Rob Engelaar Fotografie

Privacy of gezondheid: een valse keuze? "Het is wél mogelijk een corona-app te maken die de privacy respecteert"

België is hard op zoek naar een app om het coronavirus mee te bestrijden. Maar alle voorstellen voor apps die minister van Digitale Agenda en Privacy Philippe De Backer (Open VLD) tot nu toe ontving, schenden op een of andere manier de Europese privacywetten. Tel daarbij op dat een recente rondvraag aantoont dat veel Vlamingen zich zorgen maken over de veiligheid van hun gegevens op zo'n app en de vraag rijst: moeten we een keuze maken tussen onze privacy en onze gezondheid? Een groep onderzoekers op het gebied van privacy zegt van niet.

Gaat een app ons helpen het coronavirus onder controle te krijgen? Verschillende landen in Europa denken er serieus over na. Ze zijn geïnspireerd door landen als Zuid-Korea, China en Singapore, waar de overheden deze apps al inzetten.

Zo'n app zou niet alleen helpen om beter in beeld te krijgen hoeveel mensen er besmet zijn, maar kan in theorie ook anderen waarschuwen dat zij in de buurt zijn gekomen van iemand die besmet is. Dat zou dan een reden kunnen zijn om je te laten testen, of in thuisisolatie te gaan. 

Zo werkt de corona-app in Singapore (lees voort onder de video):

Nadelen aan een corona-app

Maar er kleven ook behoorlijk wat nadelen aan zo'n app. Ten eerste de vraag of die überhaupt gaat helpen:  daar is namelijk nog geen vaststaand bewijs voor. We hebben immers nooit eerder zoiets meegemaakt.

Er zijn ook praktische nadelen: een app is alleen nuttig als iedereen snel getest kan worden, en dat is op dit moment niet mogelijk. 

Daarnaast, en misschien nog wel belangrijker, zijn er bezwaren wat betreft privacy. Medische informatie is extreem gevoelig, omdat het een reden kan zijn om iemand te discrimineren of anders te behandelen.

Vóór de crisis konden we ons daar misschien niet direct iets bij voorstellen, maar inmiddels zijn er voorbeelden genoeg. In Zuid-Korea worden besmette mensen gevolgd via de gps van hun telefoon, en gaat er een alarm af als ze hun quarantainegebied proberen te verlaten.

In China moeten mensen een QR-code laten scannen om gebruik te maken van bijvoorbeeld het openbaar vervoer. Bij een groene code mag je doorreizen, bij een rode code niet. Als iemand met wie je in de bus zat later besmet blijkt, krijg jij ook een oproep om in quarantaine te gaan.

Een man in Wuhan scant een QR-code met zijn telefoon om gebruik te maken van het openbaar vervoer.
Copyright 2020 The Associated Press. All rights reserved.

App mag geen vrijkaart zijn

Uit een recente bevraging van het Kenniscentrum Data & Maatschappij blijkt dat de helft van de ondervraagde Vlamingen tijdelijk hun gegevens wel zouden toevertrouwen aan zo'n app, als dat het coronavirus de wereld uit helpt.

Maar dat wil niet zeggen dat we tot in het oneindige alles toelaten. "We zien dat mensen de app niet als een vrijkaart zien om na de crisis gewoon maar van alles met die gegevens te doen," aldus Marijn Martens, onderzoeker bij het Kenniscentrum. 

Mensen maken zich ook zorgen: 65 procent van de ondervraagden is bang dat de applicatie de deur open zou zetten voor andere, mogelijk ongewenste apps, en 78 procent is bang dat de data die zij delen met de app, uiteindelijk ook bij andere partijen terechtkomt. Het principe dat data voor andere doeleinden wordt gebruikt dan het oorspronkelijk bedoeld was, heet een function creep. 

Lees voort onder de grafiek.

Veilige app is wel mogelijk

Hebben we reden om ons zorgen te maken? Minister De Backer, die bezig is met een "Data Against Corona" taskforce, zei onlangs dat alle voorstellen voor apps die hij heeft gekregen, op één of andere manier de privacywetgeving schenden. 

Het lijkt dus alsof het simpelweg niet mogelijk is om een app te maken die doet wat nodig is en tegelijkertijd onze privacy respecteert. Maar dat is een misvatting, zeggen 25 onderzoekers die zich bezighouden met privacy en databeveiliging. De groep heeft op 3 april een artikel gepubliceerd, waarin zij precies uitleggen hoe een privacyvriendelijke app er volgens hen zou kunnen uitzien.

Centrale opslag is beveiligingsrisico

Een corona-app moet in ieder geval drie dingen doen. De app moet eerst weten wie besmet is, dan wie bij deze mensen in de buurt zijn geweest, en ten slotte die mensen een notificatie sturen.

Er zijn verschillende manieren waarop je die doelen kunt bereiken. Om te weten wie besmet is geweest en wie in contact is gekomen met andere mensen, kun je een grote centrale databank aanleggen. Je hebt dan alle gegevens bij elkaar. 

Dat is makkelijk, maar ook gevaarlijk, legt onderzoeker Michael Veale van de University College Londen uit. Veale is een expert op het gebied van data-rechten en privacywetgeving, en een van de onderzoekers die meewerkte aan het artikel. 

"Zulke centrale databases lijken op de gegevens die Cambridge Analytica verzamelde, waarmee ze hele sociale netwerken in kaart konden brengen. Zij zijn uiteindelijk beschuldigd van het misbruiken van die gegevens," aldus Veale.

Elk apparaat ziet alleen dat puzzelstukje wat het nodig heeft, en niemand kan de hele puzzel zien

Michael Veale, privacy-onderzoeker

Wie gevoelige persoonsgegevens op één plek opslaat, creëert daarmee een beveiligingsrisico. Een hacker hoeft dan namelijk maar op die ene plek in te breken om toegang tot al die gegevens te krijgen. 

Een ander gevaar van centrale opslag is de eerder genoemde function creep. "Bijvoorbeeld dat de data gebruikt wordt door de politie of de geheime dienst, of om mensen te dwingen dingen te doen of laten: het kan een wereld creëren waarin alleen bepaalde mensen nog naar buiten mogen," zegt Veale.

De app die hij en zijn collega's voorstellen, is dan ook gedecentraliseerd. Alle persoonlijke gegevens blijven op jouw apparaat, en er is geen opslag in de cloud. Veale: "Als de app controleert of je bij een besmet persoon in de buurt bent geweest, doet het dat op jouw telefoon, er wordt geen groot netwerk gemaakt. Elk apparaat ziet alleen dat puzzelstukje wat het nodig heeft, en niemand kan de hele puzzel zien." 

Locatiegegevens zijn nooit anoniem

Maar hoe weet je dan of je bij iemand in de buurt bent geweest? Ook daar zijn meerdere manieren voor.

Je kunt bijvoorbeeld locatiedata gebruiken om in de gaten te houden waar mensen zijn, en wie er bij hen in de buurt komt. Je zou dan altijd je locatie moeten aanzetten en dit delen met de app.

Het idee dat je altijd gevolgd wordt, is op zich al niet zo prettig. Tel daar nog bij op dat locatiedata nooit helemaal anoniem te verwerken is, zelfs niet als je heel hard je best doet. Het blijkt keer op keer vrij eenvoudig om door middel van locatiegegevens te achterhalen om welke persoon het gaat.

Een meer privacy-vriendelijk alternatief is Bluetooth. Elke telefoon heeft dit, ook de oudere varianten. Bij Bluetooth wordt geen locatie-informatie gedeeld: je weet alleen dat je op een bepaald moment bij een ander apparaat in de buurt bent geweest. 

Het idee van de app is als volgt. Je downloadt de app, en krijgt dan een willekeurige code (bijvoorbeeld een combinatie van letters en cijfers). Als je naar de supermarkt gaat, deelt jouw telefoon die code met de telefoons van mensen in de winkel, die op hun beurt hun code naar jouw telefoon terugsturen.

Je telefoon heeft dan dus een overzicht van codes van andere apparaten die in de buurt zijn gekomen. Die informatie wordt maximaal 14 dagen bewaard: de gemiddelde incubatietijd van het coronavirus.

Je persoonlijke code verandert regelmatig. Was het tien minuten geleden 'abc', nu is het 'uvw'. Hierdoor kun je de code niet aan één persoon koppelen, waardoor niemand weet dat jij het bent, en niemand je zomaar kan volgen. 

Iemand kunnen volgen is niet nodig

Als je positief test voor het coronavirus, scan je bij de dokter een QR-code met je app. Hierdoor kunnen alle codes die jij hebt gehad in de periode dat je besmettelijk was, worden vergeleken met de codes die andere mensen hebben opgeslagen op hun telefoon. 

Als er een match is, berekent de app hoeveel risico je loopt: hoe vaker je iemand bent tegengekomen, hoe hoger de kans dat je zelf ook besmet bent. Is dat risico hoog genoeg, dan krijg je een notificatie op je telefoon dat je in contact bent geweest met een besmet persoon.

"De enige vraag die zo'n app moet beantwoorden is of je een risico loopt op besmetting. Het is niet nodig om te weten wie het precies was, of waar diegene allemaal geweest is," zegt Veale.

De onderzoekers hebben niet alleen een theoretisch protocol voor hun applicatie geschreven, maar maken ook de code openbaar die nodig is om zo'n app effectief te maken. Hiermee nodigen ze iedereen uit om kritiek te leveren en de applicatie te helpen verbeteren.

Dat hun producten overal zijn, wil niet zeggen dat Apple en Google de beste kandidaten zijn om zo'n app te maken."

Michael Veale, privacy-onderzoeker

Eén app voor heel Europa?

De privacywaakhond van de Europese Unie spoort lidstaten aan om niet zelf een app te ontwikkelen, maar gezamenlijk voor één app te kiezen, die dan voldoet aan de privacy-eisen. Nu veel landen al begonnen zijn met eigen apps te bouwen, is het de vraag hoeveel daarvan terecht komt.

Er gaan ook stemmen op om bedrijven als Apple en Google een tracker te laten ontwikkelen. Bijna iedereen heeft immers een iPhone of een Android-toestel. "Ik weet zeker dat Apple en Google hier al over na aan het denken zijn," zegt Veale. 

"Maar het probleem is dat als zulke bedrijven zo'n app creëren, we zelf geen controle hebben over waar het wel en niet voor gebruikt mag worden. Ik denk dat we moeten zorgen dat we iets te zeggen hebben over dit soort systemen: dat hun producten overal zijn, wil niet zeggen dat Apple en Google de beste kandidaten zijn om zo'n app te maken."

Gebruik van de app afdwingen

Een laatste punt van zorg: hoe zorgen we dat zo veel mogelijk mensen de app daadwerkelijk gebruiken? Landen zouden kunnen overwegen om het gebruik verplicht te maken. 

"Het gaat lastig worden om dat af te dwingen," aldus Veale. "Mensen worden daar ongelukkig van, gaan hun gedrag aanpassen. Misschien laten ze wel hun telefoon thuis." Het systeem dat hij en zijn collega's hebben ontwikkeld, is zo gemaakt dat mensen zich veilig moeten voelen het te gebruiken. 

"We weten dat je enorm veel kunt leren over iemand door te bestuderen met wie ze omgaan en waar ze naartoe gaan. Dat zijn zo ongeveer de gevoeligste data die je over iemand kunt verzamelen, helemaal in combinatie met gezondheidsinformatie. Als je zeker weet dat jouw gevoelige informatie privé en veilig blijft, kunnen we er misschien voor zorgen dat de meerderheid van de mensen de app gaat gebruiken, op vrijwillige basis. Ik zou niemand willen dwingen."