Zal een corona-app ons bevrijden van de pandemie?

De coronapandemie vormt een niet te onderschatten bedreiging. Het is belangrijk dat we met z’n allen maximaal beschermd worden en dat maatregelen om de verspreiding van het virus tegen te gaan, goed nageleefd worden. Wie kijkt naar het buitenland, ziet tal van voorbeelden van hoe moderne technologie daarvoor ingezet wordt: covid-patiënten worden onder elektronisch huisarrest geplaatst door hun smartphone te volgen, hele lagen van de bevolking worden verplicht apps te installeren en in sommige landen krijg je zelfs de lichaamstemperatuur van pakjesbezorgers te zien als je een bestelling plaatst.

Big Data, (g)een wonderoplossing?

Op het eerste gezicht lijken zo’n maatregelen een nuttig of zelfs noodzakelijk instrument. Maar de vraag is hoe effectief deze maatregelen eigenlijk zijn. “Op dit moment is het bewijs van hun effectiviteit voor het beheersen van ziekte-uitbraken beperkt”, zo waarschuwen onderzoekers van verschillende Vlaamse universiteiten die deel uitmaken van het coronavirus pandemic preparedness team. In sommige gevallen, zoals China of Zuid-Korea, wordt beweerd (maar is voorlopig nog niet bewezen) dat ze geholpen zouden hebben om de impact van de infectie te beperken. Maar in andere gevallen is al duidelijk aangetoond dat geenszins aan de beloftes kan voldoen worden.

In hun rapport waarschuwen de corona-experts dat een te weinig kritische houding tegenover zulke big data technologie het risico inhoudt dat er te weinig aandacht gaat naar andere, bewezen en zeer effectieve maatregelen. Ze waarschuwen voor “mogelijke nadelen” en “onvoorziene gevolgen” van zo’n aanpak.

Wat werkt in China of Zuid-Korea valt niet zomaar te kopiëren naar ons land, waarschuwen de onderzoekers. Daarbij moet bijvoorbeeld rekening gehouden worden met de slagkracht van de overheid en het vertrouwen in big data technologieën bij het grote publiek. Zo blijkt uit de grote corona-enquêtes van de Universiteit Antwerpen dat slechts de helft van de deelnemers een dergelijke app zou willen gebruiken. 80% van zij die dat niet zien zitten, hebben sterke bezorgdheden over privacy en gevoeligheid van gegevens.

Covid-19, een kans voor Big Brother

De onderzoekers roepen op om voor er een app wordt gelanceerd, eerst goed af te wegen welke impact deze heeft op het recht op privacy en het recht op de bescherming van persoonsgegevens. Dat zijn grondrechten die zijn opgenomen in het Europees Verdrag van de Rechten van de Mens. Deze rechten zijn er niet zomaar gekomen. Ze werden afgedwongen na de overwinning op het fascisme van de jaren ‘30 en ‘40, dat politieke en etnisch-culturele minderheden eerst op grote schaal begon te registreren om hen daarna te kunnen vervolgen.

In tijden van crisis dreigen grondrechten altijd onder druk te komen staan. Dat was zo na de terreuraanslagen in Brussel, met maatregelen rond het bewaren van telecommunicatiegegevens, de nieuwe wet op Bijzondere Inlichtingenmethoden, het gebruik van passagiersgegevens van luchtvaartbedrijven (PNR) en de alomtegenwoordigheid van camera’s in het straatbeeld. Dat is ook vandaag zo met de coronacrisis. “Covid-19 is een kans voor Big Brother”, waarschuwen privacy-activisten. Ze wijzen erop dat we vandaag sneller aan het afglijden zijn dan tijdens de maatregelen tegen terreur.

De terechte vrees bestaat dat de uitholling van deze rechten niet tijdelijk zal zijn, maar tot een permanente tracking van de bevolking zal leiden. Wat vandaag gebruikt wordt om de coronacrisis te bestrijden, kan morgen gebruikt worden om een nieuwe migratiecrisis te bestrijden, in het kader van veralgemeende maatregelen tegen extremisme of zelfs om vakbonden en milieuactivisten aan banden te leggen.

Achterpoorten in de GDPR

Wanneer we kijken naar voorbeelden uit het buitenland, proberen beleidsmakers ons gerust te stellen met de belofte dat alles conform de strenge Europese privacyregels zal verlopen. Die GDPR-richtlijn stelt dat gebruikers de toestemming moeten geven om de verwerking van hun persoonsgegevens toe te laten. Dit betekent bijvoorbeeld dat als je een website of app gebruikt, je als consument de toestemming moet geven om bepaalde data bij te houden of te delen.

De vraag is of de GDPR hier vandaag voldoende bescherming biedt. De GDPR voorziet immers een uitzondering voor gegevensverwerking die noodzakelijk is om “de vitale belangen van de betrokkene te beschermen” en verwijst daarbij expliciet naar “het monitoren van een epidemie en de verspreiding daarvan”. Dat wil ook zeggen dat zodra de vitale belangen van de betrokkene niet langer bedreigd zijn, de verzamelde gegevens ook effectief terug verwijderd zouden moeten worden.

De GDPR voorkomt ook niet dat bijvoorbeeld telecomoperatoren gegevens moeten doorgeven als autoriteiten daar om vragen. De gegevensverwerking gebeurt dan “op wettelijke basis”, niet op basis van toestemming van de betrokkene.

Volgens minister De Backer zijn er voldoende garanties. “De databeschermingsautoriteit en privacycommissie zitten mee aan tafel. We hebben ook een expertenpanel dat gespecialiseerd is in privacy. De mensen kunnen dus op hun twee oren slapen.”

De vraag is of dit wel voldoende garanties zijn. De rol van de gegevensbeschermingsautoriteit is te kijken of de GDPR wordt toegepast. Maar in zoverre er een wettelijke basis is en er voldoende waarborgen zijn, kunnen deze data perfect verwerkt worden volgens de GDPR.

Diezelfde GDPR zet de achterdeur ook wagenwijd open om data te verzamelen en bij te houden in geval van nationale veiligheid. Het is niet Europa, maar het zijn de nationale staten die dat invullen. Ons land heeft ondertussen al tal van wetten gestemd die uitgebreide gegevensverzameling toelaten met weinig of geen democratische controle.

Telecom-data gedeeld met de overheid

Zo worden er vandaag in België reeds telecomdata gedeeld met de overheid in het kader van de strijd tegen het coronavirus. Het gaat daarbij om gegevens om de locatie van je toestel te bepalen (via de afstand tot gsm-masten), maar ook om gegevens over surfgedrag en welke apps je gebruikt. Die data, die in principe geanonimiseerd worden, kunnen gebruikt worden om bijvoorbeeld te zien waar grote groepen mensen bij elkaar komen. Maar om effectief ingezet te kunnen worden, moeten deze gegevens gecombineerd worden met andere databanken en ontstaat het risico dat ze toch terug te herleiden zijn naar het gedrag van individuele personen.

Ook worden er vandaag al geregeld gegevens over het gedrag van individuele gebruikers gedeeld met autoriteiten. Die gegevens worden verzameld via telecomoperatoren, maar ook via de fabrikanten van besturingssoftware voor smartphones zoals Google of Apple. Zij houden immers uitgebreide gegevens bij over je verplaatsingen via de GPS, de wifi-netwerken die in je buurt zijn, de bluetooth-apparaten die in je buurt zijn, enz. Er zijn ook tal van apps die op je telefoon staan, zoals bijvoorbeeld Facebook, die uitgebreide logbestanden bijhouden over de verplaatsingen en het surfgedrag van hun gebruikers.

Dergelijke persoonsgegevens worden in principe pas vrijgegeven na tussenkomst van een onderzoeksrechter. Maar door op grote schaal gebruik te maken van bijzondere opsporingsmethodes (BOM) en bijzondere inlichtingenmethodes (BIM) is er steeds minder mogelijkheid tot controle door het gerecht, bescherming tegen willekeur en wettelijk verweer van de burger.

De inzet van zo’n corona-app is dus eigenlijk om op grote schaal locatiegegevens van burgers te kunnen verzamelen zonder hiervoor een individueel verzoek te moeten richten aan Google, Apple of Facebook. Op dat moment heeft de betrokkene immers zélf de toestemming gegeven om die data te verzamelen.

Dat is allesbehalve onschuldig. Want door in een databank bij te houden wie met wie in contact komt, kunnen hele sociale netwerken in kaart gebracht worden of kunnen er verregaande beperkingen opgelegd worden aan het doen en laten van individuele burgers.

Zorg voor maximale veiligheid en privacy

Mits strikt respect voor de privacyregels kunnen locatiegegevens, als we er slim mee omspringen, van groot nut zijn in de strijd tegen het coronavirus. Bijvoorbeeld om te zien op welke manier het virus zich verspreidt. Maar cruciaal daarbij is dat we zorgen voor maximale veiligheid en privacy. Bij het verzamelen mag alleen de informatie bijgehouden worden die nodig is, anoniem en in overeenstemming met de privacyregels.

Alles begint bij het ontwikkelen van de app. Vanaf het begin mag alleen die informatie bijgehouden worden die strikt gezien nodig is, en dat voldoende anoniem zodat ze niet terug te leiden is tot één individuele persoon. Dat principe heet privacy by design en moet hier maximaal toegepast worden.

We moeten bewust kiezen voor de meest privacyvriendelijke technologie, die zo min mogelijk gegevens verzamelt over de identiteit van de gebruiker. Dit om te voorkomen dat die gegevens nadien tot her-identificatie van de betrokkene zouden kunnen leiden. Persoonlijke gegevens blijven best lokaal op jouw apparaat en worden beter niet verzameld in een centrale databank.Gegevens die niet verzameld worden, kunnen achteraf ook niet gelekt of verder gedeeld worden.

Verder is het cruciaal om democratische controle te organiseren op het verzamelen van gegevens. Een eerste stap is om de broncode van de app publiek toegankelijk te maken. Zo kan iedereen met de juiste IT-kennis nakijken welke gegevens verzameld worden en met welk doel.

Ten slotte moeten we ook democratische controle organiseren door een volledig onafhankelijke controlecommissie op te richten, met ethische hackers en privacy-experten van de Liga van de Mensenrechten, The Ministry of Privacy, enz. Zij moeten erover waken dat de gegevens enkel verwerkt worden voor het gestelde doel en nadien terug vernietigd worden.

Als er dan toch voor gekozen wordt om een dergelijke app te lanceren, zorg dan voor voldoende garanties op het vlak van privacy en een breed democratisch draagvlak bij de bevolking. En zorg er vooral voor dat de focus blijft liggen op bewezen en doeltreffende maatregelen als social distancing, kwalitatieve beschermingsmiddelen en een sterke zorgsector met voldoende middelen.