Vertrouwen

Een weerkerende factor in de afweging die diverse Europese landen hebben gemaakt ten aanzien van smartphone apps bij de ondersteuning van het bron- en contactonderzoek, is het vraagstuk van digitale soevereiniteit. Sowieso een buzzword in het Brusselse, maar de COVID-19-crisis legde het haast pijnlijk bloot dat de grote techreuzen uit Silicon Valley een autonomie genieten die meer lijkt op die van een soevereine natie-staat zelf dan op die van een onderdaan van zo’n natie-staat.

Dit was ook steen des aanstoots bij de CoronaMelder App, zoals voorgesteld door de minister van VWS. Eerst kwam hier kritiek op van de Autoriteit Persoonsgegevens, later ook vanuit de Tweede Kamer. De hamvraag is: wie is nu eigenlijk echt de partij die de touwtjes in handen heeft bij wat evident een zaak met een publiek karakter is? Is dit de minister van VWS of zijn dat Google en Apple? Want de CoronaMelder App leunt op een onderliggende technologie die door Google en Apple op compatible wijze in hun mobiele besturingssystemen is geïntegreerd, ook al is deze technologie eerst door een Europees academisch consortium ontwikkeld onder de naam DP-3T (decentralised privacy preserving proximity tracking). DP-3T kan beschouwd worden als het huidige neusje van de zalm in termen van privacy-by-design voor notificatie-apps.

De reden dat Google en Apple DP-3T hebben omarmd is dat zij al jaren in een spanningsveld zitten tussen meer of minder autoritaire overheidsorganen die via hun mobiele technologie mee willen kijken in de levens van hun burgers. Waarbij hun handicap is dat wat ze de ene overheid toestaan ze moeilijk aan een andere kunnen weigeren, ook al zijn de overige waarborgen in het andere geval afwezig. Dat het Nederlandse Openbaar Ministerie onderhevig is aan toezicht en rechterlijke toetsing is geen argument om de Saoedische opsporingsdiensten iets te weigeren. Dus richten zij, niet onbegrijpelijk, hun technologiekeuzes zoveel mogelijk in om ook in een rechtsstatelijk vacuüm waarborgen voor hun gebruikers te bieden. Waarbij Google uiteraard niet te beroerd is om wel zelf ongekende hoeveelheden data te verzamelen. Hier is overduidelijk een spanningsveld tussen de (digitale) soevereiniteit tussen klassieke natie-staten en die van twee multinationale bedrijven.

Voor een aantal Europese landen was dit initieel zelfs reden om niet op basis van Google/Apple Exposure Notification (GAEN) te willen werken, naast dat dit GAEN-raamwerk later beschikbaar kwam dan de besluitvorming in die lidstaten. Voorbeelden hiervan zijn Frankrijk, Noorwegen en het Verenigd Koninkrijk. Laatstgenoemde is inmiddels overgestapt op het GAEN-raamwerk, in Noorwegen heeft de privacytoezichthouder stopzetting van de notificatie-app bevolen en Frankrijk heeft onlangs toegegeven dat de Franse notificatie-app mislukt is. Of zoals de Franse president Macron het vrij vertaald omschreef: “het heeft niet gefaald, maar het is geen succes”. Recente cijfers over de adoptie van de Franse notificatie-app zijn schaars, maar de beschikbare gegevens suggereren dat deze niet meer dan 3 procent van de bevolking kan beslaan.

Het contrast met Duitsland, wat nog voor Nederland met een notificatie-app kwam is fors. De Duitse app is op het GAEN-raamwerk gebaseerd en is door ongeveer 12 procent van de bevolking gedownload. Overigens hoeft dit niet te betekenen dat de Duitse notificatie-app wél een succes is, voor echt grote bijdragen aan de volksgezondheid moet met ten minste 20 procent adoptie gerekend worden. Wat in de Duitse situatie plaatselijk wel degelijk het geval kan zijn, ook omdat het gebruik van de notificatie-app zich vooral in stedelijke gebieden lijkt te concentreren. De tijd zal dit leren.

Gemene deler waarom deze notificatie-apps geen succes waren was enerzijds dat ze, met name op Apple’s iOS, niet op de achtergrond konden draaien en ook op Google’s Android relatief belastend waren voor accuduur van de smartphones van de gebruikers. Anderzijds was er telkens sprake van een gecentraliseerde informatie-architectuur waarbij locatie- en contactgegevens telkens met publieke gezondheidsautoriteiten werden gedeeld. Hoewel we de ongemaksfactor zeker niet moeten uitvlakken roept een dergelijke vergaande surveillance van de bevolking dusdanig veel vragen op dat het wantrouwen in de eigen overheid voedt.

En dat brengt mij op de kernvragen die de diverse corona-apps hebben blootgelegd: wie vertrouwen wij meer om op de minst ingrijpende wijze digitale technologie in te zetten om contactonderzoek te bespoedigen, onze overheden, of Silicon Valley? En is de macht van zowel Google als Apple om alternatieven voor het GAEN-raamwerk te blokkeren een vloek of een zegen? En als het nu een zegen is gebleken, kan het niet onder andere omstandigheden een vloek blijken?

Mijn eigen ongemak bij die macht van Google en Apple wordt slechts geëvenaard door mijn ongemak met de gretigheid waarmee democratisch gekozen regeringen naar architecturen grepen die overduidelijk vatbaar zouden zijn voor een Orwelliaans toezicht op de bevolking. Hoe kunnen we nog iets vinden van landen als China als basale rechtstatelijke concepten het raam uitgaan bij een pandemie? En voordat we denken dat het in Nederland wel meevalt: bij de appathon die VWS in april organiseerde werkte geen van de finalisten op basis van DP-3T en het is vooral te danken aan de manier waarop die appathon verlopen is (transparant) dat we tijdig pas op de plaats hebben kunnen maken en de Nederlandse CoronaMelder app alsnog in de huidige vorm tot stand is gekomen.

De macht van de grote techbedrijven gaan we hopelijk inperken op Europees niveau, met de Digital Services Act die volgende maand voorgesteld zal gaan worden door de Europese Commissie. Maar minstens zoveel actie is nodig om binnen onze eigen overheden meer begrip te ontwikkelen van de mogelijke schaduwzijden van deze technologie. Ik wil niet afhankelijk zijn van Google en Apple als de gewetens van onze digitale overheden. Digitale soevereiniteit zou primair een ding voor de burger moeten zijn, en veel minder voor bedrijven of overheden.

Walter van Holst is senior adviseur bij Hooghiemstra & Partners