Covid-19 move over, contact tracing apps are coming…
Zeker weten doet het RIVM het nog niet, maar het aantal IC- en ziekenhuis opnamen lijkt eindelijk structureel te dalen. Het afbouwen van onze ‘intelligent lockdown’ komt in zicht en steunt op een aantal pilaren. Eén daarvan is de introductie van contact tracing apps (ook wel proximity tracing apps genoemd). Wat kunnen we ervan verwachten?
Tijdens de persconferentie van 4 april 2020, gaf Minister de Jonge het startschot. De overheid gaat nog deze maand komen met een tweetal apps, waarvan de details nog uitgewerkt moeten worden. Doel van één van de apps is aan het effectieve, maar niet efficiënte proces van bron- en contactopsporing door de GGD, een digitale oplossing toe te voegen. Uiteraard dient bij de ontwikkeling privacy en security uitgangspunt te zijn.
In vele landen zijn apps al in gebruik in strijd tegen Covid-19. De draconische app van de Chinese overheid is er één van. Andere overheidsapps, zoals in Singapore en Zuid-Korea komen dichter in de buurt van een app waarvan het middel niet erger is dan de kwaal. Ook in andere Europese landen zijn apps in ontwikkeling zoals in het Verenigd Koninkrijk en in Duitsland.
Wat precies de uitgangspunten ten aanzien van privacy en security zijn, worden vooralsnog niet duidelijk omschreven door onze overheid. Ook is het niet duidelijk wat de gebruikersvoorwaarden zijn. Is deze app verplicht? Of zijn er incentives mee gemoeid als je de app wel gebruikt? Een grote groep vooraanstaande Nederlandse deskundigen hebben het voortouw genomen en vastgelegd in Veilig tegen Corona uitgangspunten. In Duitsland heeft de Chaos Computer Club (CCC) vergelijkbare uitgangspunten gepubliceerd.
Ondanks de apps die momenteel al in gebruik zijn in andere landen is het vooralsnog niet duidelijk of de app zijn doel kan bereiken. Conceptueel ziet het er als volgt uit:
Oftewel, gebruikers van de app krijgen als ze in contact geweest zijn met iemand die op een later moment positief wordt getest een melding en kunnen zichzelf thuisisolatie opleggen. Hiermee kan het virus reproductiegetal R0 (R naught) onder de ‘1’ blijven, oftewel het virus kan zich niet exponentieel verspreiden en sterft uiteindelijk uit.
Onderzoekers van de Universiteit van Oxford hebben echter berekend dat zeker 60% van de bevolking deze app zou moeten gebruiken. Zelfs in Singapore is het gebruik van de TraceTogether app één maand na beschikbaarheid 20%. Gebruik van de app is vrijwillig.
Een andere vraag is of 60% van de bevolking beschikt over smartphones die voldoen aan de technische vereisten en bereid zijn deze app te downloaden. In het Verenigd Koninkrijk blijken 5 miljoen mensen (10% van bevolking) de meest basale digital skills te missen.
Geen enkele app van de Nederlandse overheid is op dit moment door zovelen geinstalleerd, zelfs niet jaren na introductie. Mocht deze app verplicht gesteld gaan worden dan zullen de gebruikers vermoedelijk onze overheid gaan wantrouwen en de app saboteren. Kortom, de gebruikers dienen directe voordelen te ervaren naast hun zelf opgelegde morele verplichting hieraan mee te doen.
Een ander belangrijk uitgangspunt is dat er voldoende Covid-19 tests beschikbaar zullen zijn. Als de app door voldoende gebruik in staat is om mensen vroegtijdig te notificeren dat zij in vermoedelijk in aanraking zijn geweest met iemand die nadien positief is getest, zullen deze personen ook getest willen worden. Als deze optie niet wordt geboden en mensen worden onnodig meerdere malen tot zelf isolatie geadviseerd (‘false positives’) dan zullen zij het vertrouwen in de app verliezen en de adviezen naast zich neer liggen. Op dit moment worden mensen niet of nauwelijks getest die geen symptomen vertonen.
Afgelopen zaterdag 11 april heeft het Ministerie van VWS een vooraankondiging gedaan (marktconsultatie) voor aanbesteding van ontwikkeling slimme digitale oplossingen die bijdragen aan bron- en contactonderzoek. Hieruit blijkt dat er op volle snelheid ingezet wordt door de overheid. Uiterlijk dinsdag 14 april dienen marktpartijen hun inzending te doen met als doel nog in dezelfde maand een publieke proef én verdere uitrol. Hieruit kan worden opgemaakt dat deze apps een hoeksteen vormen bij het stapsgewijs beëindigen van de ‘intelligent lockdown’, waarover op 21 april meer bekend zal worden gemaakt.
Aan deze timelines kleven een groot aantal nadelen. Eén daarvan is dat er niet meegelift kan worden op belangrijke Europese en internationale ontwikkelingen, waaronder Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), DP-3T en de aangekondigde samenwerking tussen de 2 partijen die nagenoeg 100% van de smartphone markt domineren: Apple en Google. In deze aangekondigde samenwerking zijn reeds details bekend gemaakt hoe contact tracing apps technisch kunnen werken op basis van Bluetooth Low Energy (BLE) en de benodigde cryptografie.
De voorgestelde oplossing biedt mogelijk een goede oplossing voor privacy omdat er geen locatiegegevens en identiteitsgegevens opgeslagen hoeven te worden (niet lokaal en ook niet centraal) en de matching met datasets van positief geteste personen lokaal (dus op de smartphone) van de gebruiker plaatsvindt in plaats van op een centrale server. Een bijgaand voordeel is dat een Nederlandse app ook gebruik kan worden bij grensoverschrijdende mobiliteit, aangezien het operating system iOS en Android de benodigde functies voor contact tracing native gaan ondersteunen en zodoende in alle landen werkt die apps aanbieden op basis van deze mogelijke de-facto standaard. De eerste release zal half mei gaan plaatsvinden door het aanbieden van APIs waar app ontwikkelaars gebruik van kunnen maken.
Om daarnaast de privacy en veiligheid van de app en haar gebruikers niet alleen in de specificatie op orde te krijgen, maar ook in de implementatie geldt als regel dat hoe meer gebruikers er zijn, hoe meer security experts onafhankelijke audits zullen doen. Het uitvoeren van deze audits kost echter ook veel tijd. Een deel van deze audit zal zich richten op de apps zelf, een deel van de audits op de implementatie door Apple en Google in het operating system en een deel aan de server-kant.
Als de Nederlandse overheid er voor kiest één of meerdere marktpartijen de opdracht te gunnen die zelf de hele stack gaan implementeren met als belangrijkste argument om wille van de tijd, dan kunnen alleen achteraf audits worden uitgevoerd en daarmee design errors mogelijk moeilijk of niet oplosbaar zijn. Ook zullen Apple en Google waarschijnlijk niet bereid zijn de apps van de Nederlandse overheid te promoten als die op onbekende stacks zijn gebaseerd.
Uiteraard zijn grote marktpartijen als Apple en Google niet de braafste jongetjes van de klas als het gaat om privacy. Het is echter al uniek dat deze partijen samenwerken en daarnaast zijn grote voorvechters van privacy in eerste instantie niet negatief, waaronder de EFF. Ook hebben individuele experts hun eerste bevindingen gepubliceerd waarin wordt aangegeven dat hun specificaties overeen lijken te komen met de Europese PEPP-PT en DP-3T ontwikkelingen.
Waar op dit moment de specificatie van Apple en Google nog grote gaten vertonen is de server-kant, desondanks dat de apps thick clients zijn. In de app zit nagenoeg alle functionaliteit geïmplementeerd, mede omwille van privacy en anonimiteit. In het concept staat de Diagnosis Server voor uitwisseling van data van positief geteste gebruikers. Hier wordt de minimale subset van de data naartoe gestuurd, nadien een app gebruiker positief is gediagnosticeerd (door een partij die door de overheid deze functie is toebedeeld). Achtereenvolgens zal deze dataset voor download beschikbaar worden gesteld zodat alle andere app gebruikers anoniem kunnen matchen. Het is vooralsnog niet duidelijk of dit in lijn is met lokale wetgeving of dat er uiteindelijk toch anonieme matching centraal plaats dient te vinden.
Uiteraard kan één Diagnosis Server nooit voldoen aan beschikbaarheidseisen. Daarom lijkt een gedistribueerd netwerk van Diagnosis Servers een betere oplossing, die onderling gegevens uitwisselen nadat deze verder zijn gecomprimeerd. Mogelijk is het BitTorrent protocol hiertoe geschikt. Andere eisen die aan Diagnosis Servers gesteld dienen te worden is dat deze zo min mogelijk dataset opslaan (de zogenaamde Diagnosis Keys), een concept genaamd ‘dismantling’. Zodoende wordt richting de toekomst andere toepassingen onmogelijk gemaakt alsmede het identificeren van individuen mocht een implementatie security bugs bevatten.
Om aan ‘dismantling’ eisen ook in de toekomst te blijven voldoen is het zeer wenselijk dat deze servers niet in handen van de overheid zijn en beheert worden door instanties die onafhankelijke reviews toestaan.
Het lijkt daarom prematuur om het beleid ten aanzien van stapsgewijze afbouw van de ‘intelligent lockdown’ zwaar te laten leunen op de inzet van contact tracing apps. De verwachtingen zijn hoog gespannen en daarmee de kans op teleurstelling groot. Ook zijn de timelines te agressief, waardoor aansluiting met andere Europese en internationale ontwikkelingen gemist worden. Als laatste zijn de risico’s op onjuiste implementatie van privacy en security niet in te schatten omdat tijd voor audits ontbreekt. Het is beter als de Nederlandse overheid de ontwikkeling van dit soort apps wel op dit moment inzet en hiermee ervaring opdoet zodat gradueel een complete, veilige en betrouwbare oplossing wordt uitgerold. Een slechte start heeft grote invloed op het vertrouwen van de burger en daarmee wordt een mogelijk toekomstpad zeer negatief beïnvloed.
Voor het schrijven van dit artikel is gebruikt gemaakt van meerdere bronnen, die als overeenkomst hebben dat deze hoofdzakelijk de afgelopen 2 weken zijn gepubliceerd. Daarom is de verwachting dat er dagelijks nieuwe informatie en bronnen zullen verschijnen die van grote invloed zullen zijn. Mede daarom dient de verzameling van eisen, specificaties en oplossingen flexibel te zijn.
Referenties:
[1] EU privacy experts push a decentralized approach to COVID-19 contacts tracing, TechCrunch, 6 april 2020.
[2] Forget Apple And Google — Here’s The Real Challenge For COVID-19 Contact-Tracing, Forbes, 12 april 2020.
[3] Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT)
[4] Decentralized Privacy-Preserving Proximity Tracing (DP3T)
[5] Thoughts about the handling of PEPP-PT proximity history IDs
[6] Contact Tracing in the Real World
