In een poging het coronavirus onder de knie te krijgen azen overheden op gegevens van volgapps. Daar zou dan uit zijn op te maken wie er met coronapatiënten contact heeft gehad. In Nederland en ook andere landen waarschuwen privacyautoriteiten daar niet blind in mee te gaan. Onderzoekers rond Yves-Alexandre de Montjoye van het Imperial College in Londen hebben vast een lijst van vragen opgesteld waarop overheden een antwoord moeten geven alvorens inbreuk te maken op onze privésfeer. Dwingend advies: houd je aan de wet.
Dergelijke toeps zouden nuttig kunnen zijn om te voorkomen dat mensen al te lang worden ‘opgesloten’. Het vervelende is alleen dat die apps ook gevoelige informatie van de desbetreffende verzamelen. De Montjoye: “We moeten er alles aan doen om de uitbraak in te dammen. Het achterhalen van contacten tussen mensen betekent gevoelige gegevens op grote schaal verwerken. Er bestaan goede en bewezen technieken om onze fundamentele rechten op privacy te waarborgen. We kunnen ons niet veroorloven die niet te gebruiken.”
De vragen
De onderzoekers stellen dat hun bijdrage bedoeld is voor overheden en burgers om het privacyaspect van toepassingen te beoordelen. “Ze zouden ook voor ontwikkelaars van toepassing kunnen zijn als ze met iets nieuws bezig zijn.”
– Hoe beperk je het verzamelen van persoonsgegevens door toepontwikkelaars?
De Montjoye: “Grootscheepse verzameling kan snel leiden tot massaspionage. We zouden ons af moeten vragen welke gegevens er worden verzameld.”
– Hoe garandeer je de anonimiteit van de gebruiker?
DM: “Er zullen speciale maatregelen genomen moeten worden om het risico te beperken dat gebruikers alsnog geïdentificeerd kunnen worden door de ontwikkelaars, door andere gebruikers of derden. Aangezien lokatiegegevens uniek zijn, vallen die makkelijk te koppelen met een gebruiker.”
– Onthult de toepassing aan de ontwikkelaars welke gebruikers gevaar lopen?
DM: “Het doel van het volgen is mensen te waarschuwen die gevaar lopen. Er is dus geen enkele noodzaak voor de ontwikkelaars te weten wie dat zijn.”
– Kan die toep door mensen gebruikt worden om erachter te komen wie besmet is of risico loopt, zelfs in eigen kring?
DM: “Medische gegevens zijn zeer gevoelig. Het digitaal volgen zou degenen moeten waarschuwen die gevaar lopen (zie hierboven; as) zonder te verraden wie hen zou kunnen hebben besmet.”
– Kunnen gebruikers informatie krijgen van medegebruikers?
DM: “Toepassingen zouden geen info moeten geven over de lokatie of netwerken van anderen.”
– Kunnen derden die toepassing gebruiken om gebruikers te volgen of uit te vinden wie besmet is?
DM: “Ontwikkelaars zouden die risico’s moeten kennen. Derden zouden Bluetoothvolgapps kunnen gebruiken om een stad te doorzoeken of kwaadaardige code op telefoons kunnen plaatsen en bijhouden via identificatoren wat mensen doen. Dat zou kunnen worden voorkomen door die regelmatig te veranderen en door identificatoren als de lokaties te heranonimiseren.”
– Moeten er aanvullende maatregelen komen om persoonsgegevens van besmetten mensen die gevaar lopen te beschermen?
DM: “Het appontwerp zou meer persoonsgegevens over besmette en risicogebruikers kunnen verzamelen, maar dat zijn nu juist de mensen die het meest gevaar lopen en kwetsbaarst zijn. Het is belangrijk te overwegen dat extra maatregelen zouden kunnen worden genomen om hun info te beschermen.”
– Hoe kom je erachter dat het systeem doet wat het zegt te doen?
DM: “Het op grote schaal volgen welk contacten je hebt gehad is te gevoelig om blind te vertrouwen. Er zullen technische voorzorgen moeten worden genomen om de betrouwbaarheid van de app te waarborgen. Daarbij is transparantie van code, protocol en dergelijke wezenlijk. Dat vereist dat de appbron openbaar is en dat de versies via vertrouwde appwinkels worden verspreid, waardoor de ontwikkelaars kunnen bevestigen dat ze de publieke, beoordeelbare code gebruiken.”
Deze vragen zijn volgens de onderzoekers het begin. Ze gaan niet over veiligheid van die toepassingen, maar die is minstens zo belangrijk.
AP in Nederland
De autoriteit persoonsgegevens (AP) in Nederland is veel directer. “Lokatiegegevens gebruiken om de overheid te helpen in de strijd tegen het coronavirus is niet volledig onmogelijk, maar kan alleen als daar een wettelijke regeling voor bestaat.” De AP zegt dat de overheid in andere landen gegevens van telecombedrijven gebruiken tegen de verspreiding van het virus. “Ook in Nederland worden dit soort ideeën geopperd, maar dit kan niet zomaar”, zegt AP-voorzitter Aleid Wolfsen.
Volgens de AP zal als de overheid iets buiten de huidige wetgeving wil doen die wet moeten aanpassen. “Met een spoedwet, maar dat moet wel grondig. De democratische controle van het parlement is hier zeer belangrijk”, aldus de AP.
Bronnen: Alpha Galileo, AP