De app zelf ziet er tiptop uit, erkent AP-voorzitter Aleid Wolfsen. 'Die is privacy-vriendelijk en de data worden versleuteld, dus daar hebben we geen enkel bezwaar tegen. Maar die apps communiceren met elkaar via de Apple- en Google-netwerken. Je moet waarborgen hebben dat die techreuzen, die zeer geïnteresseerd zijn in onze data, niets met die persoonsgegevens doen wat niet mag.'
Waarborgen
Die waarborgen kun je vastleggen in een contract, maar dat is nog niet gebeurd, zegt Wolfsen. 'Het mooiste zou zijn als je in de wet opneemt dat Apple en Google die data niet mogen gebruiken, anders dan om de app te bedienen. Als je dat in een wet vastlegt, heb je die messcherpe waarborgen die we willen.' Als De Winter zijn claim kan waarmaken dat hij de broncodes kan inzien, is dat al een belangrijke stap, zegt Wolfsen. 'Dat zou goed zijn, dat is precies wat we willen.'

Punt één is dat er een wet nodig is om de app te mogen inzetten, zegt de AP. Daarin zou moeten staan dat alleen de minister en de GGD de app mogen inzetten. Ook moet erin staan dat de app niet verplicht opgelegd mag worden. Punt twee gaat over de backend server. Die zou eerst bij de belastingdienst staan, maar dat is later geschrapt. AP wil duidelijk hebben waar die server staat en of die aan de standaarden van de Belastingdienst voldoet.
Dossier | Corona-Risico-App
De app draait op een deel van de software van Google en Apple. De AP twijfelt of zij gegevens van de gebruikers van de app kunnen achterhalen. Brenno de Winter, betrokken bij de ontwikkeling van de app en verantwoordelijk voor de beveiliging en privacy rondom de app, meent te weten dat de techbedrijven niet geïnteresseerd zijn in de data en dat ook luid en duidelijk aan de ontwikkelaars hebben laten weten.
Lees ook | Corona-app vanaf vandaag te downloaden
Aanvliegroutes
De Autoriteit Persoonsgegevens hanteert de AVG anders dan elders in Europa, constateert De Winter. De AP had misschien een andere vraag moeten stellen, zegt hij. 'De wet is één van de aanvliegroutes, je kunt het ook aanvliegen via toestemming, dat kan een prima grondslag zijn. Nederland voldoet aan de privacywetgeving die in heel Europa geldt. We hebben een hele forse strafbepaling als je de privacyregels overtreedt, dus dat is heel duidelijk afgebakend.'
Lees ook | Stekker uit coronamelder-app als coronacrisis voorbij is
De AP wist volgens De Winter op 6 augustus al dat de backend-server bij KPN en het CIBG gaat staan en dat er binnen twee dagen een datacenter gereed kon zijn. 'We hebben daar veel contact met hen over gehad. De Kamerbrief van 16 juli is ook naar de AP gestuurd, en daar stond dit ook in, dus ze hadden dat allang kunnen weten. Er was wekelijks contact over, maar vragen over de backend zijn niet gesteld. En nu overvallen ze ons hiermee.