Het klonk allemaal bijzonder goed, twee weken geleden. Toen werd de Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT in het kort) gelanceerd. Het project moest een antwoord bieden op een groeiende vraag naar 'contact tracing' apps, waarbij mensen op de hoogte worden gebracht wanneer ze in contact zijn gekomen met iemand die positief heeft getest op covid-19. De insteek van het project was om een privacyvriendelijke app te bouwen, die de GDPR privacyregels niet overtreedt.

De app werkte volgens zijn website op vrijwillige basis en zou ook gebruik maken van open standaarden, gebaseerd op het zogeheten DP-3T ofte Decentralized Privacy-Preserving Proximity Tracing protocol. Zoals de naam aangeeft, is dat een mechanisme om contacten tussen mensen te verzamelen, zonder dat er al te gortig met de privacy wordt omgesprongen. (Voor de extreem technische uitleg en discussies kan je hier terecht). Die DP-3T is ook het protocol dat aan de basis ligt van de contact tracing tools die Apple en Google ze vorige week aankondigden.

Teruggekrabbeld

Om maar te zeggen dat een hoop mensen die momenteel aan contact tracing werken, DP-3T zien als de academische standaard voor dit soort protocols. Maar niet, zo blijkt nu, PEPP-PT. In een rapport meldt onderzoeker Nadim Kobeissi dat het project, hoewel het origineel op zijn website sprak over het gebruik van het protocol, die verwijzing naar DP-3T ondertussen heeft weggehaald. PEPP-PT zou bij nader inzien de voorkeur geven aan een gesloten systeem, met een gecentraliseerde database. De code van zo'n gesloten systeem kan niet worden gecontroleerd, en de hele 'centrale databank' levert ook gevaar op voor hacking en misbruik door de beheerder daarvan. De vrees bij onderzoekers is dan ook dat dit nieuwe systeem mogelijk minder veilig, en minder privacy-vriendelijk, dan de DP-3T standaard.

Waarom PEPP-PT van protocol is veranderd, is niet duidelijk. Wel blijkt ondertussen dat het project Europese academici en technologen zorgen baart. Onder meer professoren Kenneth Patterson en Michael Veale uitten hun kritiek op het gebrek aan materiaal dat er door de app is uitgegeven. De specificaties zijn tot nu toe niet vrijgegeven, en kunnen dus ook niet worden gecontroleerd.

Een en ander betekent dat, in de weken sinds de aankondiging, een reeks originele leden van het consortium zich gedistantieerd hebben van het project. Nog volgens Kobeissi is de enige achter het project nu ene Hans-Christian Boos, een man die mogelijk het project heeft opgezet als een manier om snel donoren en geld te verzamelen, zonder met een eigenlijk product te komen.

Het klonk allemaal bijzonder goed, twee weken geleden. Toen werd de Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT in het kort) gelanceerd. Het project moest een antwoord bieden op een groeiende vraag naar 'contact tracing' apps, waarbij mensen op de hoogte worden gebracht wanneer ze in contact zijn gekomen met iemand die positief heeft getest op covid-19. De insteek van het project was om een privacyvriendelijke app te bouwen, die de GDPR privacyregels niet overtreedt. De app werkte volgens zijn website op vrijwillige basis en zou ook gebruik maken van open standaarden, gebaseerd op het zogeheten DP-3T ofte Decentralized Privacy-Preserving Proximity Tracing protocol. Zoals de naam aangeeft, is dat een mechanisme om contacten tussen mensen te verzamelen, zonder dat er al te gortig met de privacy wordt omgesprongen. (Voor de extreem technische uitleg en discussies kan je hier terecht). Die DP-3T is ook het protocol dat aan de basis ligt van de contact tracing tools die Apple en Google ze vorige week aankondigden. Om maar te zeggen dat een hoop mensen die momenteel aan contact tracing werken, DP-3T zien als de academische standaard voor dit soort protocols. Maar niet, zo blijkt nu, PEPP-PT. In een rapport meldt onderzoeker Nadim Kobeissi dat het project, hoewel het origineel op zijn website sprak over het gebruik van het protocol, die verwijzing naar DP-3T ondertussen heeft weggehaald. PEPP-PT zou bij nader inzien de voorkeur geven aan een gesloten systeem, met een gecentraliseerde database. De code van zo'n gesloten systeem kan niet worden gecontroleerd, en de hele 'centrale databank' levert ook gevaar op voor hacking en misbruik door de beheerder daarvan. De vrees bij onderzoekers is dan ook dat dit nieuwe systeem mogelijk minder veilig, en minder privacy-vriendelijk, dan de DP-3T standaard. Waarom PEPP-PT van protocol is veranderd, is niet duidelijk. Wel blijkt ondertussen dat het project Europese academici en technologen zorgen baart. Onder meer professoren Kenneth Patterson en Michael Veale uitten hun kritiek op het gebrek aan materiaal dat er door de app is uitgegeven. De specificaties zijn tot nu toe niet vrijgegeven, en kunnen dus ook niet worden gecontroleerd.Een en ander betekent dat, in de weken sinds de aankondiging, een reeks originele leden van het consortium zich gedistantieerd hebben van het project. Nog volgens Kobeissi is de enige achter het project nu ene Hans-Christian Boos, een man die mogelijk het project heeft opgezet als een manier om snel donoren en geld te verzamelen, zonder met een eigenlijk product te komen.