Eerste hulp bij Corona apps: waar ging het mis en hoe kan het beter?

Op 11 april publiceerde het Ministerie van VWS de “Uitnodiging slimme digitale oplossingen Corona”. Binnen een week volgde een selectie van 7 aanbieders van apps, die zich konden presenteren bij de zogenaamde ‘Appathon’. De kritiek die volgde was niet mals; er bleek bij de beoordeling ‘nogal wat’ mis met de apps op het gebied van informatiebeveiliging en privacy. 

Als adviseurs op deze thema’s, die dagelijks werken met normen als ISO 27001 en NEN 7510, vinden wij de gepubliceerde bevindingen op zijn minst opmerkelijk. Veel hiaten die geconstateerd werden, zouden zich ‘normaal gesproken’ niet voordoen als er conform deze normen wordt gewerkt. 

CertificeringsAdvies Nederland wil, als partner voor bedrijven op het vlak van informatiebeveiliging, graag een bijdrage leveren aan oplossingen in deze moeilijke tijd. Daarom:

Op 11 April 2020 kwam de overheid (VWS) met de “Uitnodiging slimme digitale oplossingen Corona” via Tendernet. Hierin werd gevraagd om:

De oproep heeft geleid tot een kleine 700 aanbiedingen, waarvan een selectie van 7 is getoond bij de zogenaamde Appathon. Deze zijn beoordeeld door een KPMG onderzoek, landsadvocaat en Autoriteit Persoonsgegevens. Die beoordelingen waren uitgesproken negatief, zowel over de technische beveiligingsmaatregelen als de privacyoverwegingen, als ook over de noodzaak van een dergelijke app en het gevolgde proces.

Ron Roozendaal, Director of Information Policy & CIO van het ministerie, gaf in de kamerbriefing van 21 april daarop aan, dat eerder een voorstelling werd gemaakt dat er al applicaties rijp zouden zijn voor gebruik (ook in andere landen), maar dat dit op dit moment dus niet zo blijkt te zijn.

Vooropgesteld: het is goed dat we een poging wagen tot het ontwikkelen van een app én dat we kritisch zijn. Zolang er echter vragen zijn over de noodzaak en waarde van deze app(s), lijkt het niet noodzakelijk om op dit punt privacyrisico’s op te zoeken.

De voorspelling van de beveiligingsdiensten dat de overheid te snel wilde, kwam uit. De acties de je verwacht bij normale software ontwikkeling (requirements, ontwerp, geïntegreerde testen, enz.) zijn te snel doorlopen of soms zelfs geheel overgeslagen.

In het KPMG rapport zijn een aantal stuitende bevindingen te lezen. Je zou verwachten dat deze niet voorkomen bij aanbieders die NEN 7510 of AVG naleven. Vanuit CertificeringsAdvies Nederland ondersteunen wij organisaties bij AVG-compliance en implementatie van o.a. NEN 7510, de verplichte norm voor informatiebeveiliging in de zorg. Nu implementeer je deze principes natuurlijk niet even in een weekend, uit de losse pols. De 7 aanbieders verklaarden echter allen aan de gestelde eisen te voldoen. En voor alle duidelijkheid, de volgende eisen (en daarna nog 20) waren o.a. opgenomen:

(Bron: de Uitnodiging)

Ergens gaat er hier dus iets mis. Maar waar? In de media is gesteld dat de vraagstelling van de overheid niet voldoende duidelijk was. Als adviseurs informatiebeveiliging vinden wij dat die onduidelijkheid vooral ligt in eigenaarschap, de Use Cases en randvoorwaarden rondom de applicaties (een datamodel lijkt bijvoorbeeld op basis van het getoonde formulier weer eenvoudig). Het kader voor de informatiebeveiligingseisen is duidelijk; supersnel daaraan voldoen lukt echter alleen een volwassen applicatie die al in gebruik is.

De overheid is er in haar tender dus vanuit gegaan dat professionele partners zich zouden aanmelden, die zelf aan kunnen dragen welke eisen er zijn en deze uiteraard ook al hebben ingevuld. Zie hiervoor óók punt d van de Uitnodiging. Het open staan voor meerdere oplossingen, of vertrouwen op deskundigheid van de aanbieders, is gebruikelijk in tenders. Dat hoeft niet op voorhand onvoldoende duidelijk te zijn, het verlegt wél een stuk inspanning van overheid naar aanbieder. Zolang de opdrachtgever dan maar:

Positiever bekeken: het is gelukt om snel te controleren of er geschikte apps zijn. Helaas is de conclusie dat die er nog niet zijn. Laten we positief blijven en er van uit gaan dat toch in de komende weken blijkt dat er goede voorstellen komen van een team dat ontstaat uit deskundige organisaties, al dan niet al NEN 7510 gecertificeerd. Elke propositie kan beter en mogelijk kunnen onderdelen van één van de oplossingen die niet bij de laatste 7 zaten, alsnog de juiste blijken te zijn.

Minister de Jonge gaf na de mislukte Appathon aan dat de 7 voorstellen vooralsnog van tafel zijn en dat hij snel wil beschikken over een team met experts op alle relevante gebieden, waaronder informatieveiligheid en privacy. Hergebruik van delen van eerdere oplossingen is mogelijk.

Iedereen heeft nu nog enige tijd om bij te dragen aan waardevolle nieuwe apps. De nieuwe ‘deadline’ is rond 19 mei, voor een go-no go beslissing. Een kleine 4 weken: een eeuwigheid voor een Proof of Concept, een enorme sprint voor een app met deze maatschappelijke impact en bestaande onzekerheden. Veel zal de komende dagen duidelijk moeten worden.

Technisch deskundige partijen hebben tijd om aanvullende kennis te verwerven over zorg-inhoudelijke processen; inhoudelijk deskundige partijen kunnen hun beveiliging verder op orde brengen. In de tussentijd kan de overheid beslissen over een eventuele noodwet, om de knoop door te hakken bij fundamentele tegenstrijdigheden tussen maximale informatie bij GGD en privacy. Bijvoorbeeld door expliciet duidelijk te stellen waarom en hoe in dit geval de grondslag van algemeen maatschappelijk belang zwaarwegend is.

Alle aanbieders hebben hun best gedaan te helpen en hebben hun eigen expertise. Er blijkt óf in die expertise, óf in de snelheid die nu gevraagd wordt en de daarvoor beschikbare handjes, iets te ontbreken. In dit geval kan niet 1 persoon alles weten: we moeten elkaar helpen de juiste hulpmiddelen te vinden. Die kennis en hulpmiddelen kunnen dan samenkomen in 1 systeem zonder blinde vlek waardoor er een app komt die veilig is en blijft, zolang noodzakelijk.

In de commissievergadering van 22 April wordt de basis gelegd voor een nieuw (ontwikkel)proces op basis van position papers van deskundigen. Belangrijk is dat niet gekeken wordt naar 1 app voor 1 oplossing: er zal de komende tijd worden gekeken naar meerdere apps met meerdere toepassingen.

Wij willen vanuit CertificeringsAdvies Nederland ook graag onze bijdrage leveren, door kennis te delen over NEN 7510, ISO 27001 en/of AVG. Uiteraard is dat onze ‘core business’, maar nuttige informatiebronnen zijn alvast:

Uiteraard hebben wij meer praktische uitwerkingen van alles wat nodig is voor NEN 7510 (of ISO 27001) certificering op de plank liggen (AVG certificering duurt nog even). Neem dus contact met ons op als je op zoek bent naar bijvoorbeeld ontwikkel- of encryptiebeleid, teststrategie of -procedure.

De snelste methode om eventuele gaten op te sporen en te dichten is door een interne audit uit te laten voeren. Audits zijn nuttig, kunnen we snel plannen en resulteren in duidelijk omschreven verbeteracties. Dat kunnen we doen op organisatie- of applicatieniveau.

Ook hier willen we meer dan ‘gewoon’ onze dienstverlening aanbieden. Ben je betrokken bij de ontwikkeling van een Corona-app of een andere toepassing gericht op de zorg? Geef dit dan aan wanneer je contact met ons opneemt. In het kader van het maatschappelijk belang, helpen wij je graag verder, tegen gereduceerde tarieven.

Wij wensen iedereen veel succes! Mocht je informatie willen of hulp nodig hebben, schroom dan niet om contact met onsop te nemen. Wij helpen je graag!