De Nederlandse voorstellen voor een corona-app en privacy
Is het een goed idee om de taken van de GGD te ondersteunen met technologie in de strijd tegen COVID-19? Jazeker! Is het slim om de communicatie met artsen te vergemakkelijken met technologie? Absoluut! Want op die manier wordt de gezondheidszorg voor grote groepen toegankelijker.
Samengevat is Amnesty’s standpunt als volgt. Apps die bijdragen aan het indammen van de verspreiding van het coronavirus moeten aan een aantal voorwaarden voldoen. De apps mogen niet meer gegevens verzamelen dan noodzakelijk is. Er moet waar mogelijk gebruikgemaakt worden van anonieme data en anders moeten de identificerende gegevens worden versleuteld. Ook moeten de gegevens zo snel mogelijk weer gewist worden. En de app moet niet verplicht worden.
App om verspreiding coronavirus tegen te gaan
Helaas is het niet mogelijk om het virus zelf een zendertje op de rug te binden en zo de besmettingen te monitoren, dus wil de overheid nu de digitale sporen van menselijk contact monitoren met apps. Belangrijk punt hierbij is dat de mensenrechten worden gerespecteerd door de nieuwe apps. Ook de tekortkomingen van de technologie moeten worden erkend in de keuzes die gemaakt worden over de inzet ervan.
Afgelopen dinsdag kondigde het kabinet aan om met apps de verspreiding van het coronavirus te willen indammen. Het ministerie van Volksgezondheid denkt aan een app die je vertelt of je in de buurt bent geweest van een andere gebruiker die besmet blijkt te zijn. Als dat het geval is adviseert deze app je binnen te blijven en gebruik te maken van een tweede app. Met die tweede app, de symptomen-app, kun je makkelijk contact houden met een dokter in de buurt en kun je je ziekteverschijnselen monitoren.
Privacy moet worden beschermd
De EU heeft woensdag een aanbeveling uitgebracht waarbij het pleit voor een common approach in heel Europa. Het lijkt erop dat de EU aan dezelfde soort apps denkt als de Nederlandse overheid. In sommige EU-landen worden al apps gebruikt in de strijd tegen het coronavirus. In eerdere berichtgeving uitte Amnesty haar zorgen over de privacy-waarborgen van een aantal apps. Door zowel de EU als het Nederlands kabinet wordt het belang van privacy onderstreept, en beide verwijzen naar bluetoothtechnologie. De Tweede Kamer nam woensdag een kamerbrede motie aan waarin het belang van privacy bij apps nogmaals is onderstreept. Samen met andere organisaties en vooraanstaande Nederlandse privacy-experts ondertekende Amnesty een oproep aan de overheid om privacy en veiligheid te garanderen in de nieuwe app.
Hoe zou zo’n app er uit moeten zien om zowel contactonderzoek mogelijk te maken als de privacy te waarborgen?
Contactonderzoek via bluetooth
De app waar het kabinet het over heeft, probeert het contactonderzoek van de GGD te digitaliseren en werkt met bluetooth. Bluetoothtechnologie werkt lokaal, dat betekent dat de gegevensuitwisseling niet via een router, modem of telefoonmast gaat, maar direct tussen apparaten. Zoals een draadloos speakertje en een laptop zich met elkaar kunnen verbinden om muziek af te spelen. Twee smartphones kunnen zich ook met elkaar verbinden via bluetooth en gegevens uitwisselen. Bluetooth werkt alleen als de apparaten binnen een paar meter van elkaar verwijderd zijn. Die paar meter is ook de afstand die we nu verplicht van elkaar moeten houden: minimaal 1,5 meter.
Bluetoothtechnologie is daarom een goede kandidaat om te helpen bij contactanalyse. Dat zal ongeveer zo werken: je downloadt een app op je smartphone die via bluetooth een uniek signaal uitzendt. Als iemand anders die ook de app op haar of zijn telefoon heeft binnen jouw bluetoothbereik komt, slaat jouw telefoon haar of zijn unieke signaal op in een contactdatabankje in de smartphone app. Haar of zijn telefoon doet hetzelfde met jouw signaal.
Waarborgen van de privacy
Om de privacy te waarborgen van de appgebruikers onderling, is het belangrijk dat de app gebruikmaakt van state-of-the-art databanktechnologie. Die technologie kan ervoor zorgen dat je telefoon niet de hele tijd hetzelfde signaal uitzendt maar hierin varieert, terwijl jouw telefoon wel goed bijhoudt welke signalen het allemaal heeft uitgezonden. Daarnaast moet de databank met je eigen signalen en die van je opgevangen contacten goed beveiligd zijn en worden versleuteld op je telefoon.
Maar nu het technisch ingewikkelde stuk: als je besmet bent met het coronavirus, hoe waarschuw jij de mensen waarbij je in de buurt bent geweest? De buurman en je collega’s ken je en die weet je te bereiken. Hier draagt de app niets aan bij. Maar dat geldt niet voor de moeder met kind die achter je in de rij bij de supermarkt hebben gestaan vorige week en die net iets te dicht bij kwamen. Voor het waarschuwen van dit soort onbekenden kan de app een meerwaarde hebben, mits op een privacy-vriendelijke manier uitgevoerd.
Om de waarschuwingen uit te zenden hebben wetenschappers een foefje bedacht dat zowel snel iedereen die in contact is gekomen met een besmet persoon op de hoogte stelt, en ook de privacy beschermt. Dat werkt als volgt: zodra iemand door een arts positief is getest op corona, krijgt de patiënt een code waarmee deze zijn eigen databank met eigen uitgezonden signalen op een privacy-vriendelijke manier kan sturen naar de server van de app. Die server stuurt geregeld alle signalen die het van de patiënten heeft gekregen door naar de apps van alle gebruikers. Die apps vergelijken de doorgestuurde signalen van de server met de signalen in het contactdatabankje van de app. Als er een match is, krijgt de appgebruiker een waarschuwing: jij bent in de buurt geweest van iemand die besmet is met het coronavirus. En daarna volgt een advies wat je moet doen.
Aan welke voorwaarden moeten apps voldoen
Er zijn ook andere varianten op de bluetooth-app maar de meeste daarvan gaan gepaard met verregaande surveillance doordat de contacten van een patiënt worden doorgestuurd naar de overheid of waarbij alle gegevens in een centrale databank worden opgeslagen. Dit zijn ontoelaatbare privacy-schendingen, zeker nu er een alternatief voor handen is. Naast het foefje hierboven moeten de apps aan de volgende voorwaarden voldoen.
Alle gegevensverwerking moet noodzakelijk en proportioneel zijn. Dat betekent dat de apps niet meer gegevens mogen verzamelen dan hoogstnoodzakelijk voor het doel van contactanalyse en het monitoren van symptomen en contact leggen met een arts. Waar mogelijk moet er gebruik worden gemaakt van anonieme data. Op de punten dat er toch persoonsgegevens moeten worden verwerkt, moeten die zo veel mogelijk worden gepseudonimiseerd. De gegevens moeten zo snel als mogelijk weer worden gewist. Ook moeten de apps er zo goed mogelijk voor zorgen dat de informatie klopt en dat er geen onjuiste gegevens worden verspreid. En als laatste: beveilig alles goed!
De beperkingen van bluetooth mogen we niet ontkennen. Daardoor is het voor Amnesty niet aanvaardbaar dat de app verplicht wordt gesteld of dat er repercussies worden verbonden aan het niet opvolgen van het advies.
Alleen op vrijwillige basis
Zoals hierboven al omschreven is, heeft bluetooth een bereik van enkele meters. Dat varieert tussen de 0 tot wel 100 meter onder optimale omstandigheden. Virologen bepaalden dat 1,5 meter de minimale afstand tussen mensen moet zijn op dit moment, maar de kans is groot dat de app ook signalen zal uitwisselen met mensen die zich op een grotere afstand van elkaar bevinden. In een flat kan een telefoon makkelijk het bluetoothsignaal van meerdere telefoons in de omringende woningen ontvangen, terwijl de bewoners niet met elkaar in contact komen.
De Duitse autoriteit voor gegevensbescherming waarschuwt ervoor dat de technologie die dit probleem moet oplossen, nog in de kinderschoenen staat, waardoor er mogelijk een hoop onnodige waarschuwingen door de app verstuurd zullen worden. Dit betekent dat bluetooth een uitkomst kan bieden als ondersteuning, maar dat de techniek niet mag leiden tot verplichte maatregelen.
Technologie maakt voorselectie voor deel van te testen personen
Omdat de bluetooth-app niet het virus zelf monitort maar alleen het sociale gedrag van mensen, zijn de resultaten van de app slechts indicatief. De inzet van de app moet worden ondersteund met een vergrote testcapaciteit. Zodra je een waarschuwing via de app krijgt, moet je je kunnen laten testen op het coronavirus. Als uit de test blijkt dat ook jij besmet bent, moet je in zelf-quarantaine en kun je via de app jouw contacten waarschuwen. De app is een ondersteuning in het testbeleid, maar kan dit niet vervangen.
Verbied corona-apps die gegevens gebruiken voor advertenties
Ze springen als paddenstoelen uit de grond: apps die functioneren als corona-tracker, maar ondertussen je ingevulde gezondheidsgegevens ook voor heel andere, vaak commerciële doeleinden gebruiken, waaronder advertenties. Dit moet verboden worden. De overheid heeft ook de mogelijkheid om dit soort gegevensverwerking te verbieden, en de coronacrisis roept hierom.
Lees hier onze position paper aan de Tweede Kamer over hoe de overheid met algoritmes moet omgaan.
Lees hier onze position paper aan de Tweede Kamer over onze zorgen over de voorgestelde apps.