Corona-app moet ons uit quarantaine krijgen, maar hoe werkt zoiets precies?

Een traceer-app moet ons leven na de coronacrisis helpen opstarten. Maar hoe werkt de technologie? En wat gebeurt er met onze gegevens? ‘Dit is fundamenteel hoor.’

Een tikje bevreesd werd er eerst nog gekeken naar Azië, waar burgers via apps worden gevolgd in de strijd tegen het coronavirus. Maar toch bekijkt ook ons land – net als Oostenrijk, Duitsland, Nederland en het Verenigd Koninkrijk – de mogelijkheden van zo’n app , al zal het een privacyvriendelijke variant worden. Het virus is te snel en ongrijpbaar voor een intensief, handmatig contactonderzoek. Met digitale assistentie kan de lockdown gericht worden, hoeven alleen mensen binnen te blijven die besmet zijn of in aanraking zijn geweest met coronapatiënten. Zo’n corona-app kán op een privacyvriendelijke manier, al kiezen sommige landen toch voor centrale opslag van data. Vijf vragen.

1. Hoe werkt de corona-app?
In verschillende Aziatische landen – Zuid-Korea, Singapore, Taiwan, China – maar ook Oostenrijk worden al apps gebruikt, Duitsland en het Verenigd Koninkrijk testen nog. De techniek wijkt hier en daar af, maar de kans is reëel dat ons land opteert voor een app die op basis van bluetooth werkt: telkens als je telefoon in de buurt is van het toestel van anderen, volgt er een korte digitale begroeting, waarbij de telefoons enkele gegevens uitwisselen. ‘Als jij dan later besmet blijkt met het coronavirus, krijgt iedereen die een bepaalde periode in jouw buurt was een bericht met die mededeling,’ zegt Bart Preneel, professor cybersecurity aan de KU Leuven en mede-ontwikkelaar van een privacyvriendelijke corona-app. En dan is het niet van: je bent gisteren in contact geweest met Bart Jansen bij het station. ‘Het is anoniem, je krijgt de melding dat je enige tijd in de buurt was van iemand die besmet is.’
Anders dan Google en Facebook werkt de corona-app volgens dat model niet met locatiegegevens op basis van gps en wifi, maar met bluetooth. Preneel: ‘Dat is nauwkeuriger.’ Maar het is niet foutloos: als jij aan de andere kant van een winkelruit staat, sta je wel in elkaars buurt, maar besmet je een ander natuurlijk niet.

2. Maar werkt zo’n app?

Zoals alles in de coronacrisis is het pionieren. Het virus is nog jong, de bestrijding gebeurt op de tast, overheden proberen, schaven bij, corrigeren. Onderzoekers van vermaarde universiteiten als Oxford en het Imperial College wijzen op de noodzaak van traceer-apps (mits privacyvriendelijk) om het snelle virus te kunnen bijbenen, maar de exacte effectiviteit zal zich de komende weken en maanden moeten bewijzen. Als je op tijd besmette mensen kunt isoleren en hun contacten waarschuwt, helpt dat bij de controle van de uitbraak. Maar onduidelijk is nog hoeveel mensen minstens de applicatie moeten gebruiken voordat het werkt, zegt hoogleraar theoretische epidemiologie Hans Heesterbeek (Universiteit Utrecht): ‘Daar wordt nog aan gerekend. Je moet ook een goede vertegenwoordiging hebben over het hele land, qua leeftijd, contacten en kring.’

In Singapore is ‘TraceTogether’ (niet verplicht) inmiddels zo’n miljoen keer gedownload (de stadstaat telt een kleine zes miljoen inwoners). En dus waarschuwt een minister daar: voor effectief gebruik moet zeker driekwart van de mensen de app gebruiken. En dat wordt nog een hele kluif, misschien ook omdat de traceer-app de accu nogal snel leegslurpt, zoals verschillende gebruikers online klagen.

Britse onderzoekers becijferden eerder dat minimaal 60 procent van de inwoners de app moeten gebruiken wil hij een effectief wapen zijn.

3. Is elk toestel geschikt voor de app?

In Singapore kwamen ze er al achter: op Android werkt TraceTogether prima, maar op iPhones niet. Zodra andere apps worden opgestart, wordt de corona-app in een soort slaapstand gezet en is die dus feitelijk onbruikbaar. Apple doet dit bewust: het bedrijf wil niet dat apps op de achtergrond constant bluetooth-signalen uitzenden. Begrijpelijk uit privacy-oogpunt, maar nu onhandig. Bart Preneel hoopt op de hulp van Apple: ‘Het bedrijf zou voor deze specifieke corona-apps een uitzondering moeten maken.’

4. Wie controleert de meldingen?

Als iedereen in zijn app kan melden dat hij besmet is, maakt dat het systeem kwetsbaar voor nepmeldingen van grappenmakers. Vandaar dat alle initiatieven controle door een officiële medische instantie inbouwen. Alleen: daar doemt opnieuw de privacy-vraag op, zegt Preneel. Het is noodzakelijk om een controle te laten plaatsvinden, maar hiervan komt geen persoonlijke informatie in een database terecht. Als daadwerkelijk besmetting is vastgesteld, krijgt de telefoon een code waarmee een ‘alarmmelding’ naar buiten in werking wordt gezet.

Van niet-besmette mensen wordt hoe dan ook niets opgeslagen, ook geen anonieme cijferreeksen, zoals in Singapore wel gebeurt. Van besmette mensen alleen een sleutel die niet te herleiden is tot een persoon.

5. Wat vinden experts en privacyclubs van de app-plannen?
Dat laat zich deels raden. Privacybelangenorganisaties hameren erop dat de mobiele app niet verplicht mag zijn en aan alle privacy-eisen moet voldoen. In Nederland zegt waakhond Autoriteit Persoonsgegevens zegt de nieuwe technologie te zullen controleren, maar ook de club van Preneel is argwanend. Dat zit zo: in zijn ideale en online veel gedeelde model voor de app wordt de bluetooth-data versleuteld en de gegevens alleen lokaal bewaard. Ze komen niet in een overheidsdatabase. ‘Maar we zien ook dat binnen de koepel Pepp-PT (een Europees initiatief waarin wetenschappers, overheden en technologiebedrijven samenwerken om een effectieve corona-app te maken, red.) toch stemmen opgaan voor centrale opslag van data, om de epidemie beter te kunnen volgen, om zieke mensen wellicht te controleren of ze wel thuis blijven. Dat vinden wij riskant: overheden zijn geneigd gegevens langer te bewaren en na zo’n crisis ook geen afscheid te nemen van het systeem. Dat wil je niet. Dat nu ook sommige overheden neigen naar dat centrale model maakt ons bezorgd. Ik hoop dat België, Nederland en Zwitserland niet op die tour gaan, dat moeten we niet willen.’

IT- en privacy-expert Jaap-Henk Hoepman (Universiteit Groningen en Radboud Universiteit Nijmegen): ‘Dit is fundamenteel: vinden we het normaal dat we mensen continu gaan volgen? Of kiezen we de variant dat we die gegevens bij gebruikers laten? Misbruik ligt anders op de loer. De makkelijkste: stel er is een moord gepleegd, waarom zou de overheid niet even spieken in de corona-app wie allemaal in de buurt van het slachtoffer was?’

(AD/VK)