Tracking en tracing in tijden van corona

Met enige afgunst kijken sommigen naar de Aziatische landen die de coronabestrijding beter op orde hebben omdat ze bewoners digitaal tracken en tracen. Ze hebben geen last van privacy-afwegingen en kunnen maximaal gebruik maken van hun surveillance-infrastructuur. Maar is dat inderdaad een afweging die noodzakelijk is? Moeten we in tijden van corona onze privacy inleveren? Je zou het denken als zelfs de directeur van de Autoriteit Persoonsgegevens stelt dat hij nu niet met een 'opgeheven vingertje' achter initiatieven voor coronabestrijding aan zal gaan. Je zou denken dat hij daarvoor nu juist is aangesteld. Hij had zichtbaar moeten maken dat het een valse tegenstelling is. Privacy en effectieve bestrijding sluiten elkaar niet uit.

'Privacy en effectieve bestrijding sluiten elkaar niet uit.'

Er zijn vele varianten waarop je de datasporen van mensen in kaart kunt brengen. Onze mobiele telefoons staan daarbij centraal. We zijn dag en nacht onafscheidelijk van elkaar en dragen hem vrijwillig bij ons. Van iedereen wordt, vanuit de kernfunctie van de telefoon, de locatie continue bijgehouden. De telecomprovider moet gesprekken tenslotte kunnen routeren naar de locatie waar jij en je telefoon je bevinden. De locatie wordt gerelateerd aan de UMTS 'mast' waarop je telefoon is ingelogd. De nauwkeurigheid is beperkt, afhankelijk van of je op het platteland bent of in de stad. Deze gegevens worden wettelijk enige tijd opgeslagen door de provider, en veel gebruikt door opsporingsdiensten.

Daarnaast hebben de meeste telefoons ‘locatiediensten’. Daarbij worden bovenstaande UMTS 'masten' gecombineerd met GPS-navigatiesatellieten en de lokaal zichtbare WiFi-netwerken. Dit levert een veel nauwkeurigere positiebepaling op, tot op enkele meters. Wie deze locatiediensten aan heeft staan op de telefoon, stuurt deze gegevens periodiek naar Google, Apple en mogelijk de leveranciers van de specifieke apps die je op je telefoon hebt geïnstalleerd. Dat deze bedrijven deze data opslaan is in zichzelf een schending van de privacy, maar vooralsnog publiceert Google zonder gêne de gegevens over de toe- of afname van bezoek aan publieke locaties. Ze maken de cumulatieve, geanonimiseerde data beschikbaar die niet terug te leiden is tot het individu. 

Met bovenstaande methoden kun je bijhouden of mensen thuis zijn gebleven of dat ze een, wellicht illegaal, bezoek hebben gebracht aan een park of strand. Een machtig gereedschap voor een staat die vanuit een centrale positie haar onderdanen wil kunnen straffen voor ongeoorloofd verplaatsen, maar ze bieden mensen zelf geen informatie die hen in staat stelt goede afwegingen te maken. Daarvoor zou je zelf willen weten of je in de nabijheid bent geweest van een virusdrager. Singapore was één van de eerste landen die een zogenaamde 'contact tracing' breed uitrolde met de TraceTogether app. Deze app werkt via Bluetooth. Hiermee worden geen absolute locaties geregistreerd, maar de nabijheid van een andere telefoon met dezelfde Bluetooth-app. Bij dergelijk 'contact tracing’ houdt een app bij met wie je in fysiek in contact bent geweest. Iedere telefoon heeft een unieke Bluetooth 'ID' (mac address). De app kan de ‘ontmoeting’ tussen de ID's opslaan en kan alarm slaan wanneer je in contact bent geweest met iemand die besmet bleek te zijn. Je kun dan in zelf-quarantaine gaan. De nauwkeurigheid is vele malen groter, ook al zijn niet alle omstandigheden even optimaal. 

Er is hierbij natuurlijk één levensgroot dilemma. De Bluetooth ID is een persoonsgegeven in de zin van de AVG privacywetgeving en kan niet zomaar worden opgeslagen. De database die we zo zouden aanleggen zou een gigantische privacy-hotspot worden, te meer gezien het feit dat de voorwaarde voor succes van deze hele benadering een massale adoptie en breed gebruik is. Niet doordacht gebruik van deze technologie heeft behoorlijke consequenties voor de privacy. 

'Niet doordacht gebruik van deze technologie heeft behoorlijke consequenties voor de privacy.'

Gelukkig zijn er technieken waarmee we het principe van de bovenstaande benadering wél privacyvriendelijk kunnen maken. Stel dat ieder contactmoment niet centraal, maar op beide telefoons wordt opgeslagen. En stel dat telefoon A het tijdstip en een bepaald type ID, dat voor ieder contact anders is, versleuteld op telefoon B opslaat en vice versa. De opgeslagen gegevens zijn onleesbaar, want versleuteld. De enige die de gegevens zou kunnen lezen, theoretisch, is de oorspronkelijke eigenaar van die gegevens. 

Wanneer de eigenaar van telefoon A nu positief wordt bevonden (door een zorgprofessional, en alleen dán) registreert de app dit op een centrale plek door de ‘decryptiesleutel’ van de app op A te publiceren. Met deze sleutel kan iedereen die de toepassing gebruikt controleren of zij in contact is geweest met de persoon die deze sleutel heeft gepubliceerd (dit gebeurt automatisch, in de achtergrond) en passende maatregelen treffen.

Hiermee kunnen we dus op een privacyvriendelijke wijze contacten traceren. Deze benadering wordt op dit moment door verschillende groepen uitgewerkt, waaronder de groep achter privatetracer.org.

'In tijden van crises moeten we onze publieke waarden en mensenrechten niet uithollen, maar juist versterken.' 

Een aantal belangrijke kanttekeningen zijn te maken bij deze hele benadering. Er is op dit moment geen (wetenschappelijk) bewijs dat de registratie van nabijheid daadwerkelijk werkt voor het in kaart brengen van de verspreiding van het virus. Singapore heeft nieuwe maatregelen moeten nemen, omdat het contact in kaart brengen niet voldoende opleverde. Daarnaast is er zeer brede adoptie nodig om een kans op resultaat te bereiken. Alleen daarom al is het belangrijk dat mensen de app vertrouwen. Op het moment zijn er meerdere initiatieven. Het gevaar is dat deze niet met elkaar samenwerken. Het is van belang dat we snel en met z'n allen een keuze maken - een keuze waarbij privacy gerespecteerd wordt. De Europese Commissie heeft daartoe ook opgeroepen. In tijden van crises moeten we onze publieke waarden en mensenrechten niet uithollen, maar juist versterken. 

Achtergrondinformatie: