Een weekend appathon: de belangrijkste gebeurtenissen op een rij

Een weekend appathon: de belangrijkste gebeurtenissen op een rij

Laatst bijgewerkt: 21 april 2020
Leestijd: 8 minuten, 49 seconden

Morgen wil Hugo de Jonge, minister van Volksgezondheid, Welzijn en Sport (VWS), de knoop doorhakken: dan wil hij een app aankondigen die de GGD gaat hulpen bij bron- en contactonderzoek. In aanloop naar dit moment hield hij afgelopen weekend een heuse ‘appathon’: een twee dagen durende marathon waar 7 appbouwers hun applicatie mochten pitchen. Uit deze inzendingen maakt de minister een keuze. Deze presentatie van de apps en de nasleep ervan verliep allesbehalve gesmeerd. In dit artikel geven wij een overzicht van de belangrijkste gebeurtenissen.

Heet hangijzer

Het besluit om apps te gebruiken voor bron- en contactonderzoek gaat twee weken terug. Toen kondigde minister De Jonge aan dat hij hiervoor ‘technologische hulpmiddelen’ wilde inzetten. Van meet af aan dacht hij aan twee applicaties: een die mensen waarschuwt als ze in contact zijn geweest met iemand die (mogelijk) besmet is met het coronavirus, en een die burgers kunnen gebruiken om contact te houden met hun (huis)arts en hem om medisch advies te kunnen vragen.

De eerstgenoemde app is tot nu toe een heet hangijzer gebleken. Veel experts, veiligheidsdeskundigen en privacyvoorvechters zetten hun vraagtekens bij de implementatie ervan. Welke technieken gaat de app gebruiken? Hoe en waar wordt data opgeslagen? Hoe zit het met onze privacy? En worden de verzamelde gegevens daadwerkelijk vernietigd zodra de pandemie voorbij is? Allemaal vragen waar de minister bij de aankondiging om apps te gebruiken geen antwoord op kon geven.

Input

Wel stelde de minister één duidelijke voorwaarde: er moet voldoende draagvlak voor het initiatief zijn. “Ik zeg er meteen bij dat dit alleen kan als we heel zorgvuldig omgaan met privacy. Dit kan alleen met vertrouwen van de samenleving en dat vraagt een nauwkeurige verdere uitwerking”, aldus de minister. Daarop vroeg de minister of het publiek wilde meedenken over de vormgeving en implementatie van een contact-tracing app.

Het klinkt als een goed initiatief om zowel veiligheidsexperts als gewone burgers naar hun mening te vragen. Zoals premier Mark Rutte het vrijdag 17 april na afloop van de ministerraad verwoordde: “Het is geen hobby van mij en minister Hugo de Jonge om apps te ontwikkelen”. Om die reden verwelkomen de kabinetsleden alle adviezen van app-ontwikkelaars, veiligheidsdeskundigen, het maatschappelijk middenveld, burgerrechtenorganisaties en burgers.

Al met al ontving het ministerie meer dan 750 voorstellen. Uit deze inzendingen maakte de minister een shortlist, een lijst bestaande uit 7 kandidaten die de beste kans maakten om een de app te bouwen. “De apps van deze 7 teams sluiten volgens experts het best aan bij het werkproces van de GGD voor het doen van bron- en contactonderzoek en voldoen tegelijkertijd aan eisen die zijn gesteld op onder andere het gebied van privacy, data- en informatieveiligheid en gebruikersgemak”, aldus minister De Jonge.

Chaotisch selectieproces

67 experts op het terrein van epidemiologie, gezondheidszorg, privacy, informatiebeveiliging en ICT slaagden erin om in hele korte tijd de 7 beste ideeën te selecteren uit de 750 inzendingen. Het selectieproces werd flink bekritiseerd: het ging veel te snel en verliep uiterst chaotisch. “We hebben geen flauw idee hoe deze lijst tot stand is gekomen”, zo zegt een van de experts, die anoniem wenst te blijven, tegen de Volkskrant. Dat Sia Partners een van de kandidaten is die de app mogelijk mag bouwen, vindt hij onbegrijpelijk. Deze partij kwam het voorstel om een app te bouwen die als twee druppels water op de corona-app uit Singapore lijkt, een app die niet bepaald bekend staat om haar privacyvriendelijkheid.

Vanwege de ondoorzichtigheid van het selectieproces en gebrek aan inhoudelijke behandeling van de inzendingen, zag een groep van 9 deskundigen geen andere uitweg dan afstand te nemen van de geselecteerde kandidaten. In een reactie schrijft de Veilig Tegen Corona coalitie dat ze vanuit hun “professionele integriteit” zich niet kunnen verbinden aan de uitkomsten. In hun persbericht zeggen ze het volgende over het verloop van het selectieproces:

“Concreet was er gisteren [donderdag 16 april, red.] onvoldoende tijd en informatie beschikbaar om te toetsen of de voorstellen volledig voldoen aan de minimale criteria in het Veilig Tegen Corona-manifest. Dit geldt voor het nagaan van vele technische details en aannames die niet in de documentatie te vinden waren. Daarnaast was er ook onvoldoende ruimte voor het bespreken van de praktische en organisatorische inbedding en de maatschappelijke en fundamenteelrechtelijke implicaties. De vraag of een app wenselijk is bleef daarmee onbeantwoord. Heldere maatstaven voor de beoordeling en ordening ontbraken en er was geen tijd om deze af te stemmen. Hierdoor liepen de beoordelingen van de verschillende expertteams uiteen en zijn voorstellen niet eenduidig getoetst.

Daarnaast was het voor de deelnemers niet duidelijk welke voorstellen uiteindelijk zijn overgebleven of afgevallen. Wij hebben pas via het persbericht van het ministerie meegekregen welke apps nog in de race zijn. Echter blijkt nu dat hier voorstellen tussen zitten die door meerdere groepen van experts expliciet zijn afgekeurd. Daarnaast missen er voorstellen die wel door meerdere groepen als kansrijk zijn gemarkeerd.”

Volgens privacy-expert Brenno de Winter, één van 67 experts die op persoonlijke titel de inzendingen beoordeelde, heeft het selectieproces de kenmerken van een mislukt ICT-project. “Het techoptimisme en gebrek aan ervaring bij het ministerie in combinatie met vage plannen van de ICT-bedrijven zijn een dodelijke cocktail”, aldus De Winter tegenover de Volkskrant.

Voor Bits of Freedom en het Platform Burgerrechten was dit aanleiding om het kabinet op te roepen om “op de noodrem te trappen”. Volgens de burgerrechtengroepen wil de minister in een “moordend tempo” een app lanceren. Daardoor verliep het selectieproces te gehaast en chaotisch, waren er onvoldoende waarborgen en is er nauwelijks draagvlak. “Het risico dat het invoeren van een contactonderzoek-app op korte termijn zal leiden tot schijnveiligheid, of zelfs tot meer risico, zeker voor de kwetsbaarste groepen, is groot”, aldus de belangengroepen.

Appathon

Hoe men ook tegen het selectieproces aankijkt, feit is dat er vrijdag 17 april 7 concrete voorstellen op tafel lagen. Maar wie heeft het beste idee? Welke app voldoet aan de privacy- en veiligheidsvoorwaarden die de overheid heeft gesteld? Om een antwoord op deze vragen te krijgen, vond afgelopen weekend de ‘appathon’ plaats.

De appathon was een 48-uur durende marathon waar de security experts van de geselecteerde bedrijven hun ideeën over de app konden opwerpen. Veiligheidsdeskundigen van buitenaf, maar ook gewone burgers konden meedenken en meepraten met de experts. De kanshebbers om de app te bouwen hadden een avond en nacht de tijd om deze feedback te verwerken in hun idee. De volgende ochtend (zondag) mochten zij hun idee opnieuw pitchen.

Maar binnen een etmaal gaat het al mis. Techjournalist Daniël Verlaan ontdekte dat in de broncode van de app Covid19 Alert een bestand was inbegrepen waarin namen, e-mailadressen en versleutelde wachtwoorden van bijna 200 klanten was te vinden. Nadat hij dit doorgaf aan de makers van de app haalden zij direct een deel van de broncode offline. In een reactie zegt een woordvoerder dat ze de broncode zo snel mogelijk openbaar wilden maken. “In dat proces hebben we per ongeluk deze data online gezet. Het betreft een menselijke fout door de grote haast die ermee gemoeid was.” Dat verhindert niet dat het datalek zowel bij het ministerie van VWS als de Autoriteit Persoonsgegevens wordt gemeld.

Eerste reacties

De Nederlandse landsadvocaat keek tijdens de appathon mee over de schouders van de veiligheidsexperts en privacydeskundigen. Hij noteerde zijn bevindingen in een document genaamd ‘Openbare samenvatting privacyanalyses bron- en contactonderzoekapps’. Zijn conclusie liegt er niet om: geen van de voorstellen voldoet op dit moment volledig aan de geformuleerde uitgangspunten van het kabinet. Tevens constateert de landsadvocaat dat de apps niet voldoen aan alle eisen van de Algemene Verordening Gegevensbescherming (AVG), een Europese verordening die in 2018 in het leven is geroepen om onze privacy te beschermen.

In zijn rapport lezen we verder dat bij geen van de apps op dit moment volledige anonimiteit gegarandeerd kan worden. De landsadvocaat constateert dat alle inzendingen gebruikmaken van bluetooth-technologie. Zijn grootste bezwaar is dat bluetooth ook “niet-risicovolle connecties” registreert (mensen die wel voldoende afstand houden, mensen die achter een raam zitten). Sommige indieners hebben dit probleem proberen op te lossen, waardoor de kans op false positives kleiner is. Dat was één van de eisen die het kabinet formuleerde. Bij geen enkel voorstel kan dit risico worden ondervangen, zo waarschuwt de landsadvocaat.

In opdracht van het ministerie van VWS deed KPMG onderzoek naar de technische veiligheid en betrouwbaarheid van de aangeboden corona-apps en achterliggende systemen. In de ‘Rapportage veiligheidstest potentiële corona-apps’ windt KPMG er geen doekjes om: geen van de apps heeft de beveiliging op orde. Wachtwoorden zijn leesbaar opgenomen in de broncode, waarmee het mogelijk is om toegang te verkrijgen tot databases en de achterliggende infrastructuur (inclusief API). “Daar waar wel een beveiliging is toegepast is deze vaak eenvoudig te omzeilen door kwetsbare implementatie, of het niet of niet goed valideren van bijvoorbeeld beveiligingscertificaten, of het gebruik van self-signed certificates”, aldus KPMG. Hierdoor kunnen kwaadwillenden toegang krijgen tot vertrouwelijke data.

Bij het ontwerp van de apps is niet altijd uitgegaan van dataminimalisatie, het principe om zo min mogelijk persoonlijke en gevoelige informatie van gebruikers op te slaan. Bovendien wordt deze data ook nog eens zonder versleuteling opgeslagen, zo concludeert KPMG. Verder heeft het bedrijf nog een aantal algemene opmerkingen gemaakt in zijn quickscan. Ze meent dat geen van de systemen die de app-makers gebruiken volledig af is. Technische documentatie over componenten van de apps is grotendeels afwezig. En algemene maatregelen om de codekwaliteit te bevorderen zijn slechts beperkt aangetroffen.

In opdracht van minister De Jonge keek de Autoriteit Persoonsgegevens (AP) in hoeverre de apps kunnen bijdragen aan bron- en contactopsoring, zonder dat dit ten koste gaat van onze privacy. De belangrijkste conclusie van de belangenorganisatie is dat de overheid haar kaders onvoldoende heeft uitgekristalliseerd. De app-makers leverden hierdoor niet de juiste of incomplete documenten aan, waardoor de AP haar werk niet kon doen. “Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kan de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen”, aldus de instantie.

Hoe nu verder?

Het is allerminst zeker dat er ook daadwerkelijk een app gaat komen. Dat heeft minister De Jonge van meet af aan duidelijk gemaakt. Alles staat of valt met vertrouwen in de app. Als er onvoldoende draagvlak is, kan de minister alsnog besluiten om er een streep door te zetten. De minister gebruikt vandaag en morgen om alle voors en tegens tegen elkaar af te wegen. Dinsdagavond besluit hij of de app er daadwerkelijk komt, en zo ja wie hem mag bouwen.

Tech-journalist
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen