Nederlandse overheid gaat coronavirus-apps ontwikkelen: hoe zit het met privacy?

Nederlandse coronavirus-apps van de overheid

Minister Hugo de Jonge kondigde dinsdagavond tijdens een persconferentie de twee apps aan. De eerste app “vertelt of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven.” Vervolgens installeer je de tweede app, waarmee je makkelijk contact kunt houden met een arts in de buurt. Voor alle duidelijkheid: de app om coronapatiënten te traceren werkt niet live. Je krijgt dus geen noodmelding als er een patiënt in de buurt is, maar ziet achteraf of iemand uit jouw omgeving positief is getest.

Er zijn verder nog weinig details bekend over de apps. Ook kan het nog wel even duren voordat het klaar is. De Jonge zegt de komende weken “de mogelijkheden te verkennen”. Het is mogelijk dat de apps pas beschikbaar komen op het moment dat de pandemie al (ver) over z’n hoogtepunt heen is.

In andere landen zijn soortgelijke apps al in gebruik of bijna klaar. Zo wordt in Singapore al met succes gebruik gemaakt van de TraceTogether-app, die relatief privacyvriendelijk is door het gebruik van anonieme ID’s. De app is bovendien open source, zodat iedereen die dat wil kan checken hoe de app intern werkt.

In de video hieronder zie je meer:

De TraceTogether-app werkt via Bluetooth, maar heeft wel een belangrijk nadeel: de app moet bij iPhones op de voorgrond draaien en je kunt je toestel dus niet meer voor andere toepassingen gebruiken.

Dergelijke apps doen denken aan Happn, een dating-dienst waarbij je kunt zien met welke mogelijke potentiële afspraakjes je in de buurt bent geweest. Dit werkt echter op basis van locatie en GPS en is dus niet privacyvriendelijk. TraceTogether werkt met Bluetooth en hoeft je locatie niet te weten om vast te kunnen stellen of een patiënt in de buurt is geweest.

Pseudoniemen
In het zeer privacybewuste Duitsland bracht het RKI (vergelijkbaar met RIVM) gisteren een app uit waarmee je via je Apple Watch of fitnesstracker automatisch je lichaamswaarden zoals temperatuur kunt doorgeven. Deze app maakt gebruik van pseudoniemen: anonieme ID’s waardoor mensen toch van elkaar te onderscheiden zijn, zonder dat de privacy in gevaar komt. Bovendien is het gebruik van de app vrijwillig en gaat het uitsluitend om een indruk te krijgen van de verspreiding van de symptomen onder grote groepen van de bevolking die momenteel nog niet worden getest.

Verplicht of niet?
In Engeland en Duitsland zijn al apps voor het traceren van coronabesmettingen in ontwikkeling, die met Bluetooth werken. Mogelijk zijn de Nederlandse apps daarop gebaseerd of geïnspireerd, maar over de details wil De Jonge nog geen uitspraken doen.

Ook wil de minster nog niet zeggen of gebruik van een dergelijke app verplicht is. Het zou te vroeg zijn om daar uitspraken over te doen. Wel merkte hij op dat “heel veel” mensen de app zouden moeten installeren, om het effectief te maken. Wellicht wordt eerst in bepaalde regio’s getest. Het Amsterdamse ziekenhuis OLVG is op eigen initiatief al gestart met een app voor het in contact blijven met besmette patiënten, maar dit staat los van de nieuwe overheidsplannen.

Nederland begint relatief laat met de ontwikkeling van apps. Eerder zei de Nederlandse overheid geen interesse te hebben in dergelijke apps, omdat het niet past bij het testbeleid. Momenteel worden nog relatief weinig mensen getest, waardoor een app schijnzekerheid kan geven: je kunt met veel meer besmette mensen in aanraking zijn geweest, dan de app aangeeft. Nu de testcapaciteit wordt opgeschaald is een app om coronapatiënten te traceren opeens wél nodig. Maar daardoor heeft Nederland wel een achterstand opgelopen.

Privacy, hoe zit dat?
Of de apps die de Nederlandse overheid nu wil gaan ontwikkelen een inbreuk op je privacy opleveren is nog de vraag, aangezien er te weinig bekend is. Het ligt er echter sterk aan hoe het wordt aangepakt.

In landen waar privacy minder wordt gerespecteerd is het mogelijk om burgers nauwlettend in de gaten te houden, zodat de overheid precies weet met wie je in contact bent geweest. Overheden verzamelen dan alle locatiedata van burgers en doen dat op een niet-geanonimiseerde manier. In China zijn er ook maatregelen op lokaal niveau. Mensen die opgesloten zitten komen terecht in een WeChat-groep van het buurtcomité. Ze moeten twee keer per dag de temperatuur doorgeven en er wordt bijgehouden wie twee weken binnen is gebleven en wie toch heeft gereisd.

In Israel worden locatiegegevens van burgers verzameld via de telefoon. Wie langer dan 10 minuten in de buurt is geweest van iemand met het virus krijgt een sms’je met de opdracht om in quarantaine te gaan.

Nederlandse oplossing met Bluetooth
Nederland denkt dus aan een oplossing die gebruik maakt van Bluetooth. Dat kan een privacyvriendelijke oplossing zijn: de telefoon kan dan op basis van unieke (en relatief anonieme) ID’s bijhouden bij welke andere telefoons je in de buurt bent geweest. Door die unieke nummers te vergelijken kun je zien of je in de buurt bent geweest van een coronabesmetting. De unieke nummers zelf zijn met hashing anoniemer te maken.

Voor jou als niet-besmette gebruiker hoeft de app deze gegevens alleen lokaal vast te leggen. De overheid hoeft immers niet te weten waar je bent geweest en hoeft zelfs geen locatiedata te verzamelen. Zodra je het coronavirus hebt opgelopen, zal dat wel centraal moeten worden geregistreerd, zodat de database met ‘besmette’ ID’s kan worden bijgewerkt.

De werking van een dergelijke Nederlandse app lijkt op wat we eerder hebben beschreven over een privacyvriendelijke Europese app om het coronavirus te traceren. Het initiatief heet Pan-European Privacy Preserving Proximity Tracing en wordt gemakshalve afgekort tot PEPP-PT. Er zijn 130 wetenschappers uit acht landen bij betrokken. Het idee is om digitaal te kunnen bijhouden of je contact hebt gehad met iemand die met het coronavirus besmet is geweest.

Bekijk ook

Europa wil één privacyvriendelijke app om coronavirus te traceren

Europese wetenschappers zijn van plan om een gezamenlijke app te ontwikkelen, waarmee de verspreiding van corona te meten is. De app moet voldoen aan de strenge Europese privacy-regels. De EU wil het liefst dat alle Europese landen dezelfde app gaan gebruiken.

Een app is echter nog niet de oplossing voor alles. Een deel van de bevolking heeft geen smartphone, niet iedereen zal de app gaan installeren en er zijn veel mensen die nog niet getest zijn, onbewust besmet zijn en geen symptomen vertonen.

Hoe kan Apple helpen?
Misschien kunnen de overheden iets leren van Apple. Dat bedrijf heeft namelijk al slimme cryptografie toegepast in de ‘Find My’-functie. Een schema met roterende sleutels zorgt ervoor dat je je zoekgeraakte MacBook kunt terugvinden, maar dat niemand kan achterhalen wie jij bent en waar je rondhangt. Zelfs Apple kan dat niet achterhalen.

The new Find My feature will broadcast Bluetooth signals from Apple devices even when they’re offline, allowing nearby Apple devices to relay their location to the cloud. That should help you locate your stolen laptop even when it’s sleeping in a thief’s bag. And it turns out that Apple’s elaborate encryption scheme is also designed not only to prevent interlopers from identifying or tracking an iDevice from its Bluetooth signal, but also to keep Apple itself from learning device locations, even as it allows you to pinpoint yours.

Maar dergelijke cryptografische technologie is waarschijnlijk te ingewikkeld voor overheden, die nu in korte tijd iets moeten beslissen.

De tijd is inderdaad een struikelblok, geeft beveiligingsexpert Ronald Prins (voorheen FOX-IT) toe:

De snelheid waarmee het wordt ingevoerd, kan wel tot problemen leiden. Zulke apps kunnen in opzet goed zijn, maar tijdens het programmeren kunnen foutjes worden gemaakt. Normaal test je daar maanden op en laat je hackers proberen in te breken, maar daar is nu weinig tijd voor.

De angst dat de overheid je locatiegegevens gaat verzamelen is volgens Prins ongegrond. “De politie en inlichtingendiensten hebben al genoeg bevoegdheden en mogelijkheden om dat te achterhalen, dus daar hebben ze deze app niet voor nodig.” Hij ziet dan ook weinig bezwaren tegen een dergelijke app, zeker als mensen de app vrijwillig mogen installeren.

Voor iPhone-gebruikers zal het belangrijk zijn om te weten hoe de apps precies werken, aangezien Apple in iOS nogal wat maatregelen heeft genomen om je privacy te beschermen.

Hoe zou een Nederlandse corona tracking-app kunnen werken?

Hoewel er nog veel vragen zijn over de apps die de Nederlandse corona-apps kun je op basis van de informatie die nu is vrijgegeven al wel een voorzichtige inschatting maken.

In plaats van het uploaden van locatiegegevens van alle Nederlanders naar servers van de overheid lijkt er een voorkeur voor een oplossing die met Bluetooth werkt en waarbij de privacy beter gewaarborgd is. Bluetooth is op vrijwel elke smartphone beschikbaar en maakt unieke ID’s mogelijk.

Zo kan het dan gaan werken:

1. Als jij buiten loopt verzamelt de iPhone een lijst met de unieke Bluetooth-nummers die bij jou in de buurt zijn geweest.
2. Deze nummers worden vergeleken met een lijst van ‘besmette’ nummers.
3. De app laat je weten of jij in de buurt bent geweest van een patiënt. Dit kan ook als de besmetting pas op een later moment wordt vastgesteld.
4. Ben je zelf besmet, dan installeer je de tweede app waarmee je contact kunt houden met een dokter in de buurt.

Het voordeel van deze Bluetooth-oplossing is dat het niet nodig is om locatiedata te verzamelen en te uploaden. Ook kun je de gegevens anoniemer maken, zodat de overheid niet weet met wie jij contact hebt gehad en waar je bent geweest.

Wil je meer weten over de coronavirus-tracking van Apple? Lees dan ons overzicht!

Bekijk ook

Zo werkt de coronavirus-tracking van Apple en Google

In Nederland en België maken we gebruik van een methode voor coronavirus-tracking, dat gezamenlijk door Apple en Google is ontwikkeld. Maar hoe werkt het precies? Hoe zit het met de corona-app? Zijn de coronameldingen verplicht? Alles wat je moet weten lees je hier.