Een Corona-app is nuttig, maar wel onder de juiste voorwaarden
Het primaire doel van het huidige Corona-beleid is ‘flatten-the-curve’. Zo moeten de ziekenhuis- en IC opnames binnen de maximaal beschikbare capaciteit blijven. Naast handen wassen en 1,5 meter afstand houden, is als middel gekozen voor de ‘intelligente lockdown’. Een groot deel van de maatschappij werkt vanuit huis, een ander deel is blijven werken maar er is ook een gedeelte wiens werk gesloten is. Dit alles heeft een grote impact op de maatschappij en de economie. Een app kan zeker helpen in deze situatie, maar dan wel onder de juiste voorwaarden.
Op de persconferentie van afgelopen dinsdag gaf minister De Jonge aan dat een ‘contact-tracing app’ behulpzaam zou kunnen zijn bij het gefaseerd opheffen van de ‘intelligente lockdown’. Een app zou een bijdrage kunnen leveren aan het op gang brengen van het normale leven. Naast een app moeten er dan zeker ook andere maatregelen genomen worden. Het toepassen van techniek is een schakel in de keten van oplossingen. De maatschappelijke discussie rond de app focust voornamelijk op privacy. NLdigital is van mening dat het mogelijk is om een app te ontwikkelen die voldoet aan de meest stringente privacy voorwaarden, die gebruiksvriendelijk is en toch voldoet aan de doelstelling: het waarschuwen dat je in een voorgaande periode in contact bent geweest met iemand waarbij nu Covid-19 is geconstateerd. Onze achterban brengt de privacy-by-design- en security-by-design-principes dagelijks in de praktijk. Deze kunnen en moeten het uitgangspunt zijn bij de ontwikkeling van deze app. Een contact-tracing app werkt alleen als minimaal 60% van de mensen die buitenshuis komen de app gebruiken. NLdigital heeft daarom een aantal voorwaarden opgesteld waar de app aan moet voldoen, om gebruikers maximaal comfort te bieden dat hun privacy niet alleen op juridisch niveau, maar ook op technisch niveau gewaarborgd is. We vragen de overheid deze voorwaarden ter harte te nemen:
- Iedereen moet kunnen meedoen.
- De privacy dient gewaarborgd te zijn.
- Het doel van de app moet duidelijk en beperkt zijn.
- De data van gebruikers moet waar mogelijk decentraal worden opgeslagen.
- De protocollen van de app moeten openbaar zijn.
1. Iedereen moet kunnen meedoen
‘Contact-tracing’ is een noodzakelijke activiteit om nieuwe ‘brandhaarden’ van besmetting te ontdekken en snel in quarantaine te kunnen zetten. Een voldoende hoge mate van adoptie is noodzakelijk om een contact-tracing app een bijdrage te kunnen laten leveren. Om uiteenlopende redenen heeft niet iedere Nederlander een smartphone. Er zouden goedkope single-use apparaten moeten komen die ook hen in staat stelt deel te nemen aan het hernieuwde economische verkeer. Het gebruik van de app zou gratis moeten zijn. Ook moet de app in de verschillende Appstores gebruiksvriendelijk, in meerdere talen en voor iedereen, ook voor de zwakkeren in de samenleving, beschikbaar zijn.
2. De privacy dient gewaarborgd te zijn
De app moet passen binnen de eisen van Avg. Nieuwe wetgeving is niet nodig en vertraagt. Specifiek zou het hele ontwikkelproces tevens gebaseerd moeten zijn op de principes van privacy-by-design en security-by-design. Dataminimalisatie is uitgangspunt. Alleen die data die nodig is om de doelstelling te bereiken mag worden verwerkt en tijdelijk worden bewaard. Dat zijn contact-codes en tijdstip/tijdsblok. De gebruiker blijft anoniem, zijn gegenereerde tijdelijke identiteit is niet te linken en beiden zijn niet bekend bij een centrale autoriteit. Het is dus ook essentieel dat geen opslag plaatsvindt van onveranderbare eigenschappen zoals een MAC-adres. Analytische toevoegingen zoals gebruikersstatistieken dienen ook achterwege te blijven en het moet onmogelijk zijn om locatieprofielen te maken. Verder moet het voor anderen niet mogelijk zijn om te herleiden of een gebruiker zelf besmet is of contact heeft gehad met een besmet iemand.
3. Het doel moet duidelijk en beperkt zijn
De app gaat alleen massaal gebruikt worden wanneer deze vertrouwd wordt door burgers, politici, wetenschappers, opiniemakers en privacy-specialisten. Voor dit vertrouwen is het essentieel dat function-creep is uitgesloten. De data in het systeem moet niet bruikbaar zijn voor andere doeleinden, zoals het traceren van de bewegingen van de gebruiker of het profileren van die gebruiker. Een positieve contact-match met een aangemelde corona-patiënt zou alleen zichtbaar mogen zijn voor de eindgebruiker van de app. De doelstelling moet zijn om de eindgebruiker beter in staat te stellen eigen keuzes te maken. Ook wanneer de gebruiker zichzelf aanmerkt als corona-patiënt mag dit niet tot identificatie van deze patiënt leiden bij anderen. Tevens moet het niet mogelijk zijn om achteraf de doelstelling en gebruik van data unilateraal te veranderen. NLdigital heeft daarom sterk de voorkeur voor algoritmes die dat onmogelijk maken.
4. De data moet decentraal worden opgeslagen
We noemden eerder dat vertrouwen in de app essentieel is om de adoptie goed te laten plaatsvinden. Door de opslag en verwerking van de data decentraal, dus op een telefoon of ander apparaat, te maken bestaat er geen gecentraliseerd overzicht dat te misbruiken of te hacken is, of waar een centrale autoriteit locatieprofielen van kan maken.
5. De protocollen moeten volledig openbaar zijn
De potentiële inbreuk op de privacy van een app die zich met het verzamelen en verwerken van bijzondere persoonsgegevens bezighoudt is zo substantieel dat dit ook volledige openheid vereist over de werking en verwerking van de data. De werking dient openbaar te zijn, en het heeft de voorkeur dat de broncode van een eventuele implementatie ook openbaar beschikbaar is, zodat transparant gecontroleerd wordt of de doelstelling op de juiste manier zijn verwerkt in de techniek. ‘Contact-tracing’ is een noodzakelijke activiteit om nieuwe ‘brandhaarden’ van besmetting te ontdekken en snel in quarantaine te kunnen zetten. Een voldoende hoge mate van adoptie is noodzakelijk om een contact-tracing app een bijdrage te kunnen laten leveren. NLdigital is van mening dat elke app moet voldoen aan de bovengenoemde voorwaarden, om zo goed te kunnen in spelen op de adoptiebereidheid van de burger.
Het laatste nieuws
Handige ‘wie doet wat’ kabinet-Schoof
Reminder! Doe mee: onderzoek opleidingskosten bedrijven
NLdigital reageert op Nederlandse NIS2-implementatiewet
Gezamenlijk persbericht: Omgevingsdiensten en datacenters tekenen gezamenlijke aanpak voor energiebesparing servers
