Een 'Corona' app? Als het al werkt, dan decentraal graag.

April 7, 2020

De regering wil een app laten ontwikkelen die vertelt je of je in de buurt bent geweest van een andere gebruiker die besmet blijkt te zijn, en sluit niet uit dat die app verplicht wordt. De privacy moet wel gewaarborgd worden, zegt de regering. Vraag is wat dat betekent.

In technische termen is het doel van een dergelijke app contact tracing, of proximity tracing. Achter de schermen is een groot Europees consortium (PEPP-PT) bezig met het ontwikkelen van een dergelijke app. Hoe de PEPP-PT app werkt is niet duidelijk: er is geen duidelijke beschrijving van de architectuur beschikbaar, laat staan dat de broncode beschikbaar is. Het lijkt er op dat bepaalde landen in dit consortium aansturen op een zogenaamd gecentraliseerd systeem. In zo'n systeem worden de personen die in de buurt zijn geweest van een andere gebruiker die besmet blijkt te zijn doorgegeven aan de centrale autoriteiten (bijvoorbeeld de GGD). Deze nemen vervolgens contact op met deze potentieel besmette mensen en leggen maatregelen op. Een dergelijk systeem zet de deur wagenwijd open voor volledige surveillance van wie waar op welk moment is. Er wordt past sinds kort nagedacht over privacy vriendelijke varianten van dergelijke gecentraliseerde systemen, maar die maken vooralsnog wel aannames die misbruik niet uitsluiten.

Een alternatief is een gedecentraliseerd systeem. Hierin is er geen centrale autoriteit die inzicht krijgt in de locatiegegevens van gebruikers die de app hebben geïnstalleerd. Daarmee is een dergelijke app, qua privacy, duidelijk in het voordeel. Bij een gedecentraliseerde app krijgen gebruikers zelf direct van het systeem een seintje als ze in de buurt zijn geweest van een andere gebruiker die besmet blijkt te zijn. Ze kunnen er voor kiezen om dan contact op te nemen met de GGD. Maar als ze dat niet doen, weet de GGD niet wie deze potentieel besmette personen zijn. Een grote groep Europese wetenschappers (waarvan sommigen, verwarrend genoeg, ook onderdeel zijn van het eerder genoemde PEPP-PT consortium) hebben een ontwerp van zo'n gedistribueerd systeem (DP-3T) afgelopen vrijdag gepubliceerd. En iedereen gevraagd mee te kijken, mee te denken, om zo het systeem nog beter en privacy vriendelijker te maken. Zo is voor iedereen duidelijk hoe zo'n systeem werkt en wat de risico's zijn. Dat is te prefereren boven de heimelijke en gesloten manier waarop het PEPP-PT vooralsnog te werk gaat.

Nader onderzoek is zeker nog nodig, maar vooralsnog gaat mijn voorkeur uit naar zo'n gedecentraliseerd systeem. Onder een essentieel voorbehoud: dat duidelijk onderbouwd wordt waarom een dergelijk systeem voor contact tracing vanuit epidemiologisch perspectief noodzakelijk is, zeker gezien de grote aantallen false positives (je was helemaal niet dicht genoeg in de buurt om besmet te raken) en false negatives (je bent wel besmet, maar het systeem heeft je niet waargenomen) die zo'n systeem noodzakelijkerwijs opleveren. Een dergelijk app kan hooguit schatten hoe dicht je bij iemand in de buurt bent geweest, en kan niet rekening houden met zaken als besmetting via enige tijd na elkaar aangeraakt oppervlakken, om maar even twee voorbeelden te noemen.

Wat verplichting betreft: dat lijkt me onmogelijk, en onwenselijk. Niet iedereen heeft een smartphone, of een smartphone waarop een dergelijke app geïnstalleerd kan worden. En uiteindelijk is zo'n app een digitale enkelband die, ondanks alle eventuele waarborgen en bezweringen, mensen het gevoel gaat geven dat de overheid over hun schouder meekijkt met iedere beweging die ze maken. In landen als China, waar zo'n app verplicht is, leidt dat er al toe dat mensen maar liever niet meer de metro nemen. Omdat het risico als potentieel besmet aangemerkt te worden te hoog is, en de consequenties daarvan te zwaar.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Gilles Ampt
, 2020-04-08 15:19:10
(reply)

Beste Jaap-Henk, Eerlijk gezegd zie ik het verschil nog niet zo tussen PEPP-PT en DP-3T daar waar jij het hebt over de tegenstelling tussen een geCentraliseerd en een geDecentraliseerd systeem. Ook DP-3T maakt gebruik van een centrale server waarvan je maar moet vertrouwen dat die geen IP-adressen van smart phones of andere attributen opslaat en de deur dichthoudt voor andere autoriteiten. Als verschil zie ik dat DP3-T al veel actiever publiceert en deelt via github. Dat is het andere aspect dat je noemt en dat ik zeker wel onderken. Al met al vraag ik mij het volgende af: Zijn het niet gewoon de Zwitsers in PEPP-PT die veel meer naar buiten willen treden?

met collegiale groet, Gilles

Jaap-Henk
, 2020-04-09 11:16:46
(reply)

DP-3T maakt inderdaad gebruik van een centrale server, maar die bewaart alleen de identiteit van personen waarvan (toch al) bekend is dat ze besmet zijn. Die informatie wordt door alle telefoons waarop de app geïnstalleerd is om de zoveel tijd opgehaald om te kijken of er een identiteit bij zit waar zij in de buurt zijn geweest. Zelfs als de server alle IP adressen zou loggen, dan nog geeft dat geen interessante informatie op.

Richard
, 2020-04-10 10:22:50
(reply)

Is het mogelijk om de app op te zetten als een soort peer2peer netwerk? En het als een simulatie van een echt virus te spelen zeg maar. Als de app deeltjes ontvangt van andere telefoons wanneer die dichtbij zijn dan kan de app later zelf nagaan of een van de besmette telefoons in de lijst voorkomt. Als mensen zelf de app aan en uit kunnen zetten krijg je minder valse meldingen. Naar de supermarkt aanzetten. Binnen bij het raam uitzetten.

Gilles Ampt
, 2020-04-10 15:05:21
(reply)

De functie van de back end server van DP-3T is nog niet goed uitgewerkt. Op dat punt vind ik de White Paper ook inconsistent.

Ik voorzie op basis van het White Paper de volgende taken van de back end server: 1. The back end acts solely as a communication platform and doesnot perform any processing. (Heeft primair betrekking op de distributie van de SKt van de telefoon van een geïnfecteerde eigenaar naar alle andere smartphones). 2. If an update is needed, it can also send to the smartphones the latest risk-scoring algorithm parameters provided by the health authority. 3. Voor internationale interoperabiliteit zullen de adressen van buitenlandse back ends in de app komen. Daar zijn af en toe updates op noodzakelijk, kan niet anders. Taak voor de Nederlandse back end om Nederlandse app users up to date te houden met gegevens buitenlandse back ends. 4. Proximity graph containing interactions between infected patients and other users, is revealed to epidemiologists, with the specific seperate consent of a user and not to any other party. Het verzamelen van deze interacties van users is een taak voor de back end (sharing data with epidemiologists).

In de White Paper staat ook de back end server is untrusted with regards to privacy i.e. collecting and processing of personal data… Even if the server is compromised or seized, privacy remains intact.

Moeten we dan niet beginnen met te concluderen dat de taken van de back end server eerst uitputtend moeten worden beschreven? Zeker bij de processing van (edges van) de proximity graph is er sprake van verwerking van persoonsgegevens onder de AVG.

De volgende stap stel ik voor dat we een gefundeerde opinie vormen over de verenigbaarheid van het doel van de proximity graph met het primaire doel van at-risk notificaties. Bespeur ik in de White Paper toch niet een wat centralistische gedachte van Zwitserse epidemiologen die graag een totaalbeeld wensen met privacy risico’s (function creep) van dien?

Er is niets mis met deze wens van epidemiologen maar wel dat die a priori als verenigbaar met privacy protectie wordt gesteld. Daar is meer voor nodig.

W. Sjaarda
, 2020-04-13 09:37:31
(reply)

Jullie gaan allemaal voorbij aan wat het nut van de app is voor je als individu. Bijv. de app geeft aan dat ik met een mogelijk besmet persoon in contact ben geweest. Wat heb ik aan die wetenschap? Behalve me zorgen maken en mezelf angstvallig in de gaten houden? Of de app geeft aan dat ik zelf mogelijk besmet ben. Dan blijf ik binnen natuurlijk tot het over is. Maar dat zou ik ook doen als ik me verkouden, griepig voel en/of hoest. Tot het over is. Ik ga me heus niet laten testen, tenzij ik werkelijk heel ziek wordt en koorts krijg en benauwd wordt. Dan heb ik ook een dokter nodig. Daarbij bedenk dat de symptomen van corona niet uniek zijn die app zal ook heel vaak reageren terwijl je alleen wat verkouden bent, niest bijv vanwege wat hooikoorts gevoeligheid. Dus wat is het doel? Ik lees: mensen meer verantwoordelijkheid geven bij traceren van besmettingen en het rapporteren over gezondheidsklachten. Dan gaat het er dus eigenlijk om dat men denkt dat veel mensen stiekem met klachten rond lopen, zonder thuis te gaan uitzieken. Kortom wantrouwen zaaien.