Corona Manifest voor veilige apps

Sinds de persconferentie van Hugo de Jonge zijn er veel vragen rond de inzet van apps in de bestrijding van corona. Enerzijds sta ik kritisch tegenover het gelanceerde plan, terwijl ik anderzijds een voorstander ben van inzet van technologie. Ik ben daarom een van de ondertekenaars van het Corona Manifest.

Deze discussie in Nederland is nog piepjong, maar samen met mijn sparringpartner – Hans de Raad (security, privacy en compliance expert in de medische en pharma domeinen) – volg ik het internationale debat al langer.

Bij het plan rond de apps lijken twee grondrechten enorm met elkaar te botsen: het recht op leven (artikel 2 EVRM – Europees Verdrag voor de Rechten van de Mens) en het recht op een persoonlijke levenssfeer (artikel 8 EVRM), ofwel de privacy. Als dit de tegenstelling zou zijn dan is het voor de meeste mensen gemakkelijk kiezen: je wilt niet dood.

Wat velen hierbij ontgaat is dat dit een discussietrucje is, een beproefde methode om privacy in te perken. Steeds ga je iets verder. Vooral met argumenten als terreur, kinderporno of algemener ‘de veiligheid’ verdwijnt privacy naar de achtergrond.

Het punt is dat de keuze tussen het één of het ander in werkelijkheid zelden zo scherp en absoluut is. Veiligheid is een relatief begrip evenals privacy. Bij de bestrijding van corona is dat niet anders. Nieuw in dit geval is dat het niet alleen gaat om de mens als individu, maar juist ook als groep. We zoeken een balans tussen verschillende belangen.

Met de komst van de Europese privacy-verordening is de tegenstelling weer aangescherpt. Je hoort veel mensen zeggen dat ‘iets niet mag van de AVG’. Het omgekeerde is juist waar: je mag in veel gevallen wel degelijk gebruikmaken van persoonsgegevens. Alleen moet je dat doen met een helder doel. Je moet je aan randvoorwaarden houden, zorgvuldig met informatie omgaan en de risico’s voor privacy beperken. Je moet je als een goed huisvader gedragen. Als gegevens over de gezondheid gaan moet je extra voorzichtig zijn.

Een app die bijhoudt wie op welk moment waar is geweest, is een uitermate gevoelig hulpmiddel. Het kan namelijk tot ongewenste gevolgen leiden. Je wilt bijvoorbeeld niet dat een verzekeraar op basis van het feit dat jij corona hebt gehad jou gaat weigeren, waardoor je een voor een hypotheek verplichte levensverzekering niet meer krijgt. Of dat de gegevens worden misbruikt om je een corona-boete te geven als je te dicht bij iemand hebt gestaan. Juist omdat de situatie zo bijzonder is, wil je dat zo’n app uitsluitend wordt gebruikt voor het vooraf gestelde doel en voor niets anders wat er nadien wordt bijgehaald.

En dat doel is vaak ingewikkeld om precies te benoemen. In het privacy-recht heet dat de ‘doelbinding’. Het argument ‘coronabestrijding’ is te algemeen en zet de deur wagenwijd open voor misbruik. Zo’n app die kijkt naar afstand kan in de coronabestrijding drie waardevolle dingen doen. Om te beginnen helpt het mensen te waarschuwen als ze met een coronaslachtoffer in contact zijn geweest. Daar moet de technologie helpen de juiste personen te waarschuwen en niet meer dan dat. Deze waarschuwing mag dus niet in handen van anderen vallen. Het tweede doel is om meer te leren over de besmettingen. Dat helpt inzicht te krijgen in welke contacten leiden tot besmetting. Hierbij gaat het om de grote getallen en niet om wie met wie in contact staat. Het mag op geen enkele manier tot een persoon te herleiden zijn. Het laatste en misschien wel het belangrijkste doel is het trekken van lessen uit de bestrijding van de crisis. Welke aanpak heeft nu wel zin en welke niet? En welke verschillen zien we daarbij tussen EU lidstaten? Want corona zal niet de laatste ernstige virusuitbraak zijn. Ook hier geldt weer: het mag op geen enkele manier tot de persoon te herleiden zijn.

Het succes van een app staat of valt met het vertrouwen dat mensen het geven. Is dat vertrouwen er niet dan zullen te weinig mensen het gaan gebruiken en dan haal je je doelen niet. Pas als veel mensen een waarschuwing krijgen, heeft waarschuwen zin. Het gaat immers om grote groepen die anderen niet besmetten en niet om één individu alleen.

Aan de andere kant werkt anonimiteit ook met grote getallen. Als een groep uit twee mensen bestaat is er geen anonimiteit, bij een groep van tweehonderd al meer, maar zullen specifieke gegevens nog steeds tot één persoon kunnen leiden. Bij een groep van miljoenen mensen neemt de anonimiteit toe. Breed gebruik van de app helpt het bereiken van het doel en het beschermen van de privacy. Dat kan alleen als de oplossing helemaal gericht is op de groepsdoelen en geen verborgen agenda nastreeft om alsnog in het individuele domein te komen.

Het gebruik van de app valt of staat dus met het vertrouwen van de mensen. Dat kun je niet met een pistool tegen het hoofd afdwingen. Dat Mark Rutte en Hugo de Jonge niet uitsluiten de app verplicht te stellen, is alleen al vanuit communicatief oogpunt een totaal verkeerd signaal. Zo lang de doelstelling niet helder is, kan ook niet worden gekeken naar proportionaliteit en subsidiariteit van de maatregelen (bijvoorbeeld het al dan niet verplicht stellen van een app).

Vertrouwen is wederkerig. Mensen dwingen zal verzet oproepen en dat kan heel schadelijk zijn. Gebaseerd op apps die er al zijn, is het vrij eenvoudig om misbruik te maken van de technologie. Dit kan variëren van wisselende bluetooth identificatiecodes waardoor mensen nooit een melding krijgen, tot het zorgen dat duizenden mensen juist ten onrechte een bericht krijgen.

Vertrouwen krijgen is niet eenvoudig, omdat er al de nodige negatieve voorbeelden zijn. Denk alleen al aan de slechte ervaringen met apps van bekende sociale media en hun winstmodel gebaseerd op individueel herleidbare data. In Oostenrijk bleek een app gegevens aan een datamelker door te spelen. In Israël werden GSM-locatiegegevens gebruikt om contacten van coronapatiënten te dwingen in thuisisolatie te gaan.

Anderzijds is het te simpel om te stellen dat er nooit mag worden gekeken naar beschikbare data, Google biedt geanonimiseerd gegevens van Android telefoons aan overheden aan. Je ruikt de dubbele agenda. Ondanks de vraagstukken omtrent de rechtmatigheid van het verkrijgen van die data kan de waarde ervan wel degelijk groot zijn. In Nederland dachten sommige mensen bij een ziekenhuisapp rond corona mee te doen aan een anoniem onderzoek en werden ze vervolgens gebeld. De communicatie is verbeterd, maar nog altijd is het privacy-statement niet bepaald krachtig te noemen. Er is dus bepaald geen sprake van een eenduidig beeld.

Voor vertrouwen is er dan ook meer nodig. Immers, vertrouwen zonder controle past enkel in de individuele levensbeschouwelijke sfeer. Een manifest, dat ik zelf graag onderteken, kan een startpunt zijn voor oplossingsrichtingen aan hoe je vertrouwen kunt winnen. In dat manifest staan logische punten zoals: stel heldere doelen en hou je eraan, borg technisch dat misbruik heel moeilijk is (liefst zelfs onmogelijk), doe het proportioneel, wetenschappelijk geborgd, binnen geldende ethische normen voor medisch onderzoek enzovoort. Het is een startschot met uitgangspunten om tot een verantwoorde app te komen.

Maar met uitgangspunten kun je nog geen app invoeren. Een uitgangspunt geeft nog niet het vertrouwen dat iets ook klopt. Wat heb je aan een app als deze slecht gebouwd is en makkelijk te hacken is? Je zult audits moeten doen op de app en de keten erachter, zodat je bewijst dat de app te vertrouwen is en de data adequaat wordt verwerkt en beheerd. Geloof is goed, controle is beter. Daarom is open broncode een absolute must. Dan is er geen twijfel over wat de app wel of niet onder water blijkt te doen.

Als er ondanks alle maatregelen toch misbruik mogelijk is, dan moeten er gevolgen zijn. Want je vraagt veel vertrouwen van mensen. Wie ons dan nog bedondert, begaat een ‘life changing’-fout. Dat betekent een afdwingbare maatregel om met forse straffen en schadevergoeding helder te maken dat deze dataverwerking alleen om de vooraf gestelde doelen gaat en niets anders. Om het simpel te zeggen: misbruik wordt gestraft.

Juist in een crisis zou je denken dat je geen tijd hebt om rustig te gaan zitten voor een discussie om zaken goed te regelen. Maar doe je het niet dan mislukt de opzet. Aan de andere kant hoeven we het wiel niet uit te vinden. Er zijn in Nederland en Europa goede initiatieven te vinden waarbij grondig is nagedacht om precies deze doelen na te streven.

Daarnaast heeft Europa dankzij de AVG het wetgevingskader om misbruik te bestraffen. Het is zaak om aansluiting te zoeken bij de juiste initiatieven. Corona heeft op zoveel punten laten zien dat we als samenleving in staat zijn om veel stappen te zetten op ongelofelijk hoge snelheid: massaal thuiswerken, beademingsapparatuur maken, elkaar ondersteunen enzovoort. We zien de beste kanten van de samenleving (en ook de donkerste kanten).

Omdat het gaat om het overleven als groep en er in Europa al veel gaande is, is het noodzakelijk het ‘not invented here’-syndroom los te laten, maar aan te haken bij wat er al wordt gedaan. Op die manier hebben we ook de massa van een grote groep om anonimiteit te waarborgen en kunnen we met de juiste randvoorwaarden en inspanning snel en veilig aan de slag. Want net als de Rijn stopt corona niet bij Lobith.

 

Brenno de Winter is mede ondertekenaar van het manifest ‘Veilig tegen Corona’

Brenno de Winter

Brenno de Winter

brenno de winter werkt al heel lang in IT

Gerelateerde berichten...

X