zei dat als 60% van een populatie een dergelijke app gebruikt, geen enkel ander middel hoeft te worden ingezet, met daarachter: al vanaf 10% tot 15% is er sprake van een merkbaar effect in onze modellen. Het getal 60%, waarvan iedereen denkt dat het alleen dan zin heeft, komt dus uit het onderzoek van Oxford waarin wordt gesteld dat op dat moment andere middelen niet meer nodig zijn, terwijl we natuurlijk nog heel veel meer doen aan instrumentarium dan alleen een vrijwillige app.

Een app als deze is op dit moment geïntroduceerd in een groot aantal Europese landen. Een deel van die landen zit op een grote adoptiegraad: Duitsland op 20% en Ierland op rond 30%. Iedereen heeft dat in de afgelopen weken geïntroduceerd. Al deze landen zijn nog bezig met hun introductie en dus ook nog niet toe aan bijvoorbeeld definitief wetenschappelijk onderzoek en empirisch bewijs over de inzet van de app.

In de samenleving ontstond de vraag: waarom krijg ik op mijn Androidtelefoon de vraag om locatie aan te zetten? Het antwoord daarop is: omdat je die volledig uit had staan en het op Android nu zo is dat als je deze vorm van bluetooth wilt gebruiken, je toestemming moet geven voor locatie. Dat krijg je ook als je je Bose-bluetoothkoptelefoon wilt aansluiten. Dat heeft ermee te maken dat Google vindt dat als je bluetooth gebruikt, mogelijk de locatie moet worden bepaald en daarom om toestemming vraagt als je je locatie helemaal uit had staan. In de volgende versie van Android zal dit niet meer zo zijn. Het lijkt erop dat CoronaMelder je locatie zou kunnen krijgen, maar dat is niet het geval en zal ook nooit het geval zijn. Op het moment dat we dat wel zouden vragen, zou de app uit de appstore gaan, want het mag niet volgens de voorwaarden.

Het werkt ook niet op alle smartphones. Hoewel een groot deel van Nederland smartphones heeft, is het niet zo dat heel Nederland smartphones heeft van vijf jaar of jonger. De gebruikte technologie is nog niet vanaf het begin op smartphones beschikbaar. Dat betekent dat het op zo'n 94% van de smartphones kan werken en dus op 6% niet. Het zit vooral bij de wat oudere iPhones die bijvoorbeeld vaak door kinderen aan hun vader of moeder worden gegeven. Het zit dus vooral in de oude iPhones. Ik hoor sommigen van u zeggen «die door ouders aan hun kinderen worden gegeven», maar het gaat ook om iPhones die door kinderen aan hun ouders worden gegeven. Er zijn veel voorbeelden van ouderen die zeggen «ik heb de iPhone 6 van mijn dochter gekregen en daar werkt het niet op». Dat is correct.

De vraag is gesteld welke overeenkomst de Staat der Nederlanden heeft met Apple en Google. Het wellicht wat teleurstellende antwoord daarop is: er is sprake van een verbintenis op het moment dat wij als Nederland tekenen voor de voorwaarden waaronder gebruik mag worden gemaakt van deze mogelijkheden. In de tijd dat wij de beproeving hielden, was duidelijk dat vooral op iPhones deze technologie alleen werkt als de app actief is op de voorgrond, vanwege de beveiliging van iPhones. Dat betekent dat zeker Apple het mogelijk moest maken in hun systeem zelf, omdat het anders nooit zou werken zonder dat je de app continu open had op de voorgrond. Apple en Google hebben op dat moment de door de wetenschappers ontwikkelde dobbelsteenaanpak geïntegreerd in hun systeem. Het zijn dus de telefoons die die dobbelstenen gooien en de codes ontvangen van anderen. Het is de app die de GGD's helpt om aan te geven dat sommige codes in een besmettelijke periode waren. Die gegevens worden dus niet door Apple en Google verwerkt. In het besturingssysteem van Apple en Google is dat dobbelsteen gooien dus geïmplementeerd. De eis van deze partijen is dat de apps op geen enkele manier persoonsgegevens ter beschikking stellen aan Apple en Google en bijvoorbeeld ook niet identiteit of locatie verwerken. Daar hebben wij mee ingestemd; die voorwaarde hebben wij geaccepteerd en daarmee ontstaat een verbintenis en is dus onder meer het verbintenisrecht van toepassing.

Afgelopen week hebben Apple en Google een tweede stap gezet. Daar is ook veel over te doen geweest. Die stap is als volgt. Op het moment dat een regio geen eigen app heeft, kunnen wij helpen om toch over deze mogelijkheden te beschikken. Nederland heeft een eigen app en deze mogelijkheden zijn alleen aanwezig op het moment dat de GGD in een regio of een land zegt «wij willen deze mogelijkheid». Dat moet ook wel, want alleen positieve testen kunnen leiden tot waarschuwing. Er is dus altijd een rol voor de public health authority, in ons land de GGD. Nederland gaat dat dus ook niet doen.

Wij hebben bij de ontwikkeling en de bouw een aantal dingen vooropgezet: informatieveiligheid, toegankelijkheid, privacy en dan pas wat de app echt doet. Eigenlijk is het een superdomme app. Hij weet niet wie je bent, hij weet niet waar je bent, hij weet niet wat je doet, dus hij verwerkt nauwelijks persoonsgegevens. Pas op het moment dat er sprake is van het melden van dobbelstenen uit een besmettelijke periode is er sprake van een persoonsgegeven. Daarvoor is er sprake van willekeurige dobbelstenen.

Wij hebben de app beproefd in vijf GGD-regio's. De laatste stand die ik vanochtend gevraagd heb, is dat er nu 60 mensen met hulp van de GGD een besmetting hebben gemeld in de app. Dat betekent dat het aantal notificaties ook zal zijn opgelopen. Tegelijkertijd, omdat niemand weet wie er een waarschuwing heeft gekregen, kun je dat alleen afgeleid ontdekken door of mensen te interviewen, of af te gaan op de mensen die een test aanvragen of contact opnemen met de GGD.

In de testperiode van twee weken hadden 412 mensen een test aangevraagd. Een deel daarvan kwam ook buiten de testregio's. Dat is veel in vergelijking met het aantal besmette personen die dat hadden gemeld in de app op dat moment; dat waren er acht. Dat was ook het geval in andere landen die begonnen met het introduceren van deze app, waarschijnlijk onder meer omdat het melden van de waarschuwing in de app op dit moment leidt tot een test zonder klachten. Dus in het begin was er sprake van veel mensen die zeiden een notificatie te hebben gehad. Als het goed is, gaat dat afvlakken. Dat heeft het ook in Ierland gedaan, waar alleen de eerste weken sprake was van 50 mensen per besmet gemeld persoon, wat daalde naar rond de 15.

Het aantal downloads op dit moment is relatief stabiel: rond de 1,1 miljoen. Het was heel hoog in de eerste periode en het steeg sterk in de periode dat de testregio's, de praktijkregio's, die vijf GGD-regio's, aan de gang gingen. Met de relatieve luwte in de communicatie op dit moment is het stabiel: rond de 1,1 tot 1,2 miljoen.

In de praktijktest is ook een uitvoeringstoets gedaan om te kijken wat de gevolgen zouden zijn voor de GGD. De GGD moet immers, als iemand positief is getest en dat wil, in het laatste stukje van een gesprek over bron en contact vragen of iemand geholpen wil worden bij het invoeren van de positieve test in de app. Dat blijkt enkele minuten per contact, per index te kosten.

GGD's vinden het ook wel ingewikkeld omdat het natuurlijk aanvullend is en het niet onderdeel is van hun eigen opsporing, dus een belangrijk deel van de mensen dat meldt «ik heb een notificatie gehad» kwam niet uit bron- en contactonderzoek naar voren. Er is een overlap, maar die is niet 100%. Dat betekent dus dat ook een deel van hun werk aangevuld wordt door iets automatisch. Er blijkt bij de GGD een beperkt draagvlak voor testen zonder klachten. Dat is op dit moment wel de aanpak vanwege het onderzoek dat wordt gedaan. Ook dat komt vanwege de verwachte opdruk op de teststraten en het werk. Testen zonder klachten vereist dat je een afspraak kunt maken over enige dagen na het risicovolle contact, want dat heeft niet direct zin. Dus je moet een afspraak kunnen maken op een bepaalde datum. En ook dat is nog ingewikkeld in de ICT-systemen van de GGD.

In de testregio's is de vraag naar testen in de weken dat de test startte flink gestegen en flink meer gestegen dan in andere regio's. En tegelijkertijd waren er maar 412 mensen die zeiden: ik wil een test omdat ik een bericht heb gehad van de app. Dus het meest waarschijnlijk is dat de aandacht in de regio's heeft geleid tot meer aandacht voor corona en dus ook meer aandacht voor «als ik klachten heb, dan laat ik me testen». Tegelijkertijd is het dus waar dat de introductie van de app in deze regio's, zeker in het begin, heeft gezorgd voor een behoorlijke testtoename, ook in vergelijking met de rest van het land: 53% in de testregio's en 29% in de andere regio's.

Vandaar dat testen zonder klachten een van de belangrijkste discussiepunten is geweest in de afgelopen weken. Dat we dat doen, is mede op advies van de begeleidingscommissie die we hebben ingesteld. Die zegt: het is verstandig om te testen zonder klachten in het kader van onderzoek, omdat je wellicht dan toch meer asymptomatische mensen opspoort die toch anderen kunnen besmetten. En het is verstandig om te kijken of mensen dan het handelingsadvies om op zichzelf te letten beter opvolgen.

Maar testen zonder klachten staat nog niet in de richtlijnen en is nog alleen onderdeel van onderzoek. Dat betekent dat het voornemen is om bij landelijke introductie van de app – dat kan pas op het moment dat de wet in werking is – terug te gaan naar de op dát moment geldende richtlijn voor nauwe contacten. Als dat is testen zonder klachten, dan blijft de app testen zonder klachten; als dat anders is, dan zal de app het handelingsadvies van nauwe contacten bevatten zoals dat op dat moment in de LCI-richtlijnen van het RIVM staat.

Ik zei al aan het begin: er is alleen simulatiebewijs voor een app als deze. Dat betekent dat wij, en met ons alle andere landen die bezig zijn – de onderzoekers die dat gaan doen, werken ook samen met die Europese landen – dat bewijs in de praktijk moeten gaan verzamelen. Als dat niet blijkt te bestaan, wordt de app gestopt. Dat is ook al enkele keren aan uw Tweede Kamer gemeld.

Dat betekent dus dat er een doorlopende evaluatie wordt gestart om te onderzoeken. Qua data is dat ingewikkeld, want we weten niet wie een notificatie krijgt, dus de onderzoekers zullen daar ingenieuze oplossingen voor moeten bedenken. Er wordt onder meer gekeken naar adoptie: hoeveel mensen doen eigenlijk mee? Er wordt gekeken naar gebruik: doen mensen er echt iets mee? Er wordt gekeken naar de direct beoogde effecten: onderbreken we echt infectieketens doordat mensen het handelingsadvies opvolgen? Er wordt gekeken naar indirect beoogde effecten: leidt dat ook tot een lagere reproductiefactor? En tegelijkertijd wordt natuurlijk ook gekeken naar niet-beoogde effecten: wat doet het maatschappelijk, of leidt het bijvoorbeeld tot een vals gevoel van veiligheid?

In de Tweede Kamerbehandeling is daarbij een motie van het lid Middendorp aangenomen die extra aandacht vraagt voor die nadelige effecten en voor het effect op de capaciteit ten aanzien van test- en quarantainebereidheid, en die vraagt om daarover, zeker in het begin, heel frequent maar ten minste maandelijks te rapporteren.

Tot slot de wet: een wet met drie artikelen, een tijdelijke wet, beoogd om twee zaken te regelen. De European Data Protection Board, dus de vereniging van autoriteiten en toezichthouders, heeft het standpunt dat toestemming de mogelijke grondslag is voor een app als deze, maar dat een wettelijke grondslag wenselijk is. De tien landen die ons voorgaan, werken op basis van toestemming. Maar beoogd was al in de tijdelijke wet die voor de zomer werd gepresenteerd om ook de wettelijke grondslag te borgen. Dat deel van de tijdelijke wet is eruit gehaald en is een aparte wet geworden, mede op advies van de Raad van State, en daarna nogmaals bij de Raad van State voor advies ingediend. De grondslag is een taak van algemeen belang volgens de AVG. Voor de GGD is dat bron- en contactopsporing en voor de Minister is dat leidinggeven aan infectieziektebestrijding. Wat de tijdelijke appwet doet, zoals die in de volksmond is gaan heten, is het expliciteren van die grondslag. Er mag ook een app, een digitaal middel, worden gebruikt in het doen van bron- en contactopsporing. Dat is de grondslag van deze tijdelijke wet en dat mag alleen ten behoeve van de bestrijding van covid, en daarmee tijdelijk. Daarbij wordt tegelijkertijd in de praktijktest met toestemming gewerkt, net als in de landen die ons voorgingen, omdat juridisch ook toestemming een mogelijke grondslag is. Hoewel de Autoriteit Persoonsgegevens dit theoretisch denkbaar maar minder passend vindt, zegt ook de Raad van State in zijn advies dat de wet wenselijk is maar dat toestemming ook een grondslag kan zijn.

Op dit moment wordt dus gewerkt op basis van toestemming, maar tegelijkertijd heeft het kabinet, mede vanwege dat advies van de AP, besloten om het expliciteren van de grondslag, dat voor de zomer al was beoogd in de tijdelijke wet, versneld richting de Tweede Kamer en uw Kamer te brengen. Overigens zal ook na inwerkingtreding van de wet de app expliciet om toestemming blijven vragen. Eén, omdat dat het vrijwillig gebruik nogmaals borgt en expliciteert en twee, vanuit verplichtingen uit de Telecomwet.

De tweede bepaling die de wet aanbrengt, is een bepaling die misbruik verbiedt. Ook nu is misbruik niet toegestaan, maar het halen van je gelijk is echt ingewikkeld. Deze explicitering maakt dat veel duidelijker is dat alle misbruik niet is toegestaan en waar je naartoe kunt, naar welke toezichthouder, op het moment dat je toch vindt dat er sprake is van overtreding, waarbij misbruik heel ruim moet worden opgevat. Het is ook verleiden om te doen en verleiden om niet te doen, dus alle vormen waarin drang of dwang wordt toegepast op het al dan niet bezitten, gebruiken of laten zien van de app zijn straks bij wet verboden.

Tot slot. Na amendering in de Tweede Kamer is er sprake van vier wijzigingen ten opzichte van het oorspronkelijke voorstel dat was ingediend. Het ruime bereik van de bepaling is geëxpliciteerd en in de wet gebracht, dus niet alleen in de memorie. Er is een expliciet verbod toegepast op iets wat eigenlijk ook al niet mag, maar nu ook geëxpliciteerd is: als iemand meldt «ik ben besmet», zit daar – want zo werkt internet nou eenmaal – altijd een afzendadres bij. Dat afzendadres mag nooit worden gekoppeld aan personen. Dat is overigens ook al verboden, maar dat is nog een keer geëxpliciteerd.

Vooruitlopend op Europese ontwikkelingen waarin apps in de toekomst, over enige tijd, wellicht ook met elkaar kunnen samenwerken, kan ik kiezen om na verblijf in Italië ook de Italiaanse codes op mijn telefoon op te halen en te vergelijken. Er is een extra bepaling dat die interoperabiliteit kan worden geregeld als dat het geval is. En tot slot is de vervalbepaling van zes naar drie maanden gegaan, maar de verlenging van twee naar drie maanden, na amendering in de Tweede Kamer.

Dat was mijn inleiding. Dank u wel.

De heer Nicolaï (PvdD): Dank u wel, voorzitter. Twee hele kleine vraagjes. Ik heb gekeken in de ethische rapportage. Daar staat onder andere in: «Er moet onderzocht worden of de platforms van Google en Apple bepaalde gebruiksgegevens van de apps verzamelen.» Mijn vraag is feitelijk: is dat gebeurd? De app dient daadwerkelijk uitgeschakeld te kunnen worden. Ik dacht er iets over te horen, maar ik had het niet helemaal begrepen. Klopt dat? Als de enige mogelijkheid voor gebruikers is om de app geheel te de-installeren indien zij de app op enig moment niet aan willen hebben, is de app niet echt vrijwillig. Dus hij moet echt uitgeschakeld kunnen worden.

Tot slot een meer juridische vraag. Op blz. 11 van de rapportage wordt gezegd: er is eigenlijk helemaal geen toestemming nodig. Als ik in de wet kijk, zie ik ook nergens dat er toestemming moet worden gevraagd. Je installeert de app of je installeert hem niet. Als je hem hebt geïnstalleerd, dan is eigenlijk door de wet daarin meegenomen dat de betrokkene ermee akkoord gaat dat de contactcodes worden gedeeld. Dat is ook het punt dat daar aan de orde wordt gesteld. Ook hier is het vragen van consent niet vereist onder de AVG, omdat voor de dataverwerking via de app een wettelijke grondslag bestaat. In feite is het vragen van toestemming hier dus verwarrend. Daar wil ik toch wel graag duidelijkheid over. Is er nou toestemming nodig of niet, of is die gewoon ingebakken in het gebruik van de app? Want de suggestie is een beetje dat de GGD vervolgens aan jou gaat vragen...

Mevrouw Nooren (PvdA): Dank voor de heldere presentatie. Heel fijn. Ik heb twee vragen. Een over de techniek. U zei even: als de telefoon in de broekzak zit. Ik denk dan: of in de tas. Dat gaat over de bruikbaarheid van de app versus de plek waar de mobiele telefoon is; dat ging mij iets te snel. Hoe zit dat nou precies om de waarde van die app in te schatten?

Het tweede deel was me ook niet helemaal duidelijk: de discussie over testen zonder klachten. We willen niet iedereen dwingen om de app te downloaden. We willen niet dat die voordeel heeft in het kader van de Wet gelijke behandeling ten opzichte van mensen die opgespoord worden zonder klachten in bron- en contactonderzoek. Wat is nou precies na alle afwegingen het eindstandpunt? Dus wordt er straks door de app een andere positie gekozen ten opzichte van iemand anders die je zonder klachten opspoort in bron- en contactonderzoek?

De heer Van Kesteren (PVV): Dank u wel, voorzitter. Ik heb drie vragen. De notificaties kunnen leiden tot een test. Dat doet de GGD. Is dat enkel de PCR-test die gebruikt wordt of zijn er ook andere testen?

De tweede vraag gaat erover dat er afspraken zijn met Apple en Google om de CoronaMelder niet voor andere doeleinden te gebruiken. Liggen die afspraken ook schriftelijk vast. Hoe worden die gecontroleerd en door wie?

De laatste vraag gaat erover dat de gegenereerde gegevens na veertien dagen worden verwijderd. Waarom kan dat niet per direct?

Dank u wel.

Mevrouw Gerkens (SP): Dank u wel, voorzitter. Twee vragen.

U zegt dat er ieder kwartier een nieuwe code wordt gemaakt. Wanneer je in de buurt van een dergelijke code bent geweest, wordt die genotificeerd, of in ieder geval moeten die codes op zeker moment met elkaar praten. Maar dat betekent dus dat als er ieder kwartier een code wordt gemaakt, de oude code wordt opgeslagen omdat je toch moet praten met elkaar of een van die codes in de buurt is geweest. Hoe zit het dan met de veiligheid? We weten dat bluetooth toch redelijk onveilig is. Dat is redelijk goed te hacken, zeker als je het aan moet laten staan. Zijn die codes dan gehasht en zijn die hashes gesalt? Of gebeurt dat niet en zijn die codes dus inderdaad wel van de telefoon af te krijgen?

Ik ben er toch nog niet helemaal van overtuigd dat, zoals u zegt, Google en Apple geen verwerkers zijn, of dat er geen sprake is van een verwerking van persoonsgegevens. Er is in ieder geval sprake van verwerking van data. Dat kan niet anders, want anders heb ik niet die communicatie. Ik heb die app op mijn telefoon, dus op de een of andere manier weet Google of Apple dat ik die app op mijn telefoon heb. Dus zou u nog eens kunnen uitleggen waarom er volgens u geen sprake is van verwerking van data? Het kan zijn dat het niet tot personen herleidbare gegevens zijn, maar volgens mij moet er dan toch nog een verwerkersovereenkomst zijn.

De laatste vraag op dit punt. U zegt «er is een overeenkomst onder de voorwaarden die gesteld zijn», maar het is toch zo dat Google en Apple op ieder moment eenzijdig die voorwaarden kunnen wijzigen? Wij hebben daar toch geen macht meer over?

Dank u wel.

De heer Van Pareren (FvD): Dank u wel. Er zijn hierover natuurlijk heel veel vragen te stellen, maar ik zal me even beperken. Mij gaat het over de effectiviteit van de app en de veiligheid ervan. Er zijn 670.000 geschatte oudere mensen die geen mogelijkheid, geen smartphone hebben. Ik hoor dat er daarnaast nog heel veel ouderen zijn die de iPhone hebben gekregen van hun kinderen, die niet werkt op deze app. Dus de meest kwetsbare groep wordt eigenlijk niet afgedekt. Hoe kijkt u daarnaar? Dat wat de veiligheid betreft.

Daarnaast even: ik mis helemaal de mogelijkheid van een app op een Huaweitelefoon. Huawei heeft ongeveer 380.000 gebruikers in Nederland, maar mag niet meer op het Androidplatform van Google werken, omdat daar Chinese nieuwsgierigheid in vermoed wordt.

Gisteren was er een uitgebreide EU-conferentie over de pandemie, zoals die nog steeds genoemd wordt. Tijdens die conferentie werd ook de corona-app genoemd. Alleen spraken ze er daar over – dat bevreemdde mij, daar heb ik een vraag over gesteld maar geen duidelijk antwoord op gekregen – dat bij de appuitwisseling tussen de verschillende landen, waar u ook over spreekt, veel meer informatie wordt uitgewisseld dan hier in Nederland wordt aangegeven. Dus daar wordt veel persoonlijke informatie uitgewisseld. Dat vond ik even jammer.

En een heel praktische vraag. Ik heb de app geladen op een telefoon om te kijken wat het nou is. Is die alleen in de Nederlandse taal, of komt die ook in het Arabisch, het Hindoestaans, het Engels, noem maar wat talen? We hebben, ik geloof, 211 verschillende nationaliteiten in Nederland, dus als de app echt wil dekken, dan is dat van belang, en juist in bepaalde groepen is de besmetbaarheid groot.

Wat de veiligheid betreft, u heeft een appathon gehouden in een weekend. Is er ook een hackathon gehouden om eens goed na te gaan of de app wel waterdicht is?

Mevrouw Baay-Timmerman (50PLUS): Voorzitter. Dank voor de heldere uiteenzetting. Ik kom nog even terug op wat de heer Roozendaal opmerkte over het onderzoek van Oxford University. Daarbij werd in eerste instantie aangegeven dat de app alleen succesvol zou zijn als 60% van de bevolking hem zou downloaden. Als ik het goed begrepen heb, zegt u: dat percentage zou ook gehaald worden bij 15%. Ik vind daar nogal een groot verschil tussen zitten. Ik haak ook even aan bij wat de vorige spreker naar voren heeft gebracht, namelijk dat heel veel mensen natuurlijk niet in staat zijn om zo'n app te downloaden. Dan mijn vraag. De Duitse app bijvoorbeeld is niet werkzaam in Nederland. Is het mogelijk om, gelet op het reizen van mensen, diverse corona-apps van verschillende Europese landen naast elkaar te downloaden op de telefoon?

Dan over de bewaartermijnen van gegevens. In de memorie van toelichting wordt herhaaldelijk gesteld dat gegevens maximaal veertien dagen bewaard worden. Dat geldt op het moment dat er een match is op basis van gegevens die verzameld worden, maar gebeurt dat ook wanneer er geen match is? Worden de gegevens dan ook nog veertien dagen bewaard?

De heer Verkerk (ChristenUnie): Allereerst ook hartelijk dank voor de zeer duidelijke uitleg.

Toen wij hier een deskundigenbijeenkomst over de Wet digitale overheid hadden, werd opgemerkt dat voor de veiligheid twee principes of normen gigantisch belangrijk waren: privacy by design en open source. Nu heeft u al het een en ander daarover gezegd, maar kunt u beide dingen nog iets toelichten?

Mijn tweede vraag heeft betrekking op de GGD. Hoe koppelen zij de codes als ik bel dat ik corona heb? Hoe gaat het dan verder?

Mijn derde vraag. In het document over ethiek stond dat je vanuit ethisch oogpunt pas mag implementeren als aan alle randvoorwaarden voldaan is. Ik stel dit als een feitelijke vraag, niet als een politieke vraag. Vindt u dat aan alle randvoorwaarden is voldaan die in het ethiekstuk staan, ja of nee?

Tot slot een opmerking over de taal van de app. Ik zou zeker voorstellen om het ook in het Limburgs te doen.

De heer Otten (Fractie-Otten): Uiteindelijk is er natuurlijk wel een relatie met het testen, anders heeft het allemaal geen zin. Ik heb twee vragen. Hoeveel mensen denkt u dat dit gaan gebruiken? Want het stagneert nu op ongeveer 1 miljoen, begrijp ik. Hoeveel zijn er nodig om het effectief te laten zijn?

Een belangrijke vraag betreft een van onze favoriete overheidsinstellingen, het BIT, het Bureau ICT-Toetsing, dat heel veel mislukte ICT-projecten heeft geanalyseerd en ook vaak heeft gewaarschuwd voor problemen. Is het BIT hier ook in gekend, gezien het trackrecord van de overheid met ICT-projecten? En is daar een advies over gegeven?

De voorzitter: Dank u wel. De heer Van der Burg heeft geen vragen.

Dan heeft u een aantal vragen te beantwoorden.

De heer Roozendaal: Dank u wel. Ik hoop dat ik gecorrigeerd word als ik de vraag niet goed heb begrepen. Als u het goed vindt, ga ik ze in volgorde af en laat ik alleen de juridische vragen over voor Laura in tweede instantie.

Allereerst de vraag of Apple en Google toegang hebben tot meta-informatie. Daarbij is het belangrijk om te constateren dat deze app van alle apps die iedereen op de telefoon heeft, de allerdomste is. Dus: ja, Apple en Google hebben heel veel informatie vanwege het feit dat ze de telefoons verkopen. Er is nauwelijks meta-informatie die uit deze app volgt anders dan dat ik de app gebruik en dat in een zekere periode, omdat ik de app gebruik, ook dobbelsteencodes zijn uitgezonden. Er is in Europa één land, Ierland, dat ook statistiek verzamelt in de app en daarvoor expliciet om aparte toestemming vraagt. Voor het overige verzamelt geen enkele geïmplementeerde app, dus ook CoronaMelder niet, op dit moment statistische informatie. Er is dus geen enkele vorm van statistische informatie die wordt verzameld en daarmee bijvoorbeeld aan de GGD wordt verstrekt over hoeveel mensen hem eigenlijk gebruiken. Dat betekent dat die statistiek ook niet te maken is. Anders dan hetgeen Apple en Google sowieso al zeggen over het aantal mensen dat de app in de appstore gedownload heeft, komt er uit de app geen enkele vorm van statistiek. Dat betekent ook dat onderzoek naar gebruiksgegevens niet mogelijk is. Dat is, zoals een aantal leden al zeiden, de keerzijde van privacy by design. De keerzijde van niets willen weten is dat je niets kunt weten en dat onderzoek naar bijvoorbeeld het gebruik niet mogelijk is, overigens ook voor Apple en Google niet. En ja, het is mogelijk om de app door ons na afloop te laten uitschakelen. Dus de overheid kan beslissen dat hij niet meer werkt, maar de overheid kan hem niet van ieders telefoon halen. Dat kan natuurlijk niet. We kunnen wel zorgen dat hij niets meer doet, dus dat hij geen enkele vorm van waarschuwing kan geven omdat aan onze kant niks meer gebeurt.

De vraag over toestemming en de rol van toestemming laat ik over aan Laura.

De heer Roozendaal: Dat is ingewikkeld. Om een aantal redenen bevat de app nog geen pauzeknop. De eerste is dat de app zo toegankelijk mogelijk is. «Zo toegankelijk mogelijk» betekent: geen functies die verwarrend kunnen zijn. De pauzeknop inbouwen is op dit moment technisch heel ingewikkeld, omdat je daarvoor in het besturingssysteem iets uit moet zetten. We hebben gesprekken met Apple en Google hoe dat op een gebruiksvriendelijke manier toch zou kunnen.

Daarbij zal ik meteen de vraag over de talen beantwoorden. Op dit moment bevat CoronaMelder tien talen, maar geen taalinstelling. Uit toegankelijkheidstesten blijkt namelijk dat dat best ingewikkeld is voor een deel van de samenleving. Wat er dus gebeurt, is dat de taalinstelling van de telefoon wordt gebruikt. Er zit bijvoorbeeld ook Arabisch in. Wij wilden heel graag in ieder geval alle landstalen, waaronder dus Fries. Maar Fries is in de meeste telefoons helaas geen taalinstelling. CoronaMelder volgt dus de instelling van de telefoon. Als die instelling Nederlands is, is die Nederlands en als die Duits is, is die Duits en als die Arabisch is, is die Arabisch. Dat gebeurt nu met tien talen. Er wordt wel gekeken of het op een andere manier bijvoorbeeld toch ook voor het Fries kan.

Dan de vraag over appgebruik versus niet-appgebruik met betrekking tot het handelingsperspectief. Ik heb u meegenomen in het feit dat het standpunt is dat, als de app straks wordt geïntroduceerd, hij de LCI-richtlijn volgt. Dat betekent dat, als in die LCI-richtlijn onderscheid wordt gemaakt tussen bepaalde groepen ten aanzien van het handelingsperspectief, dat wellicht in de app zit maar dat er geen verschil zal zijn in handelingsperspectief puur gebaseerd op het hebben van de app voor nauwe contacten.

Er is ook gevraagd naar PCR-testen. Het gaat om de test die de GGD aanbiedt. Of die PCR is, is aan de GGD.

Zijn de afspraken schriftelijk? Ja, de licentievoorwaarden die door de Nederlandse overheid zijn geaccordeerd of geaccepteerd, zijn schriftelijk. Controle vindt op heel veel manieren plaats. Wij auditen. Maar de Europese Commissie heeft bijvoorbeeld opdracht gegeven om de broncode die Apple en Google beschikbaar hebben gemaakt, volledig te doorzoeken op onwenselijke functionaliteit. Dus ook de Europese Unie en de Europese Commissie proberen zeker te stellen dat er geen gebruik wordt gemaakt van onwenselijke functionaliteiten.

De heer Roozendaal: Wat de app doet, is op basis van de sterkte van een bluetoothsignaal vaststellen of je nabij bent. Daarbij wordt gekeken hoe hard het signaal werd geschreeuwd en hoe hard het werd gehoord. Daarmee worden bijvoorbeeld muren, ramen en deuren uitgefilterd. Maar als mijn telefoon in een tas met heel veel apparaten zit, is het dus heel goed mogelijk dat dat wordt ervaren als ver weg, maar dat het feitelijk dichtbij was. Dat klopt. Dit soort technologie leidt dus nooit tot 100% zekerheid. In ongeveer driekwart van de gevallen wordt die nabijheid terecht geconcludeerd, dus bij een kwart niet.

Waarom worden gegevens pas na veertien dagen verwijderd? Op het moment dat mensen zich testen, waren ze al enige tijd besmettelijk voor anderen. Op advies van wetenschappers, GGD en het RIVM is de maximale periode dat gegevens bewaard blijven, daarom op veertien dagen gesteld. Want als iemand bijvoorbeeld zegt «ik had eigenlijk al een week klachten», is de eerste dag waarop die klachten ervaren worden, bepalend voor de periode waarin iemand besmettelijk was. Dat betekent dat alle ontvangen dobbelsteencodes veertien dagen worden bewaard, en daarna worden verwijderd omdat er dan geen sprake meer is van een risico.

Ook is de vraag gesteld of het het reguliere werk van de GGD ontlast. Het antwoord daarop is: nee. Het reguliere werk van de GGD gaat gewoon door. Ze blijven mensen bellen met de vraag: wat heeft u precies gedaan? Wat het oplevert is: meer mensen en snelle mensen. «Snelle mensen», omdat direct na het invoeren van een positief resultaat andere mensen kunnen worden gewaarschuwd en «meer mensen», omdat ook mensen die je je niet herinnert of die je niet kent, een waarschuwing kunnen krijgen. Tegelijkertijd gaat het reguliere werk van de GGD gewoon door. Dat maakt dat deze app door hen terecht ook niet als lastenverlichtend wordt ervaren. We zijn in gesprek met de GGD over verdere ondersteuning van het reguliere werk, maar deze app is niet ontlastend. Het leidt wellicht tot meer testen, het helpt de infectieziektenbestrijding als er inderdaad meer mensen door worden opgespoord, maar het helpt de GGD niet bij zijn noeste werk van het bron- en contactonderzoek.

Worden de oude codes veertien dagen veilig opgeslagen? Ja. Verwerken Apple en Google data? Ja, maar geen persoonsgegevens. Die blijven op de telefoon. De data worden verwerkt binnen de telefoon. Ze verwerken data; dat is dus correct. Al die dobbelsteencodes worden verwerkt, maar het zijn geen persoonsgegevens.

Kunnen Apple en Google eenzijdig de overeenkomst wijzigen? Ja. Als dat tegen de kaders en wensen van Nederland ingaat, zal Nederland de app dus stoppen. Dat is de keerzijde van het niet eens zijn met eenzijdig gewijzigde voorwaarden. Op dit moment zijn de voorwaarden heel stringent. Op het moment dat Nederland tegen die voorwaarden ingaat, door bijvoorbeeld toch de locatie te verwerken of toch persoonsgegevens buiten de app te verstrekken, wordt de app door Apple en Google uit de appstores gehaald. Want wij hebben ervoor getekend om dat niet te doen. Dat wordt overigens ook door hen getest.

Bepaalt de testcapaciteit ook het succes van de app? In algemene zin is er een relatie tussen testcapaciteit en deze app. Die relatie is tweeledig. Als je positief wordt getest, kun je dat ingeven in de app. Bron- en contactopsporing vergt dus een paar minuten meer per index, omdat je personen die dat willen erbij helpt om dat in de app te stoppen. Het kan leiden tot meer mensen die denken: ik kan mijn klachten nu ineens wellicht toch relateren aan corona. Uit de eerste onderzoeken blijkt dat er best een grote groep mensen is die eerst dacht «ach, het zal wel een verkoudheid zijn» en na notificatie denkt: misschien is het toch wel verstandig om me te laten testen. Er is dus inderdaad een relatie tussen de testcapaciteit en deze app.

Het is inderdaad correct dat er telefoons zijn waarop de app niet werkt. Dat is een correcte constatering. In zekere zin maakt het voor het uit simulaties gebleken effect van de app niet uit dat het om een klein deel gaat, maar ik deel uw constatering dat niet iedereen over een telefoon beschikt die de app kan gebruiken. Van de 1,8 miljoen Huaweigebruikers kunnen 500.000 hem niet gebruiken omdat zij niet over die Google-appstore beschikken. Er wordt nu met Huawei overleg gevoerd zodat ook die mensen dat kunnen.

Er komt ook een PIA op de internationale uitwisseling. Beoogd is om niets méér uit te wisselen dan minimaal noodzakelijk, zoals Nederland ook doet. Er zijn inderdaad landen die iets meer informatie verwerken dan Nederland doet. Wij zullen bij de minimale informatie blijven.

De vraag over de talen heb ik al beantwoord.

Komt er ook een hackathon? Dat niet, maar er zijn wel mensen uitgedaagd om beveiligingslekken te vinden. Er zal ook een zogenaamde bug bounty komen, waarbij er daadwerkelijk een beloning komt, in welke vorm dan ook, voor het vinden van lekken. Er wordt ook intensief getest en dat zullen we blijven doen.

Wat bedoelt u met 60% versus 15%? In het artikel van Oxford wordt op enig moment gesteld: «Bij 60% gebruik zijn er volgens ons model geen aanvullende maatregelen meer nodig». Ik meen dat twee of drie zinnen later staat: «Bij 10% tot 15% is er al een merkbaar effect in onze simulatie». Dus in hetzelfde artikel staat dat je bij 60% niks anders hoeft te doen en dat het simulatiemodel stelt dat je bij 10%, 15% al een merkbaar effect op de verspreiding van de epidemie hebt.

Zijn apps naast elkaar werkzaam? Het antwoord daarop is: ja, maar je kunt er maar één tegelijkertijd gebruiken. Dus als je langere tijd in een ander land verblijft, kun je de app van dat land gebruiken. De Europese Commissie werkt nu aan een uitwisseling tussen landen waarbij mensen zelf kunnen zeggen: ik was in een andere regio; haal ook de dobbelsteen van besmette mensen uit die regio op. Op dat moment maakt het dus niet meer uit welke app je gebruikt. Dan word je ook in de Nederlandse app gewaarschuwd als je in Duitsland of Italië in contact met een besmet persoon blijkt te zijn geweest.

Dan privacy by design en open source. Van het begin af aan is er gewerkt met open source. Het Ministerie van VWS beschikt nu dus over wat de echte nerds een «GitHub account» noemen, namelijk een plek waar die code ook echt staat, waar die gevolgd kan worden en waar je verzoeken voor wijzigingen kunt doen. Er zijn veel verzoeken geweest, en een heel relevant deel daarvan is ook aan de code toegevoegd. Hetzelfde geldt voor privacy by design. Het is volledig in alle openheid ontwikkeld, dus technische dingen als cryptografieraamwerk – hoe wordt alles versleuteld? – en privacyuitgangspunten in de architectuur zijn allemaal online gemaakt en ook allemaal online becommentarieerd.

Er is gevraagd hoe de GGD de codes koppelt. Eigenlijk doen ze dat niet. Maar de GGD weet natuurlijk wie besmet is, want die hebben ze aan de telefoon. Ze sporen ook heel veel contacten op aan de hand van de persoonsgegevens van de besmette persoon zelf en de contacten. Wat de GGD feitelijk doet, is een cijfer invoeren dat toegang geeft tot de deur van de GGD-server. Dus er komt een extra code op het cijferslot en als er dobbelstenen binnenkomen die zijn gecodeerd met die code, gaat de deur open. Daarna heeft de GGD geen enkel idee van wie die codes waren. Dus ook dat stuk van het proces is zo privacyvriendelijk mogelijk vormgegeven. Om een voorbeeld te noemen: wij zijn het enige land dat het zo doet. De meeste landen zenden een code naar de telefoon via sms. Maar dan moet je aan mensen vragen wat hun telefoonnummer is. Dat vragen wij niet. De app genereert een code. Dat is de code die op het cijferslot van de deur past. De GGD-server weet dat dat een gevalideerde code is, maar niet van wie die was. Dus ook daar zijn we heel ver gegaan om het zo te maken dat je niet meer aan de code kunt zien van wie die was. Tegelijkertijd weet de GGD natuurlijk wie besmet is, want ze hebben de testuitslagen. De medewerker die belt, weet dus wie hij aan de telefoon heeft.

Kan de app ook in het Limburgs? Als dat een standaardtaal wordt, gaan we dat zeker doen. Dus als er telefoons bestaan die dat ondersteunen, beloof ik u dat we ons uiterste best gaan doen om dat realiseren, temeer omdat die vertalingen voor een belangrijk deel door de community zijn gedaan. Er zijn dus vertalers die heel hard hebben gewerkt aan die vertalingen. Het enige wat wij hebben moeten doen, is een vertaalbureau vragen om te checken of die vertaling inderdaad helemaal klopte. Fries bijvoorbeeld staat klaar. Een hele grote groep Friezen heeft namelijk gezegd: wij gaan dat vertalen. De kracht van open source heeft er dus ook toe geleid dat die talen er zijn en dat heel veel mensen hebben meegekeken naar die vertaling.

Vindt u dat aan alle randvoorwaarden voldaan is? Een antwoord op die vraag valt niet te geven. Wij doen ons uiterste best om aan alle randvoorwaarden te voldoen. Van een deel van die randvoorwaarden zal in de praktijk moeten blijken dat het echt zo werkt. De deelnemers aan die ethische beproeving doen daarom ook mee aan de doorlopende evaluatie, omdat het cruciaal is dat die beproevingen door blijven gaan op het moment dat de app in de praktijk wordt gebruikt.

Hoeveel mensen denkt u dat de app zullen gaan gebruiken? Het antwoord op die vraag is dat ik dat niet weet. We zitten nu op ongeveer 1,2 miljoen, Duitsland op 20% en Ierland op rond de 30%. Dat zijn aanzienlijke getallen. Het onderzoek uit Oxford suggereert dat 10%, 15% al verschil zou moeten maken voor de reproductiefactor. Maar ook dat is simulatieonderzoek en zal dus empirisch in de praktijk moeten worden bewezen.

Tot slot de vraag of het BIT erin is gekend. Ja, het BIT is intensief betrokken geweest bij de appathon. Ik ben blij om te kunnen melden dat de ICT-kosten van onze app, in tegenstelling tot die van andere landen, onder de 5 miljoen zijn gebleven, en dat daarmee de formele BIT-procedure niet in gang is gezet. Maar het BIT heeft wel degelijk advies gegeven na de appathon en we hebben die adviezen geïncorporeerd in onze aanpak.

Dan is er denk ik één vraag voor Laura.

Mevrouw Ghirlanda: Ja, één vraag en nog twee kleine aanvullingen, als dat mag. De vraag was: er is geen toestemming nodig als grondslag, dus is het vragen van die toestemming dan niet verwarrend? Ik denk dat we dan twee dingen moeten onderscheiden. Het eerste is de toestemming als grondslag voor de gegevensverwerking. Die is inderdaad niet nodig als het wetsvoorstel in werking is getreden. Dat klopt. De AVG kent zes verschillende grondslagen. Een daarvan is toestemming. En een daarvan is een taak van openbaar belang. En dit is een taak van openbaar belang.

Dat neemt niet weg dat je daarnaast nog steeds toestemming kan vragen, al is het maar omdat je zeker wilt weten dat mensen echt vrijwillig gebruikmaken van de app. Dat is een reden waarom we dat doen. Daarnaast is er ook een juridische reden. Artikel 11.7a van de Telecommunicatiewet vereist dat er toestemming wordt gevraagd op het moment dat gegevens – ik zeg het even in mijn woorden – aan de hand van bluetooth worden bijgehouden op een telefoon. Dat vereist dus dat er ook toestemming wordt gevraagd. Ook dat is een reden waarom we dat doen.

Ik wilde een kleine aanvulling geven op de vraag of Google en Apple echt geen verwerkers zijn. Los van de betrokkenen, uiteraard, kent de AVG drie entiteiten. De ene entiteit is de verwerkingsverantwoordelijke. Dat is degene die doel en middelen van een verwerking vaststelt. In dit geval zijn dat de Minister van VWS en de GGD's. De andere entiteit is inderdaad een verwerker. Een verwerker is iemand die onder zeggenschap van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Zoals de heer Roozendaal al zei, verwerken Google en Apple geen persoonsgegevens. Maar ook als ze dat wel zouden doen, doen ze dat niet onder zeggenschap van de verwerkingsverantwoordelijke. Alleen al daarom zouden ze niet kunnen kwalificeren als verwerker in de zin van de AVG. Zij zijn in AVG-termen een derde, in dit geval een softwareleverancier die de software levert en ervoor zorgt dat de app werkt.

Dan heb ik nog een andere kleine aanvulling op de interoperabiliteit, de uitwisseling met de andere Europese landen. Zoals de heer Roozendaal al zei, gaan we geen andere gegevens uitwisselen dan we met de app al doen. Het is misschien goed om te vermelden dat de grondslag die daarvoor bij amendement is opgenomen in het wetsvoorstel, ook zegt dat het alleen gaat om de in het kader van CoronaMelder verwerkte gegevens. We kunnen dus ook geen andere gegevens uitwisselen dan de gegevens die we op dit moment met CoronaMelder verwerken. Die zijn heel beperkt. Maar het kan dus ook niet iets anders zijn.

De heer Nicolaï (PvdD): Heb ik het goed begrepen dat er geen uit-aanknopje op de app zit? Ik check het nog even. Het tweede is de discussie over de 60% of de 15%. Er is gezegd dat er bij 15% al een merkbaar effect is. Maar een merkbaar effect is er natuurlijk ook als je 0,000... enzovoorts effect hebt. Mijn vraag is dus wat dan dat merkbare effect is. Dat is met name van belang omdat het proportioneel moet zijn. Het merkbare effect moet dus zodanig zijn dat het zwaarwegend is. Wat is dus het merkbare effect?

Dank u wel.

De heer Van Pareren (FvD): Dank u, voorzitter. Ik heb vooral een juridische vraag. Ik hoorde ergens in de presentatie iets langskomen, zoals: de app is alleen bedoeld voor coronabestrijding. Juridisch vind ik dat erg breed, want dan kan dadelijk iemand uitvinden: als er nog een graadje dit en iets daarvan erbij komt, dan is de bestrijding van corona nog beter. Dat is dus even de vraag.

Dan heb ik nog een vraag ter verduidelijking aan de heer Roozendaal; overigens dank voor de heldere antwoorden. We hebben augustus gehad, de zomer, met drukte op de boulevard in Scheveningen. Stel dat ik besmet ben en van de ene kant van de boulevard naar de andere kant loop en weer terug, langs 1.000 mensen, betekent dat dan een soort chaos in meldingen? Hoe moet ik me dat voorstellen? Ik kan me voorstellen dat het dan erg onrustig gaat worden op dat beeld.

De heer Roozendaal: Waarom een eigen app? Die vraag behandel ik eerst. Dat is gebeurd om twee redenen. De app is niet zo ingewikkeld. De meeste code zit in de relatie met de GGD en die is in elk land anders. Dat gaat er dus om hoe je testen invoert et cetera. We hebben bewust gekozen voor nog iets verdergaande privacymaatregelen dan bij de overige apps. Er is ook veel meer aandacht voor toegankelijkheid en taal, bijvoorbeeld. We hebben dus bewust gekozen voor een zo toegankelijk mogelijke app. Dat betekent dat de codes voor een deel overeenkomen. We hebben bij de code gewoon samengewerkt met die landen, maar het ingewikkeldste stuk, namelijk de GGD-kant, is helemaal Nederlands. We hebben bovendien extra aandacht besteed aan een aantal onderwerpen die wij heel erg belangrijk vonden.

Een aantal van u heeft gevraagd wat het merkbare effect is. Voor alle landen die bezig zijn, is dat het ingewikkeldst te bepalen. Want wat zou de reproductiefactor in Duitsland zijn geweest zonder app? Niemand verwacht dat dit het instrument is dat ineens de reproductiefactor verder omlaag brengt. Het is een onderdeel van de gereedschapskist. Dat betekent dat de bepaling op inhoud bij de driemaandelijkse evaluatie van de vraag of er zal worden verlengd of niet, over een aantal elementen zal gaan.

Ik ga nog even terug naar de volgende vragen. Wordt het gebruikt? Leidt het tot zinvol effect, indirect en direct? Direct: gaan mensen inderdaad het handelingsadvies dat ze krijgen, toepassen? Indirect: leidt dat ook tot een lagere reproductiefactor? En ook: leidt het niet tot ongewenst gedrag? Leidt het bijvoorbeeld tot gedrag zoals: ik kan wel in de buurt van mensen komen en heel nabij zijn, want ik word achteraf gewaarschuwd? Als ik besmet word, weet ik dat in ieder geval. Dat is een van de mogelijke gedragingen en dat wordt uitgebreid onderzocht. Over al deze onderwerpen wordt ook Europees gepraat, omdat het belangrijk is dat we het onderzoek met voldoende data doen en dat het met zinvolle indicatoren gebeurt.

Dan de GGD-kant. De GGD registreert in het kader van de bron- en contactopsporing heel veel, bijvoorbeeld ook waarom iemand zelf contact opneemt. Dat kan bijvoorbeeld zijn: ik heb gehoord dat mijn huisgenoot besmet is, maar u heeft mij nog niet gebeld, dus wat moet ik doen? Of: mijn dochter is student en was op een feestje waar een besmetting was, wat moet ik doen? De GGD registreert redenen waarom mensen bellen, waaronder dus ook: ik heb een waarschuwing gekregen van de app. Dat klopt. De grondslag daarvoor zit in de Wet publieke gezondheid. Dat wordt geregistreerd en is daarmee een van de weinige manieren om een relatie te leggen tussen de vraag of mensen gewaarschuwd zijn en bijvoorbeeld een positieve test. Overigens, ook als mensen dat aan de telefoon zeggen, kan niet met zekerheid worden vastgesteld dat ze een waarschuwing hebben gehad. Dan moet je nog steeds uitgaan van vrijwilligheid en anonimiteit, in dit geval.

Is er een DPIA? Ja. Op de rest van de vraag zal Laura ingaan. De DPIA is voorgelegd aan de Autoriteit Persoonsgegevens. Daar is het advies op gebaseerd en daarna is die nog een keer aangepast en meegestuurd naar de Tweede Kamer.

Is er een reden voor voorrang voor appgebruikers? Dat zal uit de richtlijn voor bron- en contactopsporing moeten komen. Wetenschappers bepalen wat de richtlijn is voor bron- en contactopsporing en dus ook voor waarschuwing van nauwe contacten, hoe die dan ook worden gevonden.

Als ik langs 1.000 mensen loop, wat gebeurt er dan? Als je een kwartier lang binnen 1,5 meter van al die 1.000 mensen blijft staan, dan worden ze gewaarschuwd, allemaal! Dat is namelijk een situatie die wellicht voor al die mensen risicovol is. Als je langs iemand fietst of loopt, is er geen sprake van vijftien minuten nabijheid. Die vijftien minuten zijn heel makkelijk vast te stellen. Zoals ik eerder al zei, is de techniek wat minder bij de nabijheid. De kans dat je op een boulevard vijftien minuten lang heel dicht bij 1.000 mensen bent, is wat onwaarschijnlijk. Dit is een terechte vraag, die ook in de samenleving leeft. Maar net als bij reguliere bron- en contactopsporing worden nauwe contacten opgespoord. Dat zijn mensen bij wie je ten minste vijftien minuten lang op 1,5 meter afstand was.

Wat is de Commissie eigenlijk aan het checken? Apple en Google zijn uitgebreid uitgedaagd om aan te tonen dat wat ze doen, integer is en alleen bedoeld om de epidemie te bestrijden. Als reactie op die uitdaging hebben ze uiteindelijk grote delen van de broncode, van hoe dit werkt, vrijgegeven. Die broncode wordt nu in opdracht van de Europese Commissie onderzocht door een Nederlandse organisatie, gespecialiseerd in het opsporen van terechte en onterechte functionaliteit en broncodes.

Tot slot. Wordt er ook naar verkeerd gedrag gekeken? Jazeker. Onbeoogde effecten zijn onderdeel van de doorlopende evaluatie en dus zijn gedragswetenschappers bijvoorbeeld intensief betrokken bij de evaluatie. Onder meer de gedragsunit van het RIVM zal dit onderdeel maken van het reguliere, frequente onderzoek.

Mevrouw Ghirlanda: De vraag was of er niet toch een verwerkersovereenkomst zou moeten worden gesloten. Dat kan niet, omdat er geen sprake is van een verwerkerschap van Google en Apple. Op het moment dat er geen verwerker is, kun je ook geen verwerkersovereenkomst sluiten. Dat is ook betrokken in de DPIA. De AP heeft daar advies over gegeven. De AP maakt zich weliswaar zorgen over de rol van Apple en Google, maar ook de AP zegt daarbij niet dat zij vindt dat Apple en Google een verwerker zijn. Er is een second opinion op de DPIA gedaan en die komt tot dezelfde conclusie, namelijk dat Apple en Google geen verwerker zijn in de zin van de AVG. Het is in die zin juridisch niet mogelijk om een verwerkersovereenkomst te sluiten.

Een andere vraag was of de app niet te breed is omschreven in de wetstekst. De wetstekst gaat wel verder dan bestrijding van het virus. Onder andere ook naar aanleiding van het advies van de Raad van State staat er heel specifiek in wat de app doet en dat is vroegtijdig zicht krijgen op een mogelijke infectie door bij te houden welke gebruikers in elkaars nabijheid zijn geweest en hen in voorkomende gevallen te waarschuwen. Veel specifieker dan dat kunnen we niet omschrijven wat de app doet, denk ik.

Dat waren volgens mij de juridische vragen.

De voorzitter: Dank u wel. Ik wil u heel hartelijk danken voor de duidelijke toelichting en de tijd die u heeft genomen, op zo'n korte termijn, om hier te zijn. Ik dank alle commissieleden voor hun vragen en aanwezigheid.

Dank u wel. Dan sluiten we hierbij af.