Deskundigen zeggen dat het snel vinden van nieuwe infecties de sleutel is tot het opsporen van nieuwe besmettingshaarden. De corona-app CoronaMelder wordt door Minister Hugo de Jonge aangeprezen als dé tool in de poging om potentiële COVID-19 infecties op te sporen. Dat lijkt een goed idee, op voorwaarde dat de privacy gewaarborgd is.
Vanaf 1 september is de officiele corona-app CoronaMelder door iedereen te gebruiken. De app waarschuwt als je de afgelopen veertien dagen langere tijd in de buurt bent geweest van een medegebruiker van de app die is besmet met het coronavirus.
Minister Hugo de Jonge van Volksgezondheid stelde dat een app ‘alleen wordt ingezet als de privacy gewaarborgd is’.
De app zou met een ‘aanzienlijke betrouwbaarheid’ kunnen meten als je gevaarlijk dicht bij een besmet persoon bent geweest.
Werking en privacy - Coronamelder
CoronaMelder weet niet wie of waar je bent. De app maakt dus geen gebruik van je locatievoorzieningen (GPS). De app meet alleen of je dicht in de buurt van een andere app-gebruiker bent geweest. De app gebruikt hiervoor bluetooth-technologie (Bluetooth Low Energy). Hoe sterker het signaal, hoe dichterbij je bent. Volgens techjournalist Daniël Verlaan is het batterijverbruik van de app niet hoog.
De app werkt met zogenaamde Rolling Proximity Indicators (RPI’s), dat zijn een soort ‘digitale dobbelstenen’. CoronaMelder doet iedere 10 tot 20 minuten een worp met de digitale dobbelstenen en de uitkomst daarvan is een willekeurige code. Als er iemand -die ook de app heeft- voor minstens 15 minuten dicht bij jou in de buurt komt, ontvangt de app van die persoon jouw willekeurige code en slaat deze op.
Andersom slaat jouw app ook de willekeurige code op van deze persoon. Zowel gebruikers van de app als derden kunnen daardoor de verschillende gebruikers niet identificeren: er bestaan alleen willekeurige getallen die allerlei contactmoment voorstellen. De codes worden op je telefoon bewaart en na 14 dagen verwijderd.
Mocht je onverhoopt besmet zijn, kun je er vrijwillig voor kiezen om jouw digitale dobbelstenen (zonder je persoonsgegevens) op te sturen naar een centrale server. Die server stuurt de digitale dobbelstenen dan weer naar alle mensen die de app hebben geïnstalleerd. Lokaal op de telefoon wordt dan gekeken of je in contact bent geweest met een besmet persoon. Als dat zo is, krijg je een waarschuwingsmelding te zien. De app controleert namelijk elke dag een paar keer de codes op de centrale server. Als één van die codes hetzelfde is als een code op jouw telefoon, dan geeft de app een melding.
Exposure Notification API
Mensen gingen helemaal los op social media nadat ze ‘ontdekt’ hadden dat Apple of Google zonder toestemming ineens een COVID-19 tracking app naar hun telefoon had geüpload. Google en Apple hebben echter helemaal geen app gebouwd.
Apple en Google hebben wel gezamenlijk een oplossing voor COVID-19 tracking ontwikkeld, genaamd de Exposure Notification API. De Exposure Notification API van Apple en Google maakt het gemakkelijk voor landen om een eigen privacy-vriendelijke COVID-19 app te bouwen, en ook CoronaMelder maakt gebruik van deze API.
Niemand kan een COVID-19-tracking-app zonder jouw toestemming installeren of activeren op je telefoon.
Wat Google en Apple kunnen doen met jouw data is moeilijk te bepalen/controleren, omdat hun software niet open source is.
Privacyverklaring
Volgens de privacyverklaring worden er de volgende (persoons)gegevens verwerkt in de app.
- Rolling proximity indicators (RPIs)
- Temporary Exposure Keys (TEKs)
- Diagnosis Keys (DKs)
- pseudo MAC-adres
- signaalsterkte en de contactduur
- autorisatiecode
- Exposure Risk Value (high, mid, low)
- IP-adres
(Schijn)veiligheid
In andere landen kampen vergelijkbare corona-apps met technische problemen en er zijn nog veel twijfels over de effectiviteit. Volgens Chiara Farronato, assistent professor aan de Harvard Business School, zijn privacybestendige corona-apps bijna altijd tot mislukken gedoemd. “Om effectief te zijn, moet bijna iedereen de app gebruiken. De Nederlandse app is vrijblijvend, net zoals corona-apps in andere Europese landen. In de praktijk zie je dan dat maar weinig mensen de app downloaden. Dan is de app waardeloos of zelfs schadelijk.” De Chinese corona-app is heel effectief omdat hij verplicht is.
In Duitsland gebruikt nog geen 20 procent van de bevolking de app, en dat is een van de hoogste percentages van Europa. Dat betekent dat je slechts over een klein deel van je ontmoetingen mogelijk informatie krijgt. Maar zolang je geen notificaties ontvangt, voel je je veilig en ga je misschien juist met meer mensen afspreken. De app creëert dan vooral schijnveiligheid. Volgens deskundigen moet minstens 60 procent van de bevolking een corona-app gebruiken, wil die effectief besmettingen helpen voorkomen.”
Daarnaast is volgens bluetooth-uitvinder Jaap Haartsen bluetooth niet nauwkeurig genoeg voor contactonderzoek naar corona. Hij benadrukt dat het bereik van het signaal, dat in de huidige generatie van de draadloze technologie varieert tussen de één en de twintig meter, onvoldoende zekerheid geeft over afstand. Dat leidt volgens Haartsen tot onbetrouwbare uitkomsten. En dan nog het feit dat een persoon minstens 15 minuten dicht bij jou in de buurt moet zijn geweest voordat de codes worden uitgewisseld. Zolang je geen notificaties ontvangt, voel je je veilig en ga je misschien juist met meer mensen afspreken.
Verschillende experts en gedragswetenschappers in Nederland zeggen dat het met die schijnveiligheid erg meevalt. De toekomst zal moeten uitwijzen wie er gelijk heeft.
Vrijwillig verplicht
Het gebruik van de app is dus geheel vrijwillig. Bovendien mogen mensen nooit, direct of indirect, door wie dan ook worden gedwongen tot het gebruik van de app. Dus ook niet jouw werkgever of een uitgaansgelegenheid. Zo is het bijvoorbeeld niet toegestaan dat een restauranteigenaar het gebruik van CoronaMelder verplicht stelt als je bijvoorbeeld plaats wilt nemen op een terras. Minister De Jonge komt zelfs met een wetsvoorstel die dergelijke situaties verbiedt.
Maar mensen zijn sociale dieren (echt waar) en binnen iedere groep gelden er sociale normen. Je moet sterk in je schoenen staan om af te wijken van de rest. Denk maar eens aan het binnenstappen van een lift. De kans is vrij groot dat je met je neus precies dezelfde kant opstaat als de rest. Als het installeren van de app de norm -dus eigenlijk van je verwacht- wordt krijg je te maken met groepsdruk. Niet iedereen heeft zin om zichzelf steeds voor een groep te (moeten) verantwoorden. Want wie wil nu die ‘gekke’ collega zijn die de app -als enige- principieel niet installeert?
Onze overheid speelt goed in op de sociale norm. Ze maken de corona-app niet verplicht, want dat werkt in dit stadium het creëren van eventuele draagvlak tegen. Ze vertrouwen op Cialdini’s principe ‘Sociale bewijskracht’ en ‘autoriteit’. Ik verwacht dan ook veel campagnes met (privacy/tech)influencers om de app aan te prijzen. Mensen die legitieme autoriteit uitstralen, want zij triggeren compliance en volgzaamheid.
Function Creep
De eerste versie van de app lijkt op het eerste oog privacyvriendelijk en veilig. Er moet immers draagvlak gecreëerd worden en privacy is een heet hangijzer. De app is ook ‘open source’ ontwikkeld. Dat betekent dat iedereen het proces ‘in de gaten kan houden’ en mee kan helpen om de app te ontwikkelen.
Wanneer de infrastructuur eenmaal aanwezig is en genoeg burgers gewend zijn aan deze app, kan de app eenvoudig uitgebreid worden met allerlei andere functies die de privacy wel onder druk zetten. Dit wordt ook wel “function creep” wordt genoemd.
Het meest bekende en besproken voorbeeld in ons land van function creep is de toepassing van biometrie (vingerafdrukken) op ons paspoort. Oorspronkelijk had die toepassing als doel het paspoort beter te beveiligen tegen fraude. Onze overheid koos er later voor de applicatie ook in te zetten voor opsporings- doeleinden en wel via de opslag van biometrische gegevens in een landelijke databank die hiervoor gebruikt kon worden. Zo kan de corona-app ook interessant zijn voor opsporingsdiensten. Interpol hield eerder al een bijeenkomst wat de corona-app zou kunnen betekenen voor politiewerk. De Nederlandse politie deed overigens niet mee aan die sessie.
Function creep werkt een beetje als een rollende trein. Eerst zorg je ervoor dat iedereen (vrijwillig) aan boord gaat. Als de trein vervolgens op volle snelheid doordendert, spring je er niet zomaar meer vanaf. Vervolgens worden er verschillende wagonnetjes aan de trein gekoppeld die er in het begin nog niet aanzaten.
Advies AP
De Autoriteit Persoonsgegevens heeft het ministerie van Volksgezondheid, Welzijn en Sport afgeraden om de CoronaMelder-app nu al in gebruik te nemen. Dat schrijft AP in een advies dat maandagavond 17 augustus openbaar is gemaakt.
De AP stelt vast dat de app volgens het privacy-by-design principe is ontworpen, maar vindt ook dat er duidelijkere afspraken met Google en Apple gemaakt moeten worden. Alleen dan kun je zeker van zijn dat zij toch niet op een of andere manier data uit de app verwerken. Ook wijst AP erop dat nog niet duidelijk is wie de achterliggende server zal verzorgen. Dit advies is op 6 augustus naar het ministerie van Volksgezondheid, Welzijn en Sport/ Hugo de Jonge gestuurd. Maar de app wordt ondanks dit advies toch uitgerold, ondanks de belofte van Hugo de Jonge om dit zonder positief advies niet te doen.
Conclusie
We kunnen op dit moment CoronaMelder niet als onveilig of privacyonvriendelijk bestempelen. Sterker nog; de app lijkt volledig open en transparant te zijn ontwikkeld volgens het ‘privacy-by-design’ principe. Dat is best een compliment waard.
Ik maak me niet zoveel zorgen over de veiligheid of privacy-vriendelijkheid van deze app. Toch ben ik vanwege mogelijke function creep, twijfelachtige effectiviteit en (negatieve) advies van AP toch nog wat terughoudend om op deze trein te springen. Ook omdat er meer wegen zijn die naar Rome leiden in de strijd tegen het Coronavirus. We vertrouwen steeds meer op de waarheid van Big Data en effectiviteit van verschillende technologie. Wanneer we als maatschappij in de toekomst niet meer kritisch zijn of twijfelen aan deze ‘waarheid’ komen we in een technocratische monitorsamenleving terecht die wel erg makkelijk (be)stuurbaar is.
CoronaMelder is een hulpmiddel in de strijd tegen het corona-virus, maar het zal mij niet beschermen tegen eventuele besmetting. Dat doe ik zelf en hopelijk mijn omgeving ook.
Waar je ook voor kiest: navigeer op je gezond verstand.