Rondetafelgesprek over de corona-app: de balans tussen technologie en privacy

Roeland Byl redacteur bij Trends

Het contactonderzoek moet helpen de tweede besmettingsgolf van covid-19 beheersbaar te houden. Vanaf september speelt een corona-app daarbij een belangrijke rol. Tijdens een telefonisch rondetafelgesprek kwamen bij experts heel wat twijfels bovendrijven.

De wereldbefaamde historicus Yuval Noah Harari, bekend van de bestsellers Homo Deus en Sapiens, poneerde in maart in de Financial Times dat de keuze tussen privacy en gezondheid een valse keuze is. “We moeten zowel van privacy als van gezondheid kunnen genieten”, schreef hij in zijn corona-essay. “Daarom hebben we geen totalitaire surveillance nodig, maar eerder mondige burgers.”

We zijn intussen ruim 700.000 doden later en de komende maanden krijgt een smartphone-app een belangrijke rol bij de inperking van de verspreiding van het virus. Zo’n app waarschuwt je als je in de buurt bent geweest van iemand die positief test op corona. In sommige Aziatische landen is zo’n toepassing verplicht, terwijl in zowat heel Europa de discussie over de impact op onze privacy woedt.

De beslissing dat de app er komt, is intussen genomen. Niet alleen in ons land. In Nederland begon het programmeren al in mei, in Duitsland is de app van het consortium met onder meer SAP en Deutsche Telekom al meer dan 16 miljoen keer gedownload. In juli sleepte bij ons het onbekende bedrijf Devside de opdracht in de wacht. De app zal hier Coronalert heten en wordt tegen de derde week van september verwacht.

Technologische keuze

Een paar maanden geleden lagen diverse technologische denksporen op tafel. Zo was er de discussie of een app al dan niet zou steunen op gps-gegevens om de nabijheid van besmette personen te registreren. Bovendien was er de kwestie of gegevens centraal en dan wel decentraal moesten worden opgeslagen. “Uiteindelijk is gekozen voor de DP3T-standaard ( zie kader, nvdr), omdat dat de meest privacyvriendelijke bluetooth-technologie is”, zegt Matthias Dobbelaere-Welvaert, privacy-activist bij the Ministery of Privacy. “De technische discussie is daarmee afgerond, maar het is wel afwachten of het gebruik van de app hoog genoeg zal liggen. Het technologieoptimisme dat een app dé oplossing is om de verspreiding in te perken, deel ik niet. In Australië bijvoorbeeld bleven het aantal installaties en het gebruik laag. Ik geloof meer in de verplichting van het dragen van een mondmasker. Dat is beter voor je privacy.”

Ik geloof meer in de verplichting van het dragen van een mondmasker. Dat is beter voor je privacy’ Matthias Dobbelaere-Welvaert, Ministery of Privacy

Bovendien is het gebruik van een app een kwestie van vertrouwen. Het sop moet de kool waard zijn. Mensen moeten een reden hebben om hun privacy op te geven zoals ze dat bijvoorbeeld doen voor het gebruik van toepassingen, zoals Facebook, Google of Tinder. “De technologie is niet het probleem”, zegt François Chung, digital business analist bij Fujitsu. “Elke technologie heeft bijwerkingen. Kijk naar geneesmiddelen of kernenergie. Mensen aanvaarden de bijwerkingen omdat ze erop vertrouwen dat de baten belangrijker zijn dan de nadelen.”

Het evenwicht bewaren tussen technologische mogelijkheden en inbreuken op de privacy, daar draait het om. Appontwikkelaars geloven dat je die balans kunt inbouwen in de app. “Je hebt niet meteen persoonsgegevens nodig om na te gaan bij welke andere telefoon je in de buurt bent geweest”, legt Wouter Martens, de CTO van de ontwikkelaar iCapps uit. “Als je een epidemie wil indijken door snel en accuraat contacten op te sporen, dan is technologie de beste keuze. De jongste weken is gebleken dat de telefonische contacttracing niet even efficiënt werkt. Ik vind dat niet onlogisch. Mensen vertellen niet altijd de hele waarheid. Dat maakt het opsporen van contacten moeilijker. Een technologische oplossing kan die menselijke factor omzeilen.”

Niet waterdicht

Critici merken op dat een technologische oplossing niet waterdicht is. Zo maakt de DP3T-oplossing gebruik van een bluetoothversie die niet op elke telefoon zit. “Je kunt er niet van uitgaan dat iedereen over een smartphone beschikt met de juiste technologie. Zeker in de belangrijkste risicogroep van senioren is dat niet de regel”, zegt Stéphane Louis, counter intelligence & cybersecurity specialist bij Atos.

De betrouwbaarheid van de tracering hangt bovendien af van hoe we de app gebruiken. Ook pleitbezorgers van een corona-app zijn zich ervan bewust dat een app enkel zin heeft als je de bevolking massaal meekrijgt. Luc Costers, salesmanager bij Nutanix, is sceptisch: “En zelfs dan kun je geen waterdichte oplossing garanderen. Neem je die mee als je gaat zwemmen? Wat als je de telefoon thuis vergeet? Heb je je smartphone mee bij elke vergadering? Mensen zullen altijd dingen doen zonder hun gsm.”

Is de app verplichten een oplossing? Je kunt kiezen voor een zachte verplichting, waarbij de horeca bijvoorbeeld mensen zonder app de toegang tot een etablissement ontzegt, of zelfs voor een harde verplichting, waarbij de politie boetes oplegt aan wie de app niet heeft geïnstalleerd. Er is wel wat voor te zeggen, alleen staat dit land bekend als een natie van plantrekkers. Leg een Belg iets op en hij zoekt een achterpoortje. “Bovendien is een verplichting niet zo makkelijk te controleren”, zegt Dobbelaere-Welvaert. “Ik zie een politieagent nog geen GAS-boete van 250 euro geven omdat je de app niet hebt. Hij moet dan toegang krijgen tot je telefoon, wat opnieuw een privacyprobleem vormt.”

Proportioneel gebruik

Een juridisch passend kader is dus niet vanzelfsprekend. Technologie evolueert misschien sowieso te snel voor het wetgevende kader. Joris Deene, advocaat-partner bij Everest Law en gespecialiseerd in intellectuele eigendom, privacy en ICT: “Elke software kan gekraakt worden, hoeveel juridische regels je daar ook rond bouwt. Maar als we gepaste veiligheidsmaatregelen in acht nemen, zie ik geen probleem in het vergaren van privacygevoelige data. We hebben daarvoor de GDPR-wetgeving. De vraag is meer of de technologie helemaal op punt staat. Is dat niet het geval, dan staat elke wetgeving machteloos.”

In theorie biedt de GDPR- wetgeving bescherming tegen privacy-inbreuken. Maar pas anderhalf jaar na de invoering van de privacyregels volgde een eerste boete. Volstaat dat dan? “De wetgeving is er in elk geval. Als we de gevaren rond de corona-app bekijken, zoals een te brede verwerking en de afweging van de doelmatigheid, dan zijn er voorbeelden die aantonen dat het systeem werkt”, zegt Bart Van den Brande, managing partner bij SiriusLegal. “Zo wou de stad Mechelen artificiële intelligentie inzetten om radicalisering te traceren. Ze wou online monitoren wat je zegt en schrijft, om tussen honderdduizenden gebruikers naar enkele geradicaliseerde individuen te zoeken. Dat bleek buiten proportie en de stad is dan ook teruggefloten.”

Ik denk dat we af moeten van het idee dat je met die ene app de hele bevolking kunt bereiken’Ignaas Devisch, UGent

Stephanie Witters, GDPR-expert bij Privaco en docent aan Howest, wijst erop dat software evolueert. “De veroudering van technologie kan ook privacyproblemen veroorzaken. Het is daarom een belangrijke vraag of de waarborgen die we vandaag inbouwen, op termijn gegarandeerd blijven. Ik ben een grote voorstander van technologie, maar we moeten ons bewust zijn van de risico’s van informatie delen. Je moet dat afwegen tegenover het doel van de technologie. In verband met de corona-app zou het nuttig zijn een kwantitatieve parameter vast te leggen dat de app ophoudt met gegevens in te zamelen vanaf een bepaalde lage besmettingsgraad.”

Ook ethicus Ignaas Devisch (UGent) verwijst naar het principe van proportionaliteit als cruciale factor. “Ik denk dat in uitzonderlijke periodes uitzonderlijke maatregelen mogelijk worden”, zegt de professor. “De proportionaliteit wordt dan anders afgewogen dan in reguliere tijden. Maar de vraag of de corona-app het beste middel is, blijft belangrijk. Je moet je afvragen of er ook andere middelen zijn die even effectief zijn, maar minder ingrijpen op de privacy. Ik ben een voorstander van een goed gebruik van technologie, met respect voor de regels. Als we in een pandemie een technologisch middel hebben dat beter scoort, laat ons het dan ook gebruiken. Ik denk wel dat we af moeten van het idee dat je met die ene app de hele bevolking kunt bereiken.”

Het belang van transparantie

“Als de kans op een boete klein is, zijn de kansen op misbruik groot”, zegt professor Ignaas Devisch (UGent). “Belgen zijn goed in het omzeilen van regels. Dat doen mensen vooral als ze ergens het nut niet van inzien. Transparantie is daarbij van belang. Neem de wet op de patiëntenrechten. Dat is een deugdelijke wet uit 2002, maar in 2012 bleek in een enquête dat patiënten hun rechten nauwelijks kenden. Het is met andere woorden niet omdat er een wet is, dat burgers hun rechten ook kennen. En het is niet omdat rechten bekend zijn, dat ze ook toekomen aan wie ze nodig heeft. Hoe zorgen we ervoor dat degene die de rechten toekomen, ze ook krijgt? We hebben een kader nodig waarin die rechten vanzelfsprekend zijn. Dat geldt ook bij een corona-app. Er is wel de bescherming van de GDPR-wetgeving, maar veel mensen geraken niet door dat doolhof. Hoe duidelijker het kader voor een corona-app, hoe groter de slaagkans.”

16 miljoen

keer is de Duitse corona-app intussen gedownload.

DP3T

De corona-app detecteert de nabijheid van andere telefoons en gebruikt een afgesproken protocol om die informatie door te geven aan andere gebruikers. Voor de detectie van de nabijheid is gekozen voor bluetooth omdat de nabijheid van enkele meters meten nauwkeuriger is dan op basis van gps-signalen of wifidata. Om goed te werken moet de corona-app permanent toegang hebben tot bluetooth. Zowel Apple als Google heeft aanpassingen aan zijn besturingssysteem gedaan om dat mogelijk te maken.

Waarschuwen dat iemand in contact kwam met een besmette persoon, moet gebeuren zonder de identiteit van die persoon prijs te geven. Bovendien mag de opgeslagen informatie niet leiden tot het volgen van gebruikers. Zoals de meeste buurlanden koos België voor Decentralized Privacy-Preserving Proximity Tracing, afgekort DP3T. Digitale sleutels zijn cruciaal in dat model en moeten de identiteit van geïnfecteerde personen beschermen. Gebruikers ontvangen via bluetooth anonieme en versleutelde ID’s van andere gebruikers die in hun nabijheid zijn. Die ID’s worden met de datum lokaal opgeslagen op de telefoon. Wanneer iemand positief test, kan de overheid de verzamelde ID’s verzenden naar een server, die op zijn beurt de ID’s die in de buurt waren waarschuwt.

Partner Content