In veel films en series is de protagonist altijd op zoek naar iets, een hoger doel. En het is vaak een barre tocht maar uiteindelijk wordt dit eindstation bereikt en is de film ten einde. Dit gaat natuurlijk gepaard met vele uitdagingen en obstakels want anders zou het geen hogen ogen gooien bij de film critici. Wanneer we de protagonist in dit voorbeeld vervangen met de Nederlandse overheid en het doel vaststellen op “het leveren van een goede en veilige corona-app”, dan is het een geslaagde metafoor. Al zeg ik het zelf. Want dit is vandaag de dag toch wel de vraag op ieders lippen ‘gaat er een corona app komen?’. En zo ja, wie gaat die maken en welke technologie wordt hiervoor gebruikt? Want bij een applicatie op deze schaal dien je met veel zaken rekening te houden. Minister De Jonge van Volksgezondheid is in dit verhaal de hoofdrolspeler. En de filmcritici? Dat zijn wij.

De “appathon” van minister de Jonge

Ga er maar eens aan staan. Een applicatie ontwikkelen die zich in grijs gebied bevindt wat betreft tracking en privacy en die, bij voorkeur, op nationale schaal gebruikt gaat worden. Opeens heb je ruim 17 miljoen opdrachtgevers die weinig zin hebben in dit hele verhaal. Vanuit Rootsec zijn wij best voorstander van het ding, maar niet op de manier waarop het nu gaat. Deze overhaaste en amateuristische aanpak past niet bij een applicatie van deze omvang en impact.

“De enorme haast waarmee het proces werd ingestoken deed op allerlei manieren afbreuk aan een al wankel vertrouwen”, aldus Veilig tegen Corona, een gelegenheidscoalitie van meer dan 45 organisaties en experts.

In een brief aan de tweede kamer liet minister De Jonge weten dat het selectieproces van de (potentieel) te gebruiken corona applicatie inderdaad te snel gegaan was. Het idee was interessant. We houden een soort van hackathon (een appathon) waarbij bedrijven hun idee voor een corona app kunnen insturen. De beste krijgt uiteindelijk de aanbesteding om een corona-app te onwikkelen. Hiervoor ontvingen ze ruim 660 daadwerkelijke voorstellen. Hier bleven er 63 van over. Deze hadden de eerste initiële keuring doorstaan van het ministerie van Volksgezondheid en het RIVM. In zijn brief erkent De Jonge verder dat er bij het selectieproces sprake was van tijdgebrek. De negen expertteams hebben in de eerste ronde de 63 voorstellen beoordeeld, waarbij elk voorstel in principe door twee teams had moeten worden beoordeeld, is dit in 30% van de gevallen niet gelukt waardoor voorstellen die slechts een ‘voldoende’ kwalificatie hadden vergaard alsnog mogelijk door zijn gegaan naar de laatste 10. “Het is daarnaast ook mogelijk dat een voorstel dat door één team negatief is beoordeeld wel is door gegaan naar de volgende ronde, omdat een ander team wel positief was”, aldus minister de Jonge. En aan het einde van de rit heb je dan dus een top 10 waar je nog steeds helemaal niets mee kunt. Uiteindelijk is de appathon op 19 april beëindigd met de constatering dat er al veel is, maar dat er ook nog veel gedaan moet worden en dat geen van de oplossingen op dit moment op alle vlakken voldoet, met name op het gebied van privacy en informatieveiligheid. Na dit fiasco heeft de Jonge zich uitgesproken dat er ook best een mogelijkheid bestaat dat er helemaal geen app komt. Er wordt morgen verder vergaderd in de tweede kamer over de corona-app. Dit belooft een heftig dagje te worden voor de minister van Volksgezondheid. We wensen hem succes.

Ingehaald door onze buren?

Dan kijken we nog even over de grenzen. Wat doen andere landen op het gebied van de app-ontwikkeling en hebben zij de antwoorden die wij klaarblijkelijk niet hebben? De Britse overheid heeft aangekondigd in de komende weken hun eigen bluetooth corona-app te lanceren. Dit heeft de National Health Service (NHS) eind vorige week bekendgemaakt. Hierbij wordt gebruik gemaakt van technologie gebaseerd op onderzoek van epidemiologen, wiskundigen en ethici van de Universiteit van Oxford. Het helpt natuurlijk nogal als je enkele van de beste universiteiten ter wereld in je achtertuin hebt staan. Net als andere corona-apps houdt ook deze app bij hoe dicht de gebruiker bij anderen in de buurt is geweest. Deze gegevens worden in een “anoniem log” op de telefoon opgeslagen. Wanneer gebruikers ‘coronaverschijnselen’ krijgen kunnen ze ervoor kiezen om de app de NHS te laten informeren. Aan de hand van een risicoanalyse kan de NHS vervolgens een anonieme waarschuwing naar personen sturen die in de dagen ervoor met de betreffende gebruiker in contact zijn gekomen.

Ook Duitsland en Australië lanceren hun vergelijkbare apps deze week. Waar er daar nog wel wat commotie is omtrent het opslaan van data, lijken ze verder wel redelijk veel vertrouwen in de applicatie te hebben. Er zijn echter twee hele grote, rode, knipperende vraagtekens bij al deze applicaties.  Beginnende bij Apple. Zij staan namelijk niet toe dat apps die in de achtergrond draaien van bluetooth gebruik kunnen maken. De Duitse overheid ging in overleg met Apple om PEPP-PT op iOS volledig te ondersteunen, maar het techbedrijf weigerde te buigen. Hoeveel macht heb je dan, als je heel relaxed ‘nee’ kan zeggen tegen een van de grootste overheden ter wereld. Best cool. Nu is Apple niet de ‘bad guy’ in dit verhaal. Mocht ook wel eens tijd worden, maar dat terzijde. Nee, Apple weigert deze aanpassingen door te voeren omwille van uw privacy en, laten we eerlijk zijn, uw accu. Als apps die van bluetooth gebruik maken op de achtergrond actief blijven dan heeft dit vergaande implicaties voor uw batterij en privacy. Maar om niet alle leiders ter wereld tegen ze in het harnas te jagen, is Apple momenteel bezig met Google om de techniek te creëren welke overheden vervolgens kunnen gebruiken om hun eigen corona-apps te implementeren. En dit is dan ook precies wat Duitsland gaat doen.

 “Om het gezamenlijke doel  te bereiken zal de Duitse overheid gebruik gaan maken van een gedecentraliseerde softwarearchitectuur die de programmeerinterfaces van Apple en Google gebruikt, die binnenkort beschikbaar komt.”

Bluetooth niet nauwkeurig genoeg

Het tweede probleem is echter net even iets minder gemakkelijk te tackelen. Dit heeft namelijk te maken met de techniek die aan de basis ligt van al deze corona-apps. Namelijk bluetooth. Zo liet bluetooth uitvinder Jaap Haartsen (jazeker, een Nederlander) een duidelijke statement horen: “Bluetooth is niet nauwkeurig genoeg om te worden ingezet voor contactonderzoek naar corona”. En toch vertrouwt elke overheid op Bluetooth als communicatiemiddel tussen telefoons. Bij gebrek aan beter mogelijk? Haarsten legt verder uit: “Met bluetooth kun je bijhouden wie er binnen radiobereik is geweest. Bereik is niet hetzelfde als afstand. Bereik wordt bepaald door het zendvermogen, de ontvangstgevoeligheid, de afstand (ja) en de omgeving (muren, obstakels, reflectoren et cetera). Uit bereik kun je de afstand afleiden, maar dit is niet erg nauwkeurig” Daarnaast kunnen gebruikers op een meter afstand van elkaar staan, maar staat er een muur tussen hen, waardoor er niets aan de hand is.” Kortom, bluetooth kan heel veel bieden voor deze apps, maar de nauwkeurigheid laat enorm veel te wensen over. Dit kan er dan weer toe leiden dat veel gebruikers van de app straks een waarschuwing krijgen dat ze in contact zijn geweest met een corona-patiënt terwijl ze langs een ziekenhuis liepen. Lang verhaal kort, er is nog enorm veel werk aan de winkel. Maar de tijd, alsmede het geduld bij het volk, is er niet. Iedereen wil weer naar buiten en minster de Jonge voelt deze druk als geen ander. Dit gaat nog een flink vervolg krijgen waar wij u uiteraard van op de hoogte zullen houden. Maar tot die tijd horen we graag uw mening in de onderstaande stelling.

Het zo snel mogelijk lanceren van een corona app omwille de volksgezonheid is belangrijker dan eventuele privacy-gerelateerde misconfiguraties in de applicatie.

Bekijk resultaten

Laden ... Laden ...