300 wetenschappers uit 27 landen waarschuwen voor privacyproblemen met corona-apps

300 wetenschappers hebben een tekst opgesteld waarin ze waarschuwen voor privacyproblemen bij zogenaamde contact tracing apps. Zo’n app zou moeten helpen om te achterhalen wie met wie contact heeft gehad zodra bij iemand corona wordt vastgesteld en zo een nieuwe virusuitbraak voorkomen. Het gaat om wetenschappers uit 27 landen, onder wie 16 Belgen, hoofdzakelijk met expertise in privacy en security. Ze begrijpen dat landen op zoek zijn naar een app die de verspreiding van het virus kan tegenhouden, maar vrezen dat technologische ‘oplossingen’ kunnen leiden tot ongeziene surveillance. 

Volgens de wetenschappers zijn apps die een beroep willen doen op het verzamelen van locatiegegevens geen optie. Om verschillende redenen. Eén: de data zijn niet specifiek genoeg en leiden dus tot meer onduidelijkheid. Twee: de privacy kan niet gewaarborgd worden. “Locatiedata zijn niet te anonimiseren”, zegt Bart Preneel, woordvoerder van het initiatief.

Daarom wordt er met veel aandacht gekeken naar de Bluetooth-technologie. Twee smartphones waarvan de Bluetooth geactiveerd wordt kunnen een contact registreren zodra ze zich op minder dan 1,5 meter van elkaar bevinden. Er is op die manier geen locatiedata vereist.

Maar ook Bluetooth-technologie is niet waterdicht, zegt Preneel, die zelf meewerkt aan een gedecentraliseerde oplossing, het zogenaamde DP-3T initiatief. “Het is belangrijk om enkel decentrale oplossingen te overwegen”, zegt Preneel. Wat hij daarmee bedoelt? Volgt u even: zodra iemand positief test moet de smartphone contact maken met een centrale server. Die centrale server zal dan een bericht sturen naar allen mensen met wie de besmette persoon contact heeft gehad. Een bericht in de trend van: “Wees voorzichtig, u hebt afgelopen week contact gehad met iemand die positief testte op Covid-19"

Dat betekent dat op de centrale server heel wat gevoelige informatie passeert. “Niet alleen over wie besmet is, maar ook over wie niet besmet is”, zegt Preneel. Het is volgens hem en de 299 andere wetenschappers daarom van vitaal belang dat de centrale server enkel sleutels kan opslaan, maar niet de informatie zelf. “Die blijft op de smartphone staan. Niemand heeft daar toegang toe.”

“Op die manier kan noch de overheid, noch een private speler op de een of de andere manier die gegevens voor andere doeleinden gebruiken”, zegt Preneel. In vaktaal: enkel apps die gebouwd worden met privacy by design, of waar privacy ingebakken zit, zijn volgens de wetenschappers een optie. “In het andere geval spreek je van privacy by trust”, zegt Preneel. “Dan moet je de overheid zo’n databank toevertrouwen.”

In de open brief benadrukken de wetenschappers dat het gebruik van de app op vrijwillige basis moet gebeuren. “Het zal aan de overheid zijn om goed uit te leggen hoe de app werkt om het vertrouwen van de bevolking te winnen”, zegt Preneel. Het spreekt voor zich dat alle data verwijderd moeten worden en de app helemaal moet kunnen worden afgesloten zodra de crisis voorbij is.

De wetenschappers verwijzen in hun tekst ook naar het initiatief van techgiganten Apple en Google die hun smartphoneplatformen willen openstellen voor bepaalde corona-apps. “Dat is een goede zaak”, zegt Preneel. “Tot voor kort konden apps bij Apple in de achtergrond geen gebruik maken van Bluetooth, dat zouden ze voor een aantal apps willen aanpassen. Apple en Google zullen geen toegang krijgen tot de database, maar alles versleutelen.”