Nieuws

App Coronalert scoort goed op privacy en gebruiksvriendelijkheid

09 december 2020

Getest en goedgekeurd: Coronalert, de Belgische corona-app om de verspreiding van het virus mee te helpen indijken. De app is heel privacyvriendelijk en makkelijk in gebruik. Wat ons betreft dus weinig redenen om ze niet te installeren. We beantwoorden de voornaamste vragen.

Het privacyrapport

Uit onze test blijkt dat de app geen steken laat vallen op het vlak van privacy. Dit is wat we vaststelden:

  • Coronalert weet niet waar je bent: gegevens tussen smartphones worden uitgewisseld via bluetooth. Locatiegegevens (gps) worden niet gebruikt en er wordt dus geen informatie verstuurd over de plaats waar je eventueel een “hoogrisicocontact” hebt gehad.
  • De app weet niet wie je bent of wie je ontmoet: de enige gegevens die je met andere gebruikers uitwisselt, zijn anonieme codes. Geen namen, telefoonnummers of locaties. De uitgewisselde codes laten niet toe om iemand te identificeren.
  • Test je positief, dan weten andere gebruikers niet dat jij hen eventueel zou kunnen besmet hebben: als je positief test en beslist om je codes naar de centrale server te uploaden, komen andere gebruikers met wie je een nauw contact hebt gehad enkel te weten dat ze een hoogrisicocontact hebben gehad, maar nooit met wie, waar of wanneer precies (enkel de datum wordt doorgegeven, niet het precieze uur).
  • Op de centrale server passeren enkel de anonieme codes: geen namen van patiënten of hun contacten.
  • De codes veranderen frequent: ongeveer iedere 10 tot 20 minuten, zodat het niet mogelijk is om hiermee een smartphone te volgen.
  • De app vraagt niet om “verdachte” machtigingen: de app vraagt bijvoorbeeld geen toegang tot je contacten, je locatie, je berichten of je telefoongesprekken.
  • Wanneer de app een server aanspreekt, gaat het internetverkeer via een proxyserver: zo wordt je eigenlijke IP-adres verborgen.
  • Regelmatig doet de app een “dummy upload” naar de centrale server: dit om uploads van “echte” codes naar de server (wanneer je positief zou testen) nog beter te maskeren.

Je wordt bovendien goed ingelicht over het privacybeleid. Je krijgt voldoende informatie in de app en kan doorklikken op links voor meer uitleg. Voor zowat élke handeling – het inschakelen van bluetooth bijvoorbeeld – moet je expliciet je toestemming geven. De broncode van de app staat integraal online: dit toont dat men zo transparant mogelijk wil zijn.

Kan de app mijn locatie achterhalen?

Neen, er worden geen locatiegegevens bijgehouden of doorgestuurd. 

Er is wel een vervelend probleem met de versie die draait op Android-telefoons: daar moet je locatiediensten sowieso activeren om bluetooth te kunnen laten werken, ook al gebruikt de app zelf geen locatie-informatie. De activatie van locatiediensten zit ingebakken in het systeem, en daar kan de app-ontwikkelaar weinig aan doen.

Welke gegevens deelt de app met wie?

Dat is heel miniem en in feite beperkt tot anonieme (pseudonieme) gegevens:

  • Centrale server: je kan anonieme codes opladen naar de centrale server. Deze centrale server wordt gehost door Sciensano.
  • Andere Coronalert-gebruikers: Indien je je anonieme codes naar de centrale server verstuurt, worden deze minstens één keer per dag naar alle apps verstuurd.
  • Andere Europese databanken: Als je in de app aangeeft dat je een ander EU-land hebt bezocht, kunnen je anonieme codes rechtstreeks of via de EU-“gateway” naar de centrale servers van vergelijkbare contactopsporingsapps in die EU-landen worden gestuurd,
  • Apple en Google: zij kunnen enkel zien wie Coronalert heeft geïnstalleerd. Zij zorgen er wel voor dat het systeem jouw identiteit niet met hen deelt.