Met het bereiken van de top van het aantal besmettingen met het nieuwe coronavirus, wordt er langzaam ook al nagedacht over de volgende fase. Een nieuw testbeleid -met meer testen, traceren en monitoren- is daar een belangrijk onderdeel van. Dat zal bijdragen aan het slim kunnen afbouwen van de “intelligente lockdown” en daarna ook aan het onder controle houden van het virus met meer gerichte maatregelen.
Twee apps voor alle Nederlanders kunnen in dat nieuwe testbeleid volgens het OMT (outbreak management team) en de minister van Volksgezondheid een belangrijke rol gaan spelen. Een app om de ‘contacten’ van een geïnfecteerd persoon (de mensen waarbij iemand in de buurt is geweest) te traceren en een app om je gezondheid te monitoren als je thuis in quarantaine zit. In dit artikel wil ik inzoomen op de contacten traceer-app (contact-app). Wat zijn voor die corona-app de mogelijkheden van Bluetooth Low Energy (BLE) en hoe kan privacy al in de ontwerpfase meegenomen worden?
App voor COVID-19 bron- en contactonderzoek
Bij een intensiever testbeleid hoort ook intensiever bron- en contactonderzoek. In het noorden van Nederland lukt dat nog, maar in Noord-Brabant is het aantal besmettingen nog dusdanig hoog dat de plaatselijke GGD daar niet voldoende capaciteit voor heeft. Een slimme app die je installeert op je telefoon kan -als er voldoende andere app-gebruikers zijn- de contactonderzoeken van de GGD vervangen of aanvullen.
Deze smartphone app (of smartwatch app) houdt op een veilige manier bij welke telefoons je tegen bent gekomen de afgelopen paar weken. Ben je in contact (of in de buurt) geweest van een andere gebruiker die besmet blijkt te zijn, dan ontvang jij daarvan een seintje. Op basis hiervan kan je dan direct 2 weken in thuisquarantaine gaan voor het geval dat je zelf mogelijk ook geïnfecteerd bent geraakt.
Na een oproep van de overheid zijn er in eerste instantie ongeveer 660 voorstellen bij haar binnengekomen van bedrijven die de coronavirusapp kunnen of willen ontwikkelen en/of leveren. Na een eerste selectie is dit aantal teruggebracht tot 63. Hiervan worden momenteel 7 voorstellen kritisch bekeken door experts (zie ook de appatathon coronavirusapp dag 1 en dag 2 live-streams) en de Autoriteit Persoonsgegevens. Met een maatschappij die vrijwel compleet stil ligt is er -begrijpelijk- haast met allerlei soorten oplossingen. Volgens experts kan die haast aan de andere kant ook een negatieve invloed hebben op het resultaat.
Techniek: Bluetooth Low Energy (BLE)
Om te bepalen bij wie je in de buurt bent geweest heb je niet perse GPS nodig. Met de draadloze technologie Bluetooth is een betere oplossing te realiseren die de privacy beter kan garanderen en daarnaast ook minder batterijverbruik heeft. De meeste nieuwe smartphones bevatten hardware en software voor Bluetooth Low Energy (BLE). Dit wordt bijvoorbeeld ook gebruikt om activiteiten van je sporthorloge te synchroniseren met je smartphone.
Bluetooth koppeling bij een sporthorloge
Om uit te leggen hoe een app voor contactonderzoek gebruik kan maken van Bluetooth is het handig om eerst even naar het gebruik van bijvoorbeeld een sporthorloge te kijken. Voordat je activiteiten van je sporthorloge draadloos kan downloaden moet je smartphone eerst je horloge vinden en daarmee koppelen. Het vinden van apparaten via Bluetooth wordt ook wel ‘scannen’ genoemd. Als je smartphone aan het scannen is op Bluetooth devices, dan kan deze het signaal met een uniek nummer -en soms een korte naam, zoals bij mij thuis “Forerunner 620”- oppikken dat je horloge af en toe verstuurt. Je smartphone laat zien welke Bluetooth devices er zijn gevonden. Vervolgens kies je met welk device (het horloge in dit geval) je wilt ‘koppelen’. Meestal moet je dan een code invoeren die op het horloge getoond wordt. Op die manier kan niet zomaar iemand anders koppelen met jouw horloge.
Bluetooth zonder te koppelen
De corona-app die moet bijhouden bij wie je in de buurt bent geweest hoeft niet te koppelen met de telefoon van iemand anders. Er hoeven namelijk geen gegevens uitgewisseld te worden. Het is voldoende als deze app het unieke nummer van een Bluetooth device dat in de buurt is geweest ziet en onthoudt. Elke smartphone met deze app zal niet alleen scannen op die signalen, maar dus ook zelf een uniek nummer uitzenden wat anderen weer kunnen detecteren. Voor dit doeleinde hoeft ook geen (herkenbare) naam -zoals “iPhone Ralf” uitgezonden te worden.
Filteren en andere logica
Het bereik van BLE kan tientallen meters zijn, maar de apps die hiervoor gebruikt of gemaakt zullen worden, zullen ongetwijfeld ook moeten filteren om te voorkomen dat mensen onterecht als contact worden aangemerkt. Hiervoor kan het toestel bijvoorbeeld bij elk contact ook bijhouden hoe sterk het signaal was (wat iets kan zeggen over de afstand tussen jullie) en hoe lang het andere toestel binnen bereik was. Op basis hiervan -en waarschijnlijk ook andere logica- kan zo goed als mogelijk bepaald worden of het relevant is om de app-gebruiker te informeren over het contact met een besmet persoon.
Technische belemmeringen
Ongetwijfeld zijn er nog technische belemmeringen, zoals het uitzenden van een nummer als de app op iOS in de achtergrond draait. Met de inzet van de leveranciers van smartphone besturingssystemen, zoals Apple en Google, verwacht ik echter dat die technische beperkingen ook opgelost kunnen worden.
Privacy by design
Laten we voorop stellen dat het doel van de apps alleen is om het virus onder controle te krijgen en te houden totdat er een vaccin is. De overheid heeft er alle belang bij dat dit slaagt. Dus de informatie (als ze er al over zouden kunnen beschikken) gebruiken voor andere doeleinden zou afbreuk doen aan het draagvlak en het doeleinde ondermijnen. De minister geeft daarom ook duidelijk aan dat het waarborgen van de privacy essentieel is. Het uitgangspunt voor de coronavirusapp is dan ook dat deze anoniem moet functioneren en dat gegevens niet gedeeld worden met anderen, zoals de overheid.
Bij het bedenken en ontwerpen van de beste oplossing moet dus ook continu privacy meegenomen worden. Dat wordt ook wel “privacy by design” genoemd.
Voor deze app geldt qua privacy o.a.:
Bewaar zo min mogelijk centraal op een server
Bewaar de informatie (op toestel en op server) niet langer dan noodzakelijk
Voorkom volgen van het Bluetooth ‘nummer’ door anderen
Wat is het risico van een datalek?
Als het gaat over veiligheid, waar privacy een onderdeel van is, dan gaat het altijd over 2 aspecten: de kans dat het misgaat, en de impact als het gebeurt.
Door de gegevens (zoals anonieme apparaat-nummers van gedetecteerde contacten) versleuteld op te slaan verklein je de kans dat gegevens (leesbaar) uitlekken. Als je daarnaast zoveel mogelijk gegevens op het toestel laat staan (en niet uploadt naar een centrale server), dan is de impact van een verloren toestel vele malen kleiner dan bijvoorbeeld een verloren backup van de server. Op jouw toestel staan namelijk alleen de gegevens van jouw contacten en niet van alle Nederlanders.
Door alle gegevens op je toestel en/of op de server niet langer te bewaren dan noodzakelijk wordt de impact van een datalek ook verkleind. I.v.m. de incubatietijd (en de snelheid waarmee hopelijk getest gaat worden) hoeven de gegevens voor bron- en contactonderzoek maar maximaal een paar weken bewaard te blijven.
Kan de overheid (of iemand anders) me volgen?
Door gegevens lokaal te houden wordt het lastig voor de overheid (of anderen) om te volgen met wie je contact hebt gehad of waar je bent geweest. Toch zou je nog gevolgd kunnen worden op basis van het getal wat de contact- & traceer-app op je telefoon via BLE uitzendt. Bijvoorbeeld door winkels die terugkerend bezoek in kaart willen brengen door te kijken of hetzelfde nummer vaker aanwezig is.
Ook hier is een oplossing voor, door het nummer wat uitgezonden wordt elke paar minuten te veranderen. Je kan dit niet zomaar veranderen in willekeurige getallen, want dan wordt het onmogelijk om -zodra iemand besmet is geraakt- te kijken of jij het nummer van die persoon bent tegengekomen. Door het getal wat verstuurd wordt elke dag met een andere sleutel te versleutelen verandert het getal voor anderen elke dag in iets wat willekeurig lijkt.
Is iemand vervolgens positief getest op het COVID-19, dan moeten zijn of haar sleutels (alleen van de besmettelijke periode) gedeeld worden met de contact-apps van anderen. Zo kan elke contact-app met die sleutels kijken of het toestel van de besmette persoon in het lokale lijstje van gescande (en versleutelde) nummers staat. Zo kan met slimme protocollen en encryptie worden voorkomen dat iedereen gevolgd wordt. Voor wie benieuwd is; de protocollen die erg ver zijn met privacy zijn o.a. het PACT protocol, DP-3T, TCN (voorheen CEN) en Apple/Google Contact Tracing.
Vertrouwen: Open source, vrije licentie & onafhankelijk
Wat mij betreft zou de beste oplossing zijn als dit open source ontwikkeld zou worden en onder een licentie die bepaalt dat afgeleide werken ook open source moeten zijn. Bij open source software kan het publiek namelijk zien hoe de contact-app geprogrammeerd is. Dat biedt tot op zekere hoogte de mogelijkheid om te controleren hoe de app privacy en kwaliteit waarborgt. Ook kunnen zo suggesties van experts sneller meegenomen worden. Een vrij licentie die toestaat dat andere ontwikkelaars afgeleide contact- & traceer-apps hiervan kunnen maken, biedt andere landen de mogelijkheid om ook deze vorm van privacy-vriendelijk traceren in te zetten.
Voor optimaal vertrouwen zou de ontwikkeling en het beheer van de app en serveromgeving misschien ook uitgevoerd moeten worden door (of onder regie van) een onafhankelijke stichting. Deze zou dan ook actief moeten samenwerking met Autoriteit Persoonsgegevens.
Als de overheid zich maximaal inspant voor een privacy-vriendelijke, veilige en degelijke oplossing, dan installeer ik met vertrouwen deze app om zo de verspreiding van het nieuwe coronavirus in te dammen. Hopelijk kun je de informatie in deze blogpost gebruiken om t.z.t. te beoordelen of je de app wel of niet wilt installeren.