Zouden Apple en Google wel de baas moeten zijn van de corona-apps?

Beste,

Een van de leukste dingen van journalistiek onderzoek is dat je geregeld je eigen vooroordelen tegen het licht moet houden. Toen de eerste plannen voor contact tracing-apps opdoken, was ik aanvankelijk bezorgd over de privacygevolgen ervan. Deze apps houden immers bij met wie je in contact bent geweest en dit soort surveillance kan gemakkelijk ontsporen.

En ik was zeker niet de enige met die zorgen. Sterker nog, het verbaasde me dat privacyzorgen zo centraal stonden in de discussie over het soort app dat in Nederland, maar ook daarbuiten, ontwikkeld moest worden. Nota bene Google en Apple kwamen daar in april nog eens overheen met een heel goed voorstel.

Er waren problemen met het gebruik van bluetooth − de meest betrouwbare manier op dit moment om afstand tussen mensen te meten, en dus om te zien of ze in contact zijn geweest met elkaar. Google en Apple stelden daarom voor een meetfunctionaliteit in te bouwen in het besturingssysteem van smartphones. De metingen hiervan zouden geheel anoniem zijn en opgeslagen worden op de smartphones zelf. Een select aantal instanties zou gebruik mogen maken van deze nieuwe functionaliteit, waarbij de identiteit en locatie van gebruikers nooit bekend worden gemaakt.

Vanuit een privacystandpunt is dit een goed ontwerp. Althans op het eerste gezicht. Maar sinds kort twijfel ik er toch over.

Ten eerste zijn er de zorgen van Jaap-Henk Hoepman, privacydeskundige en cryptograaf aan de Radboud Universiteit in Nijmegen. Als deze functie wordt ingebouwd in het besturingssysteem, lopen we het risico dat ze permanent wordt. Dat schept weer nieuwe gevaren. Op zijn blog legt Jaap-Henk Hoepman helder uit wat zijn bezwaren zijn.

Als deze meetfunctionaliteit wordt ingebouwd in het besturingssysteem, lopen we het risico dat ze permanent wordt

Daarnaast las ik een kritisch rapport Lees: ‘Digital Contact Tracing for Pandemic Response’. van bijna dertig onderzoekers van de Johns Hopkins University. Ze maken een sterke zaak dat de aanpak van Google en Apple weliswaar prima is vanuit privacyperspectief, maar niet vanuit het perspectief van de mensen die deze pandemie moeten bestrijden. Google en Apple zorgen er met hun methode voor dat maar heel weinig data beschikbaar zijn, maar tegelijkertijd zijn die data hard nodig.

Locatiegegevens zijn bijvoorbeeld belangrijk bij handmatig contact tracing-onderzoek, iets wat nu op veel grotere schaal in Nederland plaatsvindt. Deze gegevens zijn nodig om mensen op te sporen die geen app gebruiken. Of om het geheugen van geïnfecteerden te helpen. Of om epidemiologisch onderzoek te ondersteunen.

Saillant is ook dat Google en Apple de functionaliteit geen ‘contact tracing’ meer noemen, maar ‘exposure notification’. Het doel van de technologie is dus veranderd, waardoor ze mogelijk minder bruikbaar is voor haar oorspronkelijke doel: het gericht kunnen opsporen van mogelijk besmette mensen.

Daarbij, schrijven de auteurs van het rapport, hebben Google en Apple nu één oplossing bedacht voor de hele wereld. Daarbij houden zij geen rekening met veranderende omstandigheden, zoals dat er meer bekend wordt over hoe de ziekte zich verspreid, of eventuele mutaties van SARS-CoV-2. Ook wordt geen rekening gehouden met verschillen tussen regio’s. Er zijn bijvoorbeeld sterke aanwijzingen dat familiestructuur - leven verschillende generaties bij elkaar - een rol speelt in de verspreiding van het virus. Dat zijn factoren waarmee rekening gehouden moet worden met contact tracing.

Deze spanning tussen techbedrijven en medici legt een interessant inzicht bloot, dat eigenlijk een open deur is, maar dat we toch vaak vergeten. Privacy is slechts één van de waarden die belangrijk zijn in het ontwerp van dit soort technologie. Er zijn ook nog andere waarden in het spel, zoals efficiëntie, effectiviteit, solidariteit en gelijkwaardigheid.

Ook andere vormen van informatievergaring, zoals verzamelen van locatiegegevens kunnen zeer privacyvriendelijk worden ingericht, bijvoorbeeld door ook deze informatie op de telefoon te houden. Daarbij wordt ook meer tegemoetgekomen aan andere waarden. Mogelijk zullen veel mensen met plezier hun locatiegegevens delen met een autoriteit die zij vertrouwen, als daarmee het algemeen belang wordt bediend. Of zoals de onderzoekers schrijven: ‘Technologiebedrijven zouden niet in hun eentje de voorwaarden van contact tracing moeten bepalen, noch zouden ze moeten aannemen dat zij alleen weten wat acceptabel is voor het publiek.’

Om eerlijk te zijn, ik weet niet zeker wat hier de doorslag zou moeten geven. Ja, er zou meer democratische controle moeten zijn op dit soort belangrijke beslissingen. Twee bedrijven zouden niet in grote lijnen de technologie moeten bepalen of beperken hoe landen deze pandemie kunnen bestrijden. Tegelijkertijd is er haast geboden en is de oplossing van Google en Apple zo slecht nog niet, vanuit het oogpunt van privacy althans.

Wat denk jij?

Lekkende apps en systemen

Om de discussie nog wat moeilijker te maken, heeft mijn collega Morgan Meaker enkele incidenten op een rij gezet waarbij het misging met data. Vooral de lekken van gegevens van patiënten of mensen die quarantaineregels hadden overtreden leidden tot veel problemen.

• 🇵🇰 Een van de mensen van wie de gegevens gelekt werden, was de Pakistaanse Yahyah Jaffery. Zijn foto en huisadres werden verspreid via sociale media. Hij zou de eerste patiënt van Pakistan zijn. ‘Mijn foto ging rond op sociale media en ik werd een paria’, zei hij tegen lokale media. Lees meer bij Tribune. Ook lekte er een Excelbestand Balochistan Voices: ‘Private Data of Coronavirus Patients Leaked in Balochistan’. met namen, telefoonnummers, leeftijden en adressen van patiënten die positief waren getest in Balochistan, een provincie in Pakistan.
• 🇲🇪 In Montenegro lekten de identiteit en foto’s uit van twee mensen die covid-19 hadden opgelopen. Dat leidde tot veel online haat, mede vanwege hun etniciteit en geloof. Bij Balkan Insight lees je hier meer over.
• 🇮🇳 De regionale overheid van de Indiase staat Bengaluru publiceerde de namen van 20.000 mensen die in zelfisolatie moesten wegens verblijf in het buitenland. Dat besluit werd genomen omdat veel teruggekeerden zich niet aan de quarantaineregels hielden. Bangalore Mirror: ‘Government publishes details of 19,240 home-quarantined people to keep a check’.
• 🇷🇺 In Rusland lekten ziekenhuizen en politiebureaus patiëntdata. In de Siberische stad Barnaul lekte de identiteit van de eerste covid-19-patiënten uit op VK, het Russische Facebook. Gebruikers eisten dat ze werden gestraft, omdat de patiënten net uit het buitenland waren teruggekeerd. Lees meer hierover (in het Russisch) bij dit Russische medium.
• 🇧🇦 En in maart publiceerde Lees meer bij Klix. de Bosnische republiek Srpska de volledige namen en woonplaatsen van de eerste dertig personen die de quarantaineregels hadden overtreden.

Dan nog enkele leestips

Facebook heeft een collectie van 100.000 deepfakes vrijgegeven, Meer over het initiatief van Facebook lees je bij Technology Review. oftewel: video’s die met kunstmatige intelligentie zijn gemanipuleerd of vervaardigd. Hiermee wil het bedrijf grondstof bieden om modellen te trainen die deepfakes kunnen opsporen. Eerder dit jaar maakte ik samen met Sahra Mohammed deze mooie productie ‘VIDEO: JE GELOOFT JE OGEN NIET! (En da’s maar goed ook).’ over deepfakes.

Met de coronacrisis kregen de complottheorieën over het 5G-netwerk een flinke impuls. Covid-19 zou bijvoorbeeld door zendmasten worden verspreid. In The Conservation buigt een aantal experts The Conversation: ‘Four experts investigate how the 5G coronavirus conspiracy theory began’. zich over de vraag waar deze complottheorieën vandaan komen en hoe ze zich verspreiden.

En als vader van twee jonge kinderen heb ik met verbazing deze reconstructie van de NOS gelezen NOS: ‘Hoe twee vragen op een artsencongres tot sluiting van alle scholen leidden’. over waarom de scholen nu eigenlijk zijn gesloten toen de coronacrisis in Nederland uitbrak.

Tot slot: lees ook de Engelstalige nieuwsbrief Aboneren kan hier van het Track(ed) Together-project, geschreven door Morgan Meaker, met nog meer achtergronden over surveillance en de coronacrisis.