Zeven firma’s en non-profitorganisaties presenteerden zaterdag hun voorstellen voor een app die waarschuwt als de gebruiker in de buurt van een coronapatiënt is geweest.

Zes van de zeven partijen maakt gebruik van bluetooth om contactmomenten tussen burgers te registeren.

Niet alle partijen hadden de broncode openbaar gemaakt, waardoor het lastig is om te beoordelen hoe de apps omgaan met gevoelige informatie.

Het kabinet wil de app niet verplichten, maar uit onderzoek blijkt dat minstens 60 procent van de bevolking zo’n app moet gebruiken om effectief te zijn.

Een chaotisch selectieproces, weinig technische details en vooral veel gepraat. De zogenoemde ‘appathon’ van de overheid boezemt tot nu toe weinig vertrouwen in.

Minister Hugo de Jonge van Volksgezondheid opperde begin vorige week de mogelijkheid van een app om mensen te waarschuwen als ze mogelijk zijn besmet met het coronavirus. Zij kunnen dan in zelfisolatie gaan of zichzelf laten testen.

Dan zou Nederland kunnen terugkeren naar een normaal leven en tegelijk de verspreiding van het virus onder controle kunnen houden. Duitsland en Groot-Brittannië werken aan apps die op ongeveer dezelfde manier werken.

In recordtempo is een selectieprocedure opgezet. Het ministerie kreeg 660 voorstellen binnen. Vervolgens hebben 67 experts op het terrein van epidemiologie, gezondheidszorg, informatiebeveiliging, ICT en privacybescherming uit een longlist van 63 voorstellen een shortlist van zeven voorstellen gemaakt.

Kritiek op de selectieprocedure

Op de procedure kwam meteen al veel kritiek van negen IT-experts die betrokken waren bij de selectie. Sommige apps werden door meerdere groepen deskundigen afgekeurd vanwege privacybezwaren, maar zitten uiteindelijk toch bij de zeven gekozen voorstellen.

"Wij kunnen ons daarom vanuit onze professionele integriteit niet verbinden aan de uitkomsten", zeggen ze in een brief. "Wij sluiten ons aan bij de oproep van Bits of Freedom en Platform Bescherming Burgerrechten alsmede de eerdere oproep van meer dan 140 wetenschappers om terug te gaan naar de tekentafel."

Beveiligings- en privacy-expert Brenno de Winter hekelt de snelheid waarmee de overheid de apps uit de grond wil stampen. "Het techoptimisme en gebrek aan ervaring bij het ministerie in combinatie met vage plannen van de ict-bedrijven zijn een dodelijke cocktail", zegt hij tegen de Volkskrant.

7 kanshebbers presenteren zich tijdens 'appathon'

Hoe dan ook, zaterdag kregen de zeven geselecteerde teams de kans hun voorstellen voor corona-apps te presenteren. Online uiteraard, want de lockdownmaatregelen zijn nog steeds van kracht.

Onder de kandidaten zijn het internationale organisatieadviesbureau Accenture en consultancybedrijven Capgemini en SIA Partners. Verder doet DEUS mee, een Amsterdams bedrijf dat gespecialiseerd is in kunstmatige intelligentie en het Utrechtse techbedrijf DTACT.

In het Duitse ITO werken particulieren, kennisinstituten en bedrijven samen om een corona-app te ontwikkelen. Ten slotte wordt de app van COVID19 Alert getest. Dit is een non-profitinitiatief van Belgische softwareontwikkelaars.

Deskundigen en belangstellenden mochten de plannen van de zeven finalisten zaterdag tegen het licht houden en commentaar leveren. De online uitzending werd door een paar duizend mensen gevolgd.

De meeste corona-apps werken met bluetooth

Zes van de zeven partijen maakt gebruik van bluetooth om contactmomenten tussen burgers te registeren. Bluetooth zorgt ervoor dat twee apparaten draadloos met elkaar kunnen communiceren. Dat signaal heeft meestal een bereik van een paar meter. Heel veel mensen gebruiken het, bijvoorbeeld voor hun draadloze koptelefoons en smartwatches.

Door de corona-app te installeren krijgt elk bluetooth-signaal van een smartphone een aparte en beveiligde code. Wanneer persoon A dicht langs persoon B loopt, of wanneer ze bijvoorbeeld naast elkaar in de trein zitten, worden hun codes in elkaars telefoons opgeslagen. Daar blijven ze twee weken lang staan.

Als persoon A vervolgens het coronavirus blijkt te hebben, stuurt het programma automatisch een bericht naar alle andere telefoons met die app. Die telefoons kijken in hun overzicht of de code van persoon A daartussen staat. Is dat het geval, krijgen al die gebruikers een melding, onder wie dus persoon B.

Niemand kan te weten komen wie persoon A is en wanneer het contact is geweest. Om daar zeker van te zijn, is het wel belangrijk dat overheden goed toezicht houden, zeggen cyberbeveiligers Frank Groenewegen (Fox-IT) en Rense Buijen (Trend Micro).

Dat betekent dat ze niet alleen moeten controleren welke informatie zo'n app precies bijhoudt en waar die data worden opgeslagen (lokaal op de telefoon of in de cloud), maar ook naar de beveiliging van de informatie en de app.

Broncode van sommige apps nog niet openbaar

Om dat te beoordelen is het handig als de broncode van de app openbaar is. En dat hadden niet alle teams gedaan.

Dat is "wel echt een hele belangrijke voorwaarde" voor de app die het kabinet zoekt, zei zorgminister De Jonge na afloop. "Dat is echt een huiswerkklusje, want daarvan hebben we wel gezegd: dat moet openbaar zijn en daarmee toetsbaar voor iedereen."

Verder is met name de privacy van de gebruiker niet bij ieder ontwikkelteam in goede handen, vonden experts. Zo gebruiken meerdere apps het 06-nummer als identificatiemethode. De vraag is hoe anoniem de app dan nog is.

Andere apps waren slecht toegankelijk voor mensen die bijvoorbeeld moeite hebben met lezen.

Aan het einde van dag één van de appathon zijn er nog veel vragen onbeantwoord. "De presentaties waren vooral gericht op design en werkwijze van de app", twittert RTL-journalist Daniël Verlaan die alle voorstellen heeft bekeken. "Hooguit werd gezegd dat data 'anoniem' of 'versleuteld' worden opgeslagen. Hoe? Dat is mij nog onduidelijk."

Gebruik van de corona-app is vrijwillig

De teams krijgen nu tijd om hun ontwerp voor de app te verbeteren. Zondag kunnen ze hun plannen opnieuw voorleggen. Daarna beoordeelt de Autoriteit Persoonsgegevens of die de privacy niet schaden en beslist het kabinet of er een bruikbare app tussen zit.

De belangrijkste vraag bleef zaterdag in ieder geval onbeantwoord. Hoe effectief is zo'n app?

Volgens onderzoek van het Big Data Institute van de universiteit van Oxford moet in ieder geval 60 procent van de bevolking zo'n app gebruiken om effectief te zijn. Dat zijn meer dan 10 miljoen Nederlanders.

Maar het kabinet wil het gebruik niet verplichten. Om de app te laten werken, moeten mensen die vertrouwen, onderstreept zorgminister De Jonge. En dat kan alleen als het gebruik vrijwillig is. Maar hoe gaat het kabinet dan 10 miljoen mensen zover krijgen om de app te installeren?

Update: Bij een van de mogelijke corona-apps, COVID19 Alert, is een datalek gevonden. Tijdens het beschikbaar stellen van de broncode is een bestand mee gekopieerd met zo'n honderd tot tweehonderd namen, mailadressen en versleutelde wachtwoorden, bevestigt Sander de Vries, een van de initiators, een bericht hierover bij RTL Nieuws.
De gegevens zijn afkomstig uit een ander project en zijn volgens hem vanwege de druk om de code snel openbaar te maken, per ongeluk niet verwijderd terwijl dat wel had gemoeten. "Een menselijke fout. Dat is niet goed, maar we hadden een half uur de tijd om de code online te zetten. Iedereen probeert iets goed te doen, dat dit dan gebeurt is heel sneu. We hebben in elk geval geen enkel commercieel doel."
Inmiddels zijn de gegevens verwijderd en de makers roepen mensen op die de informatie eraf hebben gehaald, hier niets mee te doen. De personen van wie de gegevens zijn uitgelekt, worden op de hoogte gebracht. Ook de Autoriteit Persoonsgegevens en het ministerie van Volksgezondheid worden geïnformeerd.

Lees meer over de coronacrisis: