Een volgapp lijkt een goed middel in de strijd tegen het coronavirus, maar er kleeft een groot aantal risico's aan.
Holt het coronavirus ook de fundamentele rechten en burgerlijke vrijheden uit?
Gaan we in Nederland een verplichte track- en trace-app invoeren om corona te bestrijden op basis van een advies van het zogenaamde ‘outbreakteam’? Als het aan het kabinet ligt wordt deze vergaande maatregel werkelijkheid. Dit op grond van de conclusie van een onderzoek van de universiteit van Oxford, waar op grond van wiskundige modellen de bewegingen en ontmoetingen van mensen in kaart kan worden gebracht. Zo kunnen mensen worden gewaarschuwd, kan de overheid een beter inzicht in de verspreiding van corona krijgen en hier maatregelen op aanpassen. Niets nieuws voor een totalitaire staat als China; maar onacceptabel voor een democratisch land als Nederland, zou je denken.
In China was het te verwachten dat het al ingeburgerde social credit system zou worden ingezet om de corona-uitbraak te bestrijden. De burgers werden gevolgd via ‘track & trace’, het uitgebreide camerasysteem, temperatuursensoren, drones en de WeChat-applicatie op de smartphones. Bij te hoge lichaamstemperatuur werd ingegrepen, mensen in de buurt van die persoon werden gewaarschuwd en in isolatie genomen. Daarnaast worden alle burgers gevolgd om te zien of de burgers zich wel aan de afgekondigde gedragsregels houden. Op overtreding staan strenge straffen. Dit systeem is in meer of mindere mate overgenomen in Israël, Singapore en Zuid-Korea. De situatie in Noord-Korea is mij niet bekend, maar ook hier zal zeer waarschijnlijk een streng regime van toepassing zijn, hoewel er daar waarschijnlijk een mindere mate van ‘smartphonisering’ aanwezig is.
Nu is op Europees vlak een onderzoeksgroep druk doende. In het zogenaamde Pan-European Privacy Preserving Proximity Tracing project (PEPP-PT) werkt de groep aan een pan-Europese tracking-app op basis van bluetooth-omgeving. Deze app is vergelijkbaar met tracking-apps in China, Zuid-Korea, Singapore en India. De onderzoeksgroep wil een privacy bestendige versie ontwikkelen. De 130 deelnemers van PEPP-PT uit verschillende Europese landen beloven dat de app zo minimalistisch mogelijk zal werken. Er mogen geen locatiegegevens worden opgeslagen. Het systeem onthoudt alleen welke twee mobiele telefoons gedurende een bepaalde periode in elkaars nabijheid waren. De opgeslagen gegevens moeten na 21 dagen worden verwijderd. Als een app-gebruiker een infectie meldt, worden alleen de ontmoete contacten geïnformeerd via een pushbericht. Maar hoeveel contacten zijn dat wel niet? En kan de app onderscheiden wat de afstand is geweest tussen de betrokkenen? Of er glas of plexiglas tussen de betrokkenen aanwezig is geweest?
Maar ook met zogenaamde pseudonimisering, in principe anoniem maar als telefoons via bluetooth contact hebben makkelijk te identificeren, kunnen met het juiste algoritme analyses uitgevoerd worden om gegevens alsnog identificeerbaar te maken. En, als alle mensen deze app (en een smartphone!) geactiveerd hebben, is er ook voldoende gelegenheid voor cybercriminelen om deze gegevens te gebruiken als ze niet streng beveiligd zijn. En verder: zal bij deze app worden voldaan aan de harde beginselen van transparantie, minimalisering van gegevensgebruik en informatisering van de burger over de verwerking van die gevoelige data?
Daarnaast is het waarschijnlijk dat de ontwikkeling van de app nog zeker enkele weken lang duurt. Voor de vele tien- tot honderdduizenden genezen patiënten is de app mosterd na de maaltijd wanneer ze lastig gevallen worden met pushberichten van mensen die in hun nabijheid geweest zijn en die corona hebben ontwikkeld. Verder ligt het gevaar op de loer dat de overheid het misschien ook wel handig vindt om op afstand de camera en microfoon in te schakelen zodat de overheid of andere derden kennis krijgen hoe de burger de maatregelen ervaart en, natuurlijk in andere landen dan Nederland, hoe de kritiek de kop kan worden ingedrukt!
Daarnaast heeft Google, overigens zonder de vereiste toestemming aan betrokkenen te vragen, locatiegegevens vrijgegeven die via de apps als tracks en timeline worden verzameld, zodat overheden deze data kunnen gebruiken ter bestrijding van corona. Overigens verzamelt Google nog wel meer gegevens van burgers …
Zover zal het niet komen, de privacywetgeving (AVG – Algemene verordening gegevensbescherming) staat dit immers niet toe. Bovendien betreft het medische, dus extra gevoelige, gegevens die zonder toestemming sowieso niet door derden mogen worden verwerkt. Maar als de nood aan de man is, zeker als de noodtoestand wordt afgekondigd, bijvoorbeeld in het kader van bescherming van de volksgezondheid, is de AVG niet meer in zijn volledigheid van toepassing.1
Sluipenderwijs kunnen fundamentele rechten door de overheid worden beperkt. Zonder dat we dat als fundamentele inperking zien, kunnen onder deze omstandigheden vrijheid van verkeer van personen, vrije handel en zelfs vrijheid van meningsuiting worden beperkt.
Ook op de informatieverstrekking door de overheid aan de burger, wordt de hand aan de knip gehouden. Zoals ik in een vorige bijdrage heb aangegeven, verstrekt de overheid mondjesmaat gegevens over het verloop van de besmettingen, genezen patiënten en effecten van de ziekte op de fysieke en psychische staat van de burger.
Daarnaast is er sprake van journalistieke zelfcensuur. Dit heb ik, als ervaringsdeskundige, persoonlijk ervaren. In een vraaggesprek met een vertegenwoordiger van de papieren media gaf ik aan dat er wel degelijk fysieke effecten op het ademhalingsstelsel en hartfunctioneren zijn na directe genezing van het virus. Na consultatie door de journalist van een niet nader genoemde huisartsenpost werd de journalist door de huisartsenpost aangeraden hier niets over te publiceren aangezien dit soort berichten de angst onder de burgers zou vergroten.
Dus liever geen belangrijke informatie over de negatieve aspecten na genezing. Nee, dan positieve cijfers over het aantal patiënten op de intensive care en gestorvenen, dat helpt een positieve geest onder de bevolking te bevorderen. En nog steeds geen cijfers over genezingen en positief effect van immuniteit. En de mogelijkheid van pushberichten over nabije coronapatiënten zal de gerustheid onder de bevolking ook niet direct aanwakkeren. En hoe lang zal het duren voordat deze (fictieve) noodtoestand zal voortduren in de verschillende landen? Zullen cameratoezicht, track& trace van telefoons, temperatuursensoren, inzet van drones, et cetera worden opgeheven met het (tijdelijk) verdwijnen van het virus?
Voor de ouderen onder ons: het ‘kwartje van Kok’ hebben we ook nooit terug gekregen…
In Duitsland is inmiddels in het parlement een discussie gaande om de overheid smartphones te laten volgen, waarbij wel de keuze wordt gegeven aan de burger om de app wel of niet toe te passen. Dat zou in Nederland ook dienen te gebeuren. Slechts op basis van vrijwilligheid kan dit soort vergaande inbreuken op de privacy worden toegepast, met toestemming van de betrokkene. Overigens is de toegevoegde waarde van de app zeer beperkt. Een aanrader als de app onverhoopt toch verplicht wordt ingevoerd: laat uw telefoon lekker thuis liggen.
Rob van den Hoven van Genderen is hoogleraar AI & Robotlaw aan de universiteit van Lapland en voorzitter van de Nederlandse Vereniging voor Artificiële Intelligentie en Robotrecht (NVAIR)
1 Artikel 23 AVG, beperkingen: e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
Tien tamelijk apodictische stellingen zijn door Bits of Freedom aangespijkerd aan het Catshuis, zij moeten het al bestieren, worden als grondbegrippenkader gehanteerd. http://www.veiligtegencorona.nl/
Laat ik, als Freischwebende Intelligenz de mijne eens hier aanspijkeren.
1) het is aandoenlijk hoe tout academisch nederland zich op de privacy stort, na jaren verwaarlozing en lekker bijverdienen bij de groot-ICT
2) ALLE, LETTERLIJK ALLE PERSOONSGEGEVENS VAN ALLE NEDERLANDERS LIGGEN AL IN COPIE BIJ TIENTALLEN (SEMI)OVERHEIDSINSTANTIES. Dat circus wordt dagelijks up to date gehouden. Zit in een normaal regime, met veiligheidswaaarborgen etc.etc. M.i. verre van optimaal maar een fact of life, en weinig aan de hand.
3) Google, Apple, Facebook hebben een ongecontroleerde bevolkingsboekhouding van alle Nederlanders die ooit bij een dienst van ze zijn langs geweest. Iedere geografische plek, mail, document, zoekvraag, webhistorie, etc.etc. ligt daar vast. Men weigert nu om info te verstrekken en ik hoor de politiek niet klagen, noch over de privacy, noch over het uitblijven van info.
4) ik hoor ook niemand een vraag formuleren aan de grote bedrijven om iets van de financiele waarde die die gegevens voor hen vertegenwoordigen, over te maken aan de eigenaren in deze barre tijden
5) als we “iets” willen is het een taak van de overheid om veiligheid en privacy te regelen. Dat is democratisch het beste en blijkt te werken (zie het ultieme wapenfeit in de Eerste Kamer rond het EPD. http://www.eerstekamer.nl/behandeling/20100705/gewijzigde_motie_tan_pvda_c_s_over_2/document3/f=/vigqb19gtzk3.pdf)
6) de overheid kan heel goed garanderen dat gegevens gewist worden en een systeem ophoudt te bestaan, mits dat ook binnen de regelgeving is gebracht.
7) een overheid is het beste toegerust om centrale oplossingen te regisseren. Afgeleid profiteert de burger daar dus van. Dat er nu tien stellingen aan het Catshuis worden gespijkerd die een postmodern wantrouwen in de overheid weerspiegelen op hetzelfde niveau als mensen het Rijksvaccinatieprogramna boycotten zegt meer iets over cultuur dan inhoud.
8) het is helemaal niet nodig persoonsgegevens of andere identificerende gegevens “in klare taal” op te slaan. Gegevens kunnen prima onder pseudoniem worden opgeslagen en alleen wanneer ze beantwoorden aan vooraf bepaalde normen en criteria, naar “klare taal” worden terugvertaald. Dus alleen de gegevens die passen binnen de kaders van het beleid, worden op enig moment weer hergebruikt voor een actie zoals het waarschuwen.
9) met big data toepassingen kunnen pseudoniemen met veel moeite weer aan elkaar gehengeld worden tot waarschijnlijkheidsprofielen, dus moet er stringent beheerd worden OP EEN CENTRALE OMGEVING.
10) Als het vrijwillig moet, kan een opt-in structuur garanderen dat niemand ongewenst in een zwart gat wordt getrokken. Misschien ook iets voor wetgeving op het gebied van social media.