Het ministerie van Volksgezondheid koppelt binnenkort een bugbountyprogramma aan de Nederlandse corona-app. Zelfstandige beveiligingsonderzoekers die een kwetsbaarheid vinden in CoronaMelder, krijgen dan een beloning. Wat die beloning inhoudt, is nog niet bekend.

Minister Hugo de Jonge van Volksgezondheid zei dat in een debat in de Eerste Kamer. Daar werd, in navolging van een eerder debat in de Tweede Kamer over dat onderwerp, gesproken over het ontwikkeltraject van de corona-app. De Jonge reageert op vragen van ChristenUnie-lid Maarten Verkerk. Die legde vragen voor die hij eerder van een basisschoolklas had gekregen, waaronder de vraag of het 'absoluut zeker is dat de app helemaal werkt'.

De Jonge reageert dat de app in vijf regio's door meer dan een miljoen gebruikers is getest en dat hij 'echt wel durft te zeggen dat de app helemaal werkt'. Toch komt er daarnaast een bugbountyprogramma. "Als jullie dus een technische fout ontdekken in de app, dan gaan we je daarvoor belonen", zegt de Jonge. Het is nog niet bekend om wat voor beloning het gaat en als het om een geldbedrag gaat, hoe hoog dat zal zijn. De Rijksoverheid verwijst normaal gesproken naar het responsible-disclosurebeleid dat wordt uitgevoerd door het Nationaal Cyber Security Centrum. Dat deelt meestal beloningen uit in de vorm van T-shirts of cadeaubonnen en in zeldzame gevallen een geldbedrag van maximaal driehonderd euro. Het idee van een bugbounty werd eerder al geopperd in een openbare Slack-groep met de ontwikkelaars. Toen werd voorgesteld om, vanwege het open karakter van het ontwikkeltraject, een betaling in natura uit te keren.

De Jonge zegt in het debat verder ook dat het bugbountyprogramma alleen van toepassing zal zijn op kwetsbaarheden in de app zelf. Dat is 'hetgeen waar we zelf invloed op hebben', zegt hij. Voor kwetsbaarheden in de GAEN-api van Google en Apple hebben die bedrijven zelf al standaard bugbountyprogramma's. Wanneer het programma voor CoronaMelder van start moet gaan, is niet bekend. Wel zegt De Jonge dat hij onderzoekers nu al 'oproept kritisch te kijken' naar de app.