Coronalert-applicatie heeft géén toegang tot je persoonlijke data

19.10.2020, 17:40 (CEST)

Op Facebook delen tientallen mensen een bericht waarin ze oproepen om hun nummer en vriendenstatus te verwijderen vooraleer je de 'COVID-19'-app installeert. De applicatie zou de toestemming hebben om aan de hand van de telefoonnummers in de contactenlijst personen te identificeren, te volgen of te lokaliseren. "Want als je deze app hebt, zullen al je contacten bekend zijn en die van hen ook, en daar hebben zij noch ik toestemming voor gegeven", luidt het bericht. Maar klopt dat wel?

BEOORDELING: Het bericht is een hoax die als een kettingbericht rondgaat in verschillende landen op Facebook. Er is geen reden om je contacten te verwijderen uit je telefoon om hun data en privacy te beschermen, omdat de CoronaMelder je data niet deelt en geen personen identificeert. De waarschuwingen gebeuren aan de hand van willekeurige codes.

FEITEN: "Verwijder mij alsjeblieft uit je telefoon- en contactenlijst, je whatsapp en je vriendenlijst in Facebook, voordat je de app op je smartphone installeert!", roept iedereen op. Al tientallen Facebookgebruikers deelden het inmiddels op hun profiel. Overbodig, want Coronalert (de Belgische 'COVID-19-app') verzamelt en gebruikt zo min mogelijk persoonlijke gegevens. Welke gegevens er precies worden gebruikt, staat aangegeven op de website van de Coronalert-applicatie.

De applicatie krijgt dus geen toegang tot je contactenlijst. Wel stuurt hij willekeurige codes uit naar andere toestellen die de app ook hebben. Wanneer iemand besmet blijkt te zijn, dan kan deze persoon vrijwillig kiezen om andere mensen via de app te waarschuwen. "Coronalert vergelijkt voortdurend de anonieme codes op jouw gsm, met de anonieme codes in de centrale databank en slaat alarm wanneer er een match is", klinkt het op de website van Coronalert.

De Vlaamse Overheid, die de app reguleert, laat aan de redactie van dpa weten dat Coronalert niet de data leest op de telefoon. "De applicatie heeft geen toegang tot persoonlijke data", verzekert ook Carine Moykens, voorzitter van de Taskforce Zorgvoorziening. "Sterker nog, men opteert speciaal voor een extra beveiligde code aan de hand van 17 willekeurige cijfers om de data van de gebruiker te beschermen. Daardoor is die code ontraceerbaar. Enkel bij een positief resultaat wordt de naam, het telefoonnummer en het rijksregisternummer van de besmette persoon in kwestie bijgehouden in een beveiligde gegevensbank van Sciensano. Op die manier kunnen contact tracers ook hun werk doen, maar dat heeft uiteraard niets met de applicatie te maken." Ook de factcheckpagina 'De Hoax-Wijzer' toonde op Facebook aan dat de inhoud van de berichten niet klopt.

Ook professor Bart Preneel, gespecialiseerd in informatiebeveiliging aan de KU Leuven, zegt dat Coronalert geen toegang heeft tot persoonlijke data. Hij onderzoekt de veiligheid van de applicatie. "De privacy van de gebruiker wordt maximaal beschermd. In principe weet de applicatie enkel dat je mogelijk in contact bent geweest met een besmet persoon, maar je weet niet met wie, je weet niet waar of op welk uur precies." Verder verwijst professor Preneel naar enkele veiligheidsrapporten, uitgevoerd door het cybersecurity bedrijf Nviso, waarin ook duidelijk de privacy gegarandeerd wordt.

Ten slotte ziet ook privacy- en cyberveiligheidsdeskundige Brenno de Winter geen waarheid in de berichten. Als onafhankelijk expert teste hij voor het Nederlandse ministerie van VWS de CoronaMelder (de Nederlandse variant van Coronalert) en onderzocht hij de beveiliging. "De CoronaMelder en ook de Belgische variant hebben geen toegang tot locatie, sociale media-accounts of contactenlijst. Er wordt enkel via het principe van willekeurige codes gewerkt. Als je de app installeert, zal je ook zien dat je die toestemming niet moet geven. Dat is namelijk niet van toepassing." Alle veiligheidsrapporten werden bewaard en zijn openbaar raadpleegbaar in deze lijst.

---

Links:

Bericht op Facebook: https://www.facebook.com/johan.debrauwer/posts/4043998875613685 (gearchiveerd: http://dpaq.de/cK0fS)

Website Coronalert: https://coronalert.be/nl/(gearchiveerd: http://dpaq.de/JHCyk)

Coronalert rapport: https://www.esat.kuleuven.be/cosic/sites/corona-app/wp-content/uploads/sites/8/2020/09/02_Belgium_app_description_full_aug16_v1_3.pdf (gearchiveerd: http://dpaq.de/aEfNg)

Privacy en gegevens Coronalert: https://coronalert.be/nl/hoe-we-uw-privacy-beschermen/ (gearchiveerd: http://dpaq.de/khcbp)

De Hoax-Wijzer Facebook: https://www.facebook.com/dehoaxwijzer/photos/a.199040723565923/2013759232094054/?type=3&__xts__[0]=68.ARB5r84A4784zoe8Xh42if0r6Y_c12l0E1NKe9akjUc_urCThNlFVVmrSeMPg0Hs-FO7wPPkKkH3seWl0tN6hgKfxCBXnaCy22H2iWh6ntS4LuHakA2mcgj9CV8FbVSD9UclpBnYLSbpaJsBFVz8RqbHAnZjU1IUueK62MU0bCG43JkYvSkeSZ6GxBCzO6SI15WBtuVG9kfHWS5NyywwkyghkELpC6tKNhDS0n8iqRhoXSge-JfNpOaSXhUEaubLUzTlzNQTZ0wrOKbR9JJkq3zHSdXbZUqyS5N9bBhFixhyBbhkA5za3pAlwf1nU1x_ItCjOQ (gearchiveerd: http://dpaq.de/a1ORb)

Artikel over kritische privacy-deskundige Brenno de Winter: https://www.villamedia.nl/artikel/criticaster-brenno-de-winter-ingehuurd-voor-corona-app (gearchiveerd: https://archive.vn/brJRf)

Veiligheidsrapporten CoronaMelder: https://github.com/minvws/nl-covid19-notification-app-coordination/tree/master/privacy/Duidingsrapportage (gearchiveerd: http://dpaq.de/mQNFM)

Veiligheidsrapport Nviso: https://coronalert.be/wp-content/uploads/2020/10/Report-Coronalert-Application-Security-Assessment-Public-Report_vFINAL.pdf (gearchiveerd: http://dpaq.de/ThiOf)

---

Contact met het team van factcheck: factcheck-belgium@dpa.com