Medewerkers van de GGD kunnen controleren of iemand die besmet is met het coronavirus en de app CoronaMelder heeft gedownload, de app gebruikt om zijn nauwe contacten daadwerkelijk te waarschuwen. Op die manier zou de GGD in theorie iemand kunnen overtuigen of kunnen dwingen om zijn verzamelde codes van nauwe contacten te uploaden. Dat druist in tegen de wens van het ministerie van Volksgezondheid dat de CoronaMelder volledig vrijwillig moet zijn.

De kwestie werd ontdekt door onderzoekers van Radically Open Security (ROS), die het risico als middelhoog inschatten. Het onderzoek is nu gepubliceerd (pdf), maar was al afgerond voordat de corona-app en de bijbehorende wet begin september in de Tweede Kamer werd behandeld.

In de tussentijd suggereerde minister Hugo de Jonge (Volksgezondheid) op 28 augustus in een Kamerbrief dat de app geen risico's bevat die de landelijke uitrol tegen zouden houden. Er zijn "geen zogenaamde 'showstoppers'", schreef De Jonge.

Dat terwijl het wel degelijk niet de bedoeling is dat de door ROS gevonden kwestie in de definitieve versie van de app zit, zegt de door het ministerie ingehuurde privacydeskundige Brenno de Winter in een reactie tegen NU.nl.

"De functie was in de test noodzakelijk om te controleren of de app werkt", zegt hij. CoronaMelder wordt sinds 17 augustus getest bij vijf GGD's. De Winter verzekert dat het door ROS gevonden risico niet terug te vinden zal zijn in de app zodra deze landelijk beschikbaar wordt. Ook benadrukt hij dat de onderzoekers goed werk hebben geleverd door de kwestie aan te kaarten.

CoronaMelder wacht op goedkeuring door Eerste Kamer

De corona-app wisselt signalen uit met andere smartphones in zijn omgeving. Op die manier ontstaat een anoniem logboek van codes. Als iemand besmet blijkt met het COVID-19-virus, vraagt de GGD of die persoon deze codes wil uploaden. Wie in de buurt is geweest van de coronapatiënt, krijgt dan via zijn eigen app een melding.

Op dit moment kunnen mensen deze codes alleen delen via GGD's in Overijssel, Drenthe en Gelderland, waar met de app proefgedraaid wordt. Zodra de app landelijk beschikbaar wordt, kan iedere besmette appgebruiker zijn codes uploaden. Om te voorkomen dat mensen massaal onnodig hun codes uploaden, kan dat alleen samen met de GGD.

De mogelijkheid van de GGD-medewerker om te controleren of dat daadwerkelijk is gebeurd, brengt naast risico's van sturing of dwang ook het anonieme karakter van de app in gevaar, aldus ROS. De GGD-medewerker hangt namelijk aan de lijn met de besmette persoon en weet zijn naam en telefoonnummer. Deze gegevens kunnen gecombineerd worden met het feit of iemand zijn codes wel of niet uploadt.

CoronaMelder verzamelt zelf geen namen of telefoonnummers, en ook geen locatiegegevens. Het ministerie heeft gezegd dit een belangrijke voorwaarde te vinden voordat de app landelijk beschikbaar wordt.

Omdat de invoering van de app wettelijk geregeld wordt, kan CoronaMelder op dit moment nog niet landelijk beschikbaar worden. Na het akkoord van de Tweede Kamer eerder deze maand, wordt de wet naar verwachting 6 oktober behandeld in de Eerste Kamer.