Nu steeds meer overheden naar technologische oplossingen kijken om hen te helpen de lockdown te openen of toch op zijn minst te verlichten, is de vraag nu 'welk soort app'? En dan kijken we onder meer naar contact tracing. Het idee daarachter is dat je uitvist bij wie een besmet persoon in de buurt is geweest. Zo kan iemand die in contact is geweest met een besmet persoon zichzelf sneller isoleren en laten testen, wat de verspreiding van het virus indamt.

In de brief roepen de academici overheden op om eventuele contact tracing apps te kiezen die gebouwd zijn volgens de principes van 'privacy-by-design'. Dat betekent dat ze alleen mogen gebruikt worden voor het indijken van covid-19, en dus niet voor het verzamelen van andere data. Ze moeten volledig transparant zijn, en op vrijwillige basis gebruikt worden.

Centraal of decentraal

Op dit moment gebeurt contact tracing voornamelijk via telefonische interviews. Wanneer er over apps gesproken wordt, gaat het over twee specifieke methodes. "Er is nu een grote discussie bezig tussen mensen die locatiedata willen gebruiken en mensen die Bluetooth willen gebruiken", legt professor Bart Preneel van KU Leuven uit aan Data News. "Maar locatiedata is daar geen privacyvriendelijke optie, want die zijn niet te anonimiseren. Daar zijn wetenschappelijke studies over: zelfs als je de namen weghaalt kan je nog achterhalen wie dat was. Daarnaast is het ook niet erg betrouwbaar."

De meest gangbare aanpak is er dan eentje die gebruik maakt van Bluetooth. "Het idee is dat je Bluetooth tokens gaat uitsturen, je gaat die broadcasten en andere smartphones gaan dat oppikken", zegt Preneel. Voor de verwerking van die tokens is de grote vaag echter: centraal of decentraal? "Wat doe je als er iemand positief test voor het virus?" zegt Preneel. "Bij een centrale aanpak kan je al die tokens in een centrale database stoppen. Dat is het systeem dat bijvoorbeeld Singapore gebruikt. Daarbij weet de overheid weet wie er achter al die tokens zit en kan ze mensen contacteren wanneer ze mogelijk besmet zijn. We denken dat die optie niet ideaal is omdat er een gevaar is voor function creep."

Bij function creep wordt een systeem dat is geïnstalleerd voor één doel, ook voor andere dingen gebruikt. Als de overheid of een organisatie weet met wie iedereen in contact is geweest, zo gaat de stelling, kunnen ze niet alleen kijken of je mogelijk besmet bent, maar ook of je de quarantaine hebt gebroken, of in de buurt was van een misdaad. "We denken daarom dat het centrale systeem niet goed is", vervolgt Preneel. "We willen dat die Bluetooth tokens en sleutels lokaal op de telefoon blijven." Als iemand dan besmet is, moet zijn of haar sleutel naar de cloud worden opgeladen, waarna andere smartphones de tokens kunnen downloaden en zien of ze overeenkomen met tokens die ze zelf hebben verzameld. "Die cloud database heeft enkel sleutels: geen namen en geen locaties. De beslissing of iemand mogelijk in contact is geweest, gebeurt op basis van lokale data op toestel zelf." Eens de app een 'match' ziet, kan hij je vervolgens vragen om thuis te blijven, je dokter te bellen of met een centrale dienst te spreken, afhankelijk van de systemen die je verblijfplaats daarvoor heeft ingesteld.

Het standaardprotocol voor zo'n decentrale aanpak heet Decentralized Privacy-Preserving Proximity Tracing of DP-3T voor de vrienden. Het is dit protocol dat de wetenschappers aanbevelen, en het is ook het protocol dat aan de basis ligt van de contact tracing tools die Apple en Google vorige week aankondigden. Dat laatste is belangrijk, zegt Preneel, omdat Bluetooth tracing momenteel niet goed werkt op iPhones. "Apple heeft dat zo geconfigureerd uit privacy overwegingen, omdat ze net willen vermijden dat mensen getrackt worden." Met de juiste API zou dat voor specifieke apps nu wel mogelijk worden. Apple en Google maken die alleen beschikbaar voor apps die net op zo'n vrijwillige en decentrale basis werken.

Het project en het consortium

Dat een hoop wetenschappers nu in hun pen kruipen, heeft een en ander te maken met de controverse rond het Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT in het kort). Dat project, dat zichzelf enkele weken geleden aanprees als een privacyvriendelijke basis voor gouvernementele apps, zag vorige week een groot deel van zijn steunbetuigingen in rook opgaan. Onder meer het DP-3T consortium, waar KU Leuven deel van uitmaakt, stapte uit het project. "Om samenwerking te realiseren is het DP-3T consortium daar eerst ingestapt, maar we zijn daarvan teruggekomen", legt Preneel uit. "Er was een verschil in filosofie en aanpak. Bij ons staat alle code publiek, alle bronnen zijn openbaar. PEPP-PT wilde zijn code niet vrijgeven, daar was een gebrek aan transparantie." Het lijkt er bovendien op dat PEPP-PT een centrale aanpak aanhangt en voorstelt aan verschillende overheden, waar de DP-3T academici zich niet in kunnen vinden.

Daarom is er nu dus een nieuwe samenwerking. "In de VS zijn er nog drie consortia die een decentrale aanpak voorstellen", zegt Preneel. "We hebben nu samen met hen dat statement opgesteld." Bedoeling van de brief is om meer aandacht te brengen naar de technische kant van deze app, en het publiek beter te informeren, gaat hij verder. "Als je contact tracing wil doen, zorg dan dat het met Bluetooth gebeurt, en op een decentrale manier. Anders creëren we nu een systeem voor mass surveillance dat na de crisis voor overheidscontrole kan worden gebruikt."

(Bijna) iedereen, of niemand

Als een contact tracing app succesvol wil zijn, moeten mensen hem vertrouwen, en dat lukt alleen als het om een privacyvriendelijk en transparant systeem gaat, zegt Preneel. "We willen de mensen overtuigen dat het kan. Natuurlijk weet er niemand of die smartphones technisch altijd perfect gaan werken, maar op dit moment gebeurt contact tracing door iemand op te bellen en te vragen wie ze gezien hebben. Dat is tijdsintensief en invasief voor de privacy, en het werkt niet goed. Je hoeft iemand niet te kennen om ermee in contact te komen. Je met iemand in een lift hebben gestaan zonder te spreken, dus op zo'n moment is een app een mogelijk element dat kan helpen." Hij drukt er wel op dat een app alleen geen mirakeloplossing is. "Die kan alleen werken als er ook voldoende tests zijn, als de verspreiding van de app groot genoeg is." Mensen moeten zo'n ding dus willen installeren. "Wat we overheden willen zeggen is: als je het doet, zorg dan voor privacy by design, zorg dat het enkel kan worden gebruikt om mensen te vinden die besmet zijn, en niet om te tracken of je naar je tweede verblijf bent geweest. Als je dat uitgelegd krijgt, gaan mensen het ook willen gebruiken."

Nu steeds meer overheden naar technologische oplossingen kijken om hen te helpen de lockdown te openen of toch op zijn minst te verlichten, is de vraag nu 'welk soort app'? En dan kijken we onder meer naar contact tracing. Het idee daarachter is dat je uitvist bij wie een besmet persoon in de buurt is geweest. Zo kan iemand die in contact is geweest met een besmet persoon zichzelf sneller isoleren en laten testen, wat de verspreiding van het virus indamt.In de brief roepen de academici overheden op om eventuele contact tracing apps te kiezen die gebouwd zijn volgens de principes van 'privacy-by-design'. Dat betekent dat ze alleen mogen gebruikt worden voor het indijken van covid-19, en dus niet voor het verzamelen van andere data. Ze moeten volledig transparant zijn, en op vrijwillige basis gebruikt worden.Op dit moment gebeurt contact tracing voornamelijk via telefonische interviews. Wanneer er over apps gesproken wordt, gaat het over twee specifieke methodes. "Er is nu een grote discussie bezig tussen mensen die locatiedata willen gebruiken en mensen die Bluetooth willen gebruiken", legt professor Bart Preneel van KU Leuven uit aan Data News. "Maar locatiedata is daar geen privacyvriendelijke optie, want die zijn niet te anonimiseren. Daar zijn wetenschappelijke studies over: zelfs als je de namen weghaalt kan je nog achterhalen wie dat was. Daarnaast is het ook niet erg betrouwbaar."De meest gangbare aanpak is er dan eentje die gebruik maakt van Bluetooth. "Het idee is dat je Bluetooth tokens gaat uitsturen, je gaat die broadcasten en andere smartphones gaan dat oppikken", zegt Preneel. Voor de verwerking van die tokens is de grote vaag echter: centraal of decentraal? "Wat doe je als er iemand positief test voor het virus?" zegt Preneel. "Bij een centrale aanpak kan je al die tokens in een centrale database stoppen. Dat is het systeem dat bijvoorbeeld Singapore gebruikt. Daarbij weet de overheid weet wie er achter al die tokens zit en kan ze mensen contacteren wanneer ze mogelijk besmet zijn. We denken dat die optie niet ideaal is omdat er een gevaar is voor function creep."Bij function creep wordt een systeem dat is geïnstalleerd voor één doel, ook voor andere dingen gebruikt. Als de overheid of een organisatie weet met wie iedereen in contact is geweest, zo gaat de stelling, kunnen ze niet alleen kijken of je mogelijk besmet bent, maar ook of je de quarantaine hebt gebroken, of in de buurt was van een misdaad. "We denken daarom dat het centrale systeem niet goed is", vervolgt Preneel. "We willen dat die Bluetooth tokens en sleutels lokaal op de telefoon blijven." Als iemand dan besmet is, moet zijn of haar sleutel naar de cloud worden opgeladen, waarna andere smartphones de tokens kunnen downloaden en zien of ze overeenkomen met tokens die ze zelf hebben verzameld. "Die cloud database heeft enkel sleutels: geen namen en geen locaties. De beslissing of iemand mogelijk in contact is geweest, gebeurt op basis van lokale data op toestel zelf." Eens de app een 'match' ziet, kan hij je vervolgens vragen om thuis te blijven, je dokter te bellen of met een centrale dienst te spreken, afhankelijk van de systemen die je verblijfplaats daarvoor heeft ingesteld. Het standaardprotocol voor zo'n decentrale aanpak heet Decentralized Privacy-Preserving Proximity Tracing of DP-3T voor de vrienden. Het is dit protocol dat de wetenschappers aanbevelen, en het is ook het protocol dat aan de basis ligt van de contact tracing tools die Apple en Google vorige week aankondigden. Dat laatste is belangrijk, zegt Preneel, omdat Bluetooth tracing momenteel niet goed werkt op iPhones. "Apple heeft dat zo geconfigureerd uit privacy overwegingen, omdat ze net willen vermijden dat mensen getrackt worden." Met de juiste API zou dat voor specifieke apps nu wel mogelijk worden. Apple en Google maken die alleen beschikbaar voor apps die net op zo'n vrijwillige en decentrale basis werken. Dat een hoop wetenschappers nu in hun pen kruipen, heeft een en ander te maken met de controverse rond het Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT in het kort). Dat project, dat zichzelf enkele weken geleden aanprees als een privacyvriendelijke basis voor gouvernementele apps, zag vorige week een groot deel van zijn steunbetuigingen in rook opgaan. Onder meer het DP-3T consortium, waar KU Leuven deel van uitmaakt, stapte uit het project. "Om samenwerking te realiseren is het DP-3T consortium daar eerst ingestapt, maar we zijn daarvan teruggekomen", legt Preneel uit. "Er was een verschil in filosofie en aanpak. Bij ons staat alle code publiek, alle bronnen zijn openbaar. PEPP-PT wilde zijn code niet vrijgeven, daar was een gebrek aan transparantie." Het lijkt er bovendien op dat PEPP-PT een centrale aanpak aanhangt en voorstelt aan verschillende overheden, waar de DP-3T academici zich niet in kunnen vinden. Daarom is er nu dus een nieuwe samenwerking. "In de VS zijn er nog drie consortia die een decentrale aanpak voorstellen", zegt Preneel. "We hebben nu samen met hen dat statement opgesteld." Bedoeling van de brief is om meer aandacht te brengen naar de technische kant van deze app, en het publiek beter te informeren, gaat hij verder. "Als je contact tracing wil doen, zorg dan dat het met Bluetooth gebeurt, en op een decentrale manier. Anders creëren we nu een systeem voor mass surveillance dat na de crisis voor overheidscontrole kan worden gebruikt."Als een contact tracing app succesvol wil zijn, moeten mensen hem vertrouwen, en dat lukt alleen als het om een privacyvriendelijk en transparant systeem gaat, zegt Preneel. "We willen de mensen overtuigen dat het kan. Natuurlijk weet er niemand of die smartphones technisch altijd perfect gaan werken, maar op dit moment gebeurt contact tracing door iemand op te bellen en te vragen wie ze gezien hebben. Dat is tijdsintensief en invasief voor de privacy, en het werkt niet goed. Je hoeft iemand niet te kennen om ermee in contact te komen. Je met iemand in een lift hebben gestaan zonder te spreken, dus op zo'n moment is een app een mogelijk element dat kan helpen." Hij drukt er wel op dat een app alleen geen mirakeloplossing is. "Die kan alleen werken als er ook voldoende tests zijn, als de verspreiding van de app groot genoeg is." Mensen moeten zo'n ding dus willen installeren. "Wat we overheden willen zeggen is: als je het doet, zorg dan voor privacy by design, zorg dat het enkel kan worden gebruikt om mensen te vinden die besmet zijn, en niet om te tracken of je naar je tweede verblijf bent geweest. Als je dat uitgelegd krijgt, gaan mensen het ook willen gebruiken."