Privacy of gezondheid: daar zijn de corona tracking-apps
In steeds meer landen worden apps gebouwd en uitgerold die de epidemie proberen tegen te gaan door het doen en laten van burgers in kaart te brengen. Ook Europa werkt aan zo’n app, maar privacy is hier een heikel punt.
Om een pandemie als covid-19 in te dijken, zo zegt de Wereldgezondheidsorganisatie, moeten landen testen, positieve gevallen isoleren en nieuwe gevallen traceren. Traditioneel gebeurt dat traceren door coronapatiënten te vragen met wie ze in contact zijn geweest. Het idee om daar een hoop technologie op los te laten, blijkt echter bijzonder aanlokkelijk.
Track and trace
De EU vraagt providers bijvoorbeeld om locatiegegevens ter beschikking te stellen aan overheden. Ook de VS kijkt naar providers, en naar techgiganten als Facebook en Google, om burgers te kunnen traceren. Een en ander komt echter met grote privacyrisico’s. De EU zelf heeft bijvoorbeeld stevige privacyregels die dat soort overdracht onwettig zouden maken zonder bijkomende wetten.
De coronacrisis leert ons alvast hoe anders verschillende bevolkingen aankijken tegen de lijn tussen privacy en preventie, en hoe ver overheden daarin willen gaan. Singapore, dat er snel bij was om de epidemie in te dammen, wordt vaak als lichtend voorbeeld gezien in het gebruik van technologie om zijn burgers te vrijwaren. De staat gebruikt een app die TraceTogether heet, en die Bluetooth inzet om telefoons in de buurt te traceren. Belangrijk daarbij is dat de app die logs op de telefoon zelf opslaat, en de locatiegegevens van de telefoon er netjes uitlaat. Die lokale logs kunnen worden geüpload naar het ministerie van gezondheid wanneer de gebruiker daarvoor kiest, vermoedelijk na een positieve test. Op dat moment kan het ministerie de hele loglijst contacteren.
Hetzelfde concept zie je vaak opduiken, met lichte… varianten. Zuid-Korea pakt het bijvoorbeeld veel ‘transparanter’ aan. Wanneer iemand daar een positieve diagnose krijgt, stuurt de overheid een sms naar alle mensen waarmee ze in contact zijn geweest, met daarin informatie over geslacht, geboortejaar, woonplaats en beroep van de patiënt, naast een overzicht van alle plekken waar die patiënt is geweest. En dat gaat ver, in sommige steden worden verplaatsingen tot op de minuut gelogd, inclusief welke kamers in een gebouw bezocht werden, en eventuele trips naar ‘love hotels’
Het gaat, voorspelbaar, nog verder in China. Daar krijgt iedereen van de overheid een gezondheidscode: rood, geel of groen, die ze in hun Alipay en Wechat app te zien krijgen en overal moeten tonen waar ze binnen willen. Zonder groene code en een scan van je gegevens kan je er niet de trein nemen, bijvoorbeeld. In honderden steden wordt elke trip die burgers maken, volledig bijgehouden en constant afgecheckt.
Rusland, dat lang volhield geen corona te hebben, is deze week dan weer uitgekomen met een digitale enkelband voor patiënten. Mensen die positief getest zijn op covid-19 maar thuis mogen uitzieken, krijgen een app die toegang vraagt tot gesprekken, locatie, camera, opslag en netwerkinformatie. Zo zou duidelijk moeten worden wanneer ze tegen de regels in het huis verlaten.
Na de crisis
Dat overheden uitzonderlijke maatregelen nemen in uitzonderlijke omstandigheden gaat er misschien nog in, maar de vraag die privacy-activisten zich bij dat alles stellen, is wat er daarna gebeurt.
De ‘contact tracing’ app die het Verenigd Koninkrijk in de komende weken wil uitrollen gebruikt, net als die van Singapore, Bluetooth om toestellen in de buurt van de gebruiker te traceren en een lijst van telefoonnummers op te stellen. De nationale gezondheidszorg in het land stelt zich tot doel dat de helft van de bevolking de app zou installeren. Die gebruikt echter locatiegegevens van smartphones, en misschien ook GPS-coördinaten op plaatsen waar verbinding slecht is. Enkele technologen hebben al een open brief gestuurd waarin ze hun bezorgdheid uiten dat deze tool ook door de politie zal worden ingezet om grote delen van de bevolking te controleren, in een land dat al bij de meeste bewakingscamera’s ter wereld heeft.
Het is een van de redenen waarom een reeks Europese experts werkt aan een privacy-vriendelijke versie van zo’n app. De Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT) moet een antwoord bieden op een groeiende vraag naar informatie en indamming, en dat zonder de GDPR privacyregels te overtreden. Om te beginnen werkt PEPP-PT op vrijwillige basis. Gebruikers moeten de app zelf downloaden en toestemming geven om hun locatie te delen. Die informatie wordt vervolgens twee weken lang opgeslagen en alleen gedeeld met gezondheidsdiensten. De app zou volgende week al beschikbaar moeten zijn en de code wordt aangeboden aan verschillende Europese landen.
En in België?
Ons land heeft vooralsnog geen eigen tracking-app, al kan je op vrijwillige basis wel apps downloaden. De Gegevensbeschermingsautoriteit heeft wel groen licht gegeven aan providers om hun geanonimiseerde telecomdata over te maken aan het bedrijf Riaktr, dat er kaarten mee aanmaakt. Daarin kan je bijvoorbeeld zien dat 78 procent van de Belgen de voorbije weken meestal binnen hun eigen postcode zijn gebleven, zegt David Stevens van de Gegevensbeschermingsautoriteit aan Knack.
Voor een speciale app die meldt wanneer je in contact bent geweest met een besmet persoon, zoals in Singapore of zoals PEPP-PT dat voorstelt, is er weinig animo. Uit het ondertussen wekelijkse onderzoek van de Universiteit Antwerpen blijkt dat slechts de helft van de ondervraagde Belgen zo’n app zouden willen gebruiken. 80% van degenen die dat niet zien zitten, geven net privacy aan als belangrijkste bezorgdheid.
Fout opgemerkt of meer nieuws? Meld het hier