Een app die je waarschuwt als je in de buurt van een met het coronavirus besmette persoon geweest bent. Dat zou de oplossing zijn om uit de coronacrisis te raken. Maar werkt dat wel? En kunnen we zo'n corona-app vertrouwen?
Ik volg al sinds het begin de ontwikkelingen van apps voor contact tracing. Daarbij was ik vooral onder de indruk van het werk van DP-3T. Maar omdat dit project open was in zijn ontwikkeling, zag ik ook alle mogelijke problemen die in de issues op GitHub naar voren werden gebracht.
Eerder al schreef ik op de website van PCM het artikel Kan een corona-app ons uit de crisis helpen? waarin ik op de werking van dit soort apps inga, en ook op de technische en maatschappelijke problemen. Een uitgebreidere versie is nu als achtergrondartikel in het julinummer van PCM verschenen. Daarin heb ik het ook over de Exposure Notifications API van Apple en Google, bespreek ik nog meer de technische uitdagingen en de bredere maatschappelijke discussie.
Het is vooral die bredere maatschappelijke die wel eens wordt vergeten. Als bestuurslid van The Ministry of Privacy vind ik privacy uiteraard een belangrijk aspect. Maar daarnaast vind ik dat men veel te veel vertrouwen heeft in een app als kant-en-klare oplossing en dat men te weinig nadenkt over mogelijke neveneffecten zoals stigmatisering van potentieel besmette personen en misbruik van de app voor andere doeleinden.
Transparantie
Een ander persoonlijk stokpaardje van mij is transparantie. Voordat ik zo'n app zou installeren die verregaande transparantie van mij vraagt over mijn contacten, ook al zijn de data geanonimiseerd, wil ik zelf volledige transparantie over de werking van de app. Dat betekent onder andere dat ik de broncode wil kunnen inzien van de app en de back-end en wil kunnen verifiëren of die broncode overeenkomt met de software die op mijn smartphone draait. Dat kan met reproducible builds.
Ik hoor ondertussen al maanden dat men in België bezig is aan een app en dat die gebaseerd zou zijn op DP-3T. Professor Bart Preneel die in het DP-3T-consortium zit zei in De afspraak van 26 mei op VRT dat de Belgische app voor 80% gelijk is aan de Zwitserse app. Daarvan is de broncode voor Android en iOS beschikbaar. Maar ik heb nog geen enkele broncode van de Belgische app gezien, wat niet transparant is als de Belgische overheid verwacht dat burgers die app binnenkort op hun smartphone gaan installeren. Volledige transparantie bereik je maar met een opensource ontwikkelingsmodel vanaf het begin, zodat burgers de ontwikkeling kunnen volgen en bijsturen, zelf commentaar kunnen leveren en zo kunnen bijdragen aan de app.
Bovendien belooft een recente analyse van de Zwitserse app SwissCovid door de Franse cryptograaf Serge Vaudenay niet veel goeds. Zijn observaties beginnen met:
Although the source code of the app is available, we cannot compile it, run it, and make it work without signing an agreement with Apple or Google. We do not find it compatible with the notion of open source.
A big part of the contact tracing protocol (which was originally the DP3T protocol) is implemented by Apple-Google in a part of the system called GAEN. This part has no available source code although the law requires disclosure of the source code of all components of the system.
Apple en Google hebben zich als redders van de wereld opgeworpen met hun gezamenlijke API, maar door deze zo diep in het besturingssysteem in te bouwen, is er weinig transparantie over wat de code exact doet. Het toont voor mij nog maar eens aan hoe belangrijk het is om een volledige opensourcestack te hebben, van de app waarmee de eindgebruiker in contact komt tot het besturingssysteem zelf.