Vandaag schreef Follow the Money over de ontwikkeling van een “wallet” door de overheid. Of, zoals zij het noemen, de digitale bewijspas. Ik ben daarbij betrokken, en dus vast bevooroordeeld. Maar twee dingen vallen mij op, en doen me denken aan onderwerpen waarover ik al vaker schreef. Vandaar een nieuwe blog. Over hoe ik zelden nog betaal met een fysieke bankpas. En over dat je toch goed moet afwegen of je in een winkel ook met een app moet willen kunnen aantonen dat je 18+ bent.

Maar eerst die twee dingen die me opvielen. Over waarborgen bij regie op gegevens en over de vlag die de lading niet dekt.

Regie op - en bescherming van - je eigen gegevens

In de zorg wordt het steeds gebruikelijker: je eigen gegevens zelf ook hebben. Om samen te beslissen over jouw behandeling is het nodig om over dezelfde gegevens als je zorgverleners te beschikken. Daarom wordt veel energie gestoken in het toegankelijk maken van de eigen gegevens voor patiënten.

Gegevens- en data-uitwisseling tussen patiënt/cliënt en aanbieder en aanbieders onderling wordt, conform privacywetgeving, verbeterd waarbij uniformiteit noodzakelijk is. Een goed functionerende persoonlijke gezondheidsomgeving (PGO) voor patiënten is het einddoel, aldus het coalitieakkoord.

Aan die emancipatie van mondige patiënten is veel discussie vooraf gegaan. Maar de laatste jaren is het gewoon geworden om over dezelfde gegevens beschikken als je zorgverlener. In de meeste ziekenhuizen kun je het medisch dossier en de laatste uitslagen al inzien voordat je in de spreekkamer zit. En kun je ook die gegevens downloaden en er zelf over beschikken. Daarmee komen gegevens die (als het goed is) goed beschermd bij zorgverleners zijn opgeslagen en die ook juridisch (bijvoorbeeld door het beroepsgeheim) zijn beschermd in handen van onszelf. Wij kunnen daarmee doen wat we willen. En dus, bijvoorbeeld, ze verliezen, per ongeluk delen, of niet meer kunnen aantonen dat ze echt van de eigen zorgverlener komen, over onszelf gaan en niet gewijzigd zijn. Daarom is MedMij ontwikkeld. MedMij is een afsprakenstelsel voor persoonlijke gezondheidsomgevingen dat er voor zorgt dat, ook al is gezondheidsinformatie in het consumentendomein gebracht, mensen erop kunnen vertrouwen dat hun medische informatie klopt, veilig is en vertrouwd gedeeld kan worden. Nederland zet daarbij een stap die internationaal bijzonder is. Informatie wordt aan mensen zelf gegeven, maar er worden tegelijkertijd extra waarborgen aangebracht. Je eigen papieren medische dossier kon je ook al kopiëren en verspreiden. Maar digitalisering maakt dat risico groter, en gaat daarom gepaard met extra bescherming.

Hetzelfde is ook aan het gebeuren op andere domeinen dan de zorg. Bij de overheid, bijvoorbeeld. Onder de noemer ”Regie op gegevens” wordt er aan gewerkt dat wij allemaal de informatie kennen die de overheid over ons heeft, en daarover ook zelf kunnen beschikken. Over een bewijs van ons inkomen bijvoorbeeld, of over onze diploma’s. Gevoelige gegevens, net zoals medische gegevens. Gegevens waar we zelf, ook ik, niet altijd even precies mee omgaan. Want zeg eerlijk: sta jij een hotel toe om een kopie van je paspoort te maken, als ze je anders niet toelaten? Die kopie is bijvoorbeeld handig voor mensen die met jouw identiteit en op jouw naam een telefoonabonnement willen afsluiten. Maar zeg maar eens nee in het hotel.

Het zijn gegevens die we ongemerkt best vaak gebruiken. Om ons inkomen aan te tonen als we een woning huren of kopen, of als we solliciteren naar een functie waarbij een diploma wordt gevraagd. Ook hier geldt: op papier moet je met die gegevens al zorgvuldig omgaan. Maar digitalisering maakt verspreiding en dus ook misbruik makkelijker.

Het artikel waar ik aan het begin naar verwees beschrijft de ontwikkeling van een “voorbeeld wallet”. Een ontwikkeling waarbij de vraag precies dezelfde is als bij persoonlijke gezondheidsomgevingen: als je mensen hun eigen gegevens digitaal geeft, kun je dan extra waarborgen bieden dat die gegevens niet zomaar misbruikt kunnen worden. En kun je er zo voor zorgen dat mensen zelf regie houden over hun gegevens en het gebruik daarvan?

Je eigen gegevens ook digitaal hebben is onvermijdelijk: de meeste mensen verwachten terecht dat de overheid ze vertelt wat ze van ze weet en ook een digitaal afschrift van die gegevens verstrekt. Net als bij medische gegevens vind ik het een goed idee dat we daarbij ook nadenken over waarborgen en bescherming. Ook als die gegevens de overheid verlaten hebben en bij mensen zelf zijn.

De vlag en de lading

In 2011 werd de ontwikkeling van het landelijk EPD gestopt. Waar EPD voor stond weten nog steeds veel mensen: het Elektronisch Patiënten Dossier. Door het gebruik van het woord "dossier" dachten veel mensen dat er één landelijk dossier zou komen, met alle medische gegevens van alle Nederlanders er in. Ik schreef al eerder: dat ene dossier zou er nooit komen. Maar het woord "dossier" had desondanks blijvend veel invloed.

Misschien geldt hetzelfde wel voor woorden die we nu gebruiken in de ontwikkeling naar een persoonlijke digitale kluis voor andere dan medische gegevens. De Europese Commissie heeft voorstellen gedaan voor een dergelijke digitale kluis voor de eigen gegevens die in de hele EU te gebruiken is. Die kluis wordt "wallet" genoemd. Naar analogie van de portemonnee waarin we pasjes bewaren. Een digitale kluis waar je bijvoorbeeld een diploma in kan doen, je rijbewijs of iets anders. Een soort persoonlijke gezondheidsomgeving dus, maar dan voor andere gegevens. Zoals we vliegtickets, bankpassen of toegangskaarten voor een concert in de portemonnee kunnen stoppen maar tegenwoordig ook op de telefoon kunnen bewaren en tonen.

Met de gegevens in zo’n persoonlijke kluis kun je, zo is het idee, online aantonen dat je 18+ bent, in een ziekenhuis in Frankrijk laten zien dat je een zorgverzekering hebt, of in Denemarken als je een auto huurt aantonen dat je een rijbewijs hebt. Het is bedoeld om, in de digitalisering van veel van wat we doen, een veilig en vertrouwde kluis te bieden voor gevoelige gegevens. Dat kun je “elektronische identiteit” noemen, en dan is het moeilijk om te begrijpen wat je bedoelt (ik vind mijn diploma’s niet mijn identiteit). Of, zoals Follow the Money, bewijspas. Dat is een goed gevonden woord, want je bewijst dat je een diploma hebt, bijvoorbeeld. Maar de kluis (of “wallet” dus zoals het ding ook genoemd wordt) is eerder een opslagplek voor bewijspassen. Wat ik daarin op sla is aan mij, en wat ik wil bewijzen ook. Ik heb nog geen goed alternatief helaas. Alle voorstellen zijn dus welkom!

Open gesprek en de hoogste lat

Heb ik dan een heilig geloof in wallets? Wel nee, dat is niet waar het mij omgaat. Ik vind het mijn recht om ook digitaal over de gegevens te beschikken die de overheid van mij heeft. En om die op te slaan op een manier die ik zelf wil. En tegelijkertijd word ik graag ook een beetje beschermd tegen misbruik. Ik betaal tegenwoordig veel vaker met mijn telefoon dan met mijn fysieke bankpas. Het zou zomaar eens kunnen zijn dat over een tijdje fysieke diploma’s iets uit het verleden zijn geworden en we het heel normaal vinden dat we onze opleiding vooral digitaal bewijzen.

Net als bij medische gegevens vind ik het belangrijk dat we bij andere gegevens goed nadenken “in welke digitale samenleving we willen leven”. En dus stilstaan bij de ethische dilemma's, bij de risico’s, bij of we die acceptabel vinden en bij hoe we die beperken. Een beetje (uitstapje) zoals we privacy beschermen. We kunnen bescherming van persoonsgegevens aan “de markt” over laten. Maar zelf ben ik er blij mee dat er door de overheid extra waarborgen zijn gemaakt dat er zorgvuldig met mijn gegevens wordt omgegaan. Ik ben blij met de AVG bijvoorbeeld. Hoe lastig de vragen naar acceptatie van cookies of de privacyverklaringen op websites ook soms zijn.

Terug naar de datakluis. Als we niets doen komen die digitale kluizen er ook, van allerlei bedrijven. Net als bij medische gegevens vind ik het goed om na te denken over de grenzen en eisen daaraan, en over aanvullende waarborgen. Zodat digitalisering ons niet overkomt maar we het samen richting geven. In alle openheid en met alle dilemma’s op tafel.

Wil je, bijvoorbeeld, in een winkel als je alcohol afrekent ook met je telefoon kunnen bewijzen dat je 18+ bent of daar toch altijd een fysiek identiteitsbewijs vereisen. Wat zijn de risico’s van het gebruiken van een digitaal bewijs in de offline wereld, en wat zijn de kansen en risico’s bij online gebruik?

Wellicht kom je tot de conclusie dat extra waarborgen nodig zijn of je sommige dingen echt niet moet willen. En wellicht kom je tot nieuwe technieken die risico’s beperken. Nederland heeft veel ervaring met transparant en open ontwikkelen en ook met digitale datakluizen en online identiteit. Door voorop te lopen in het open bespreken van de dilemma’s, in het ontwikkelen van voorbeelden en het innoveren op techniek kunnen we de lat hoog leggen als het gaat om veiligheid, toegankelijkheid en privacy. En daarmee ook in Europa de toon zetten.

Daarom werk ik mee aan de ontwikkeling van de bewijspas, wallet, datakluis. Om te zorgen dat we waardengedreven digitaliseren. Dat we het niet zomaar “laten gebeuren” maar in alle openheid samen vorm geven aan een digitale samenleving waarin publieke waarden geborgd zijn.

Digitale transitie is een breed begrip en omvat veel. Dat uit zich ook in de recente brief over beleid voor digitalisering van het kabinet. Twintig pagina's beleid, ga er maar aan staan.

Aan dat beleid ga ik vanaf deze maand met heel veel mensen handen en voeten geven. Transparant en open, zoals eerder. Daarom aan jou de vraag: help je me op weg?

Ik ben heel nieuwsgierig naar jouw antwoorden op vragen als "waar moet de focus op liggen?", "wat zouden de internationale speerpunten moeten zijn?", "wie moeten zeker gevraagd worden om mee te denken en mee te doen?", "welke resultaten moeten zeker geboekt worden en hoe dan?", "wat moeten we wel doen, en wat ook niet (meer)?", "hoe en waar zorgen we voor blijvende offline en online ontmoetingen en dialoog?", "welke zinnen moeten zeker worden uitgesproken in het volgende debat over digitalisering in de Tweede Kamer?", etc.

Kortom: beleid en uitvoering voor digitalisering, dat doen we samen. Kom maar op met voorstellen en aanbiedingen om mee te doen. Bij voorkeur in een blog, een reactie, etc. Want dan kunnen anderen weer op jou reageren.

Ik ben nieuwsgierig! Reageren kan bijvoorbeeld op LinkedIn

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz en open API's

Van verschillende kanten wordt in de voorbereiding op de behandeling van de Wegiz gezegd dat het jammer is dat de wet geen eisen stelt aan verplicht gebruik van open API's. API's, of Application Programming Interfaces, zijn gestandaardiseerde manieren om gegevens die in informatiesystemen zijn opgenomen te raadplegen of wijzigen. Zo maken API's op de systemen van de GGD en het RIVM het mogelijk om vanuit de CoronaCheck-app vaccinatiegegevens op te vragen en er een bewijs van te maken. Ook het MedMij-afspraken stelsel, dat ten grondslag ligt aan het kunnen ophalen van de eigen informatie in een Persoonlijke Gezondheidsomgeving, werkt met dergelijke API's. Open API s maken innovatie mogelijk, door ontwikkelaars gestandaardiseerde toegang tot informatie in bronsystemen te geven. Daarom is het goed om afspraken over open API's voor de hele zorg maken (en daar wordt door Nictiz ook aan gewerkt).

Afspraken over API's kunnen ook (via opname in normen) verplicht worden gesteld onder de Wegiz. Dat kan niet in een keer voor de hele zorg, maar per gegevensuitwisseling. De Wegiz stelt namelijk eisen aan specifieke gegevensuitwisselingen, denk aan verpleegkundige overdracht of beelduitwisseling tussen ziekenhuizen. Het is dan wel nodig dat de eisen aan techniek die in normen worden opgenomen de API's bevatten.

Daar is voor gekozen omdat elke gegevensuitwisseling andere gegevens bevat en elke verplichting daardoor gaat over andere informatie die wordt uitgewisseld. Zorgprofessionals bepalen zelf in kwaliteitsstandaarden, bijvoorbeeld voor verpleegkundige overdracht, welke informatie nodig is. Als dat is gebeurd dan kan onder de Wegiz worden aangewezen hoe die gegevensuitwisseling moet plaatsvinden. Niet in de wet zelf (die bevat geen vaste technische eisen waardoor de wet innovatie mogelijk maakt), maar in een Algemene Maatregel van Bestuur (AMvB). In zo'n AMvB kan verplicht worden dat aan normen wordt voldoen. In zo'n norm worden zowel eisen gesteld aan taal als aan techniek. Zo zorg je ervoor dat de informatie over komt en ook begrepen wordt. In de aanwijzingen ten aanzien van de techniek kan (via normen waarin eisen zijn opgenomen) dus wel degelijk ook een open API worden aangewezen (bij voorkeur natuurlijk voor elke gegevensuitwisseling dezelfde).

Vanwege de opzet van de Wegiz kan het verplicht stellen van een open API dus wel, maar alleen in normen per gegevensuitwisseling. Dat hoeft niet erg te zijn, want er zijn andere manieren om zorgbrede eisen te stellen. Zo worden in het "Besluit elektronische gegevensverwerking door zorgaanbieders" eisen gesteld aan informatieveiligheid die gelden voor elk zorginformatiesysteem. Net als in de Wegiz gebeurt dat door te verplichten dat wordt voldaan aan NEN-normen. Denk aan NEN 7510 voor informatiebeveiliging en NEN 7513 voor logging. Een NEN-norm voor open API's in de zorg is er nog niet. Maar zo'n norm is best denkbaar!

Open APIs en landelijke uitwisseling
In veel regio's worden zorgspecifieke infrastructuren gebruikt voor gegevensuitwisseling tussen zorgaanbieders. Open API's hebben in de regel geen aparte infrastructuur nodig, want ze maken meestal gebruik van Internet (met beveiliging, dat natuurlijk wel). Als die open API's er zijn dan is landelijke uitwisseling ook veel makkelijker geworden. Zorgspecifieke infrastructuren kunnen dan worden vervangen door veilige communicatie over Internet met gebruik van open API's. Twee vliegen in een klap dus!

Het is een vraag die in de zorg, maar ook daarbuiten, vaak speelt. Bij het stellen van een diagnose is bijvoorbeeld soms informatie van andere artsen zinvol. Denk aan een oude MRI-scan of een eerdere diagnose. Maar wie maakte die scan ook al weer, hoe lang geleden was dat eigenlijk, is die scan nog beschikbaar? Je kunt natuurlijk een rondje bellen, maar dat is veel werk en niet altijd even doelmatig. Elektronisch de vraag stellen aan alle zorgaanbieders kan ook, maar heeft nog al wat haken en ogen. Wat als een GGZ-instelling die vraag over mij zou stellen aan alle zorgaanbieders, of een verslavingskliniek? Alleen al de vraag stellen geeft meer prijs dan je lief is.

Datzelfde vraagstuk hadden we bij het maken van CoronaCheck. Als ik in de app mijn QR-code aanmaak dan bevraagt de app meerdere bronsystemen op vaccinatie-, test- en herstelgegevens van mij. Op dit moment gaat het om de GGD, het RIVM en ZKVI (het systeem dat gebruikt wordt door ziekenhuizen die bijvoorbeeld huisartsen en ambulancepersoneel uit de eigen regio vaccineren). CoronaCheck doet dat niet door het BSN te versturen, want dat levert het privacyprobleem op dat ook de verslavingskliniek van hiervoor zou hebben. Het pseudoniem van de persoonsgegevens dat wordt verstuurd kan alleen worden gemaakt als de bron ook gegevens over de persoon bevat. Daarmee kunnen de andere bronnen niet herleiden om wie het gaat.

In de DPIA is dat alsvolgt beschreven:

Met name voor de vaccinatiegegevens geldt dat de betrokkenen die de gegevens wil opvragen om een Bewijsmiddel aan te maken niet altijd weet in welke vaccinatieadministratie zijn of haar gegevens zijn opgenomen (omdat de eerste vaccinatie mogelijk in een andere administratie is opgenomen dan de tweede of omdat men niet goed weet onder wiens verantwoordelijkheid de vaccinatie is uitgevoerd). Om toch te kunnen zorgen dat de persoon kan beschikken over een EU DCC en Coronatoegangsbewijs is de volgende oplossing ontwikkeld. Na DigiD verificatie van de persoon wordt door middel van een gepseudonimiseerde bevraging van de relevante administraties, de vaccinatie‐/test‐/herstelgegevens van de gebruiker opgevraagd bij alle (potentieel) relevante partijen.

Met het BSN en van BRP‐gegevens (voornaam, geboortenaam en geboortedatum) wordt een cryptografische hash‐waarde berekend met behulp van het SHA‐256 algoritme. Omdat genoemde invoerdata een zekere mate van voorspelbaarheid heeft, is de maximale entropie van dit deel van de hash‐waarde niet de 256 bits die het SHA‐256 algoritme potentieel biedt, maar is deze gereduceerd tot ongeveer 58 bits in de meest conservatieve schatting, maar effectief waarschijnlijk 70 bits (dit heeft te maken met de structuur van het BSN, hoe uniek achternamen zijn en dat de geboortedata in een maximaal interval van 1906 tot 2021 zullen liggen). Om deze nog relatief lage entropie te adresseren wordt bij de berekening van de hash‐waarde een voor de zorgaanbieder unieke salt gebruikt (ook wel shared secret genoemd) die de entropie voor derden verhoogt evenredig aan de lengte van de salt.

Vooralsnog wordt uitgegaan van een totale entropie (voor derden die niet bekend zijn met de salt) van 384 bits of meer. Dit vormt samen de “UNOMI‐token”.

Ik vind dit een mooie oplossing om ook op andere plekken in de zorg te beproeven. Bijvoorbeeld om mijn Persoonlijke Gezondheidsomgeving te kunnen vullen met al mijn historische gegevens. Zo'n beproeving vergt wel een passende grondslag, want het gaat ook bij een pseudoniem nog steeds om een persoonsgegeven.

Meer weten over de technische oplossing? Die is beschreven op Github.

Een tijdje terug schreef ik een blog over waarom je algoritmen niet perse moet willen begrijpen. Die blog maakte veel reacties los. Veel daarvan kwam neer op: je snapt toch wel dat vooringenomenheid moet worden bestreden? Mijn antwoord daarop is: ja zeker wel! De vraag is alleen of je daarbij vooral het proces centraal moet stellen of juist de uitkomsten kritisch moet beschouwen.

Een voorbeeld. Als leidinggevende met een achtergrond waarin een dubbeltje niet snel een kwartje zou worden ben ik gespitst op vooringenomenheid in selectieprocessen. Gelukkig is daar steeds meer aandacht voor. Veel van die aandacht gaat naar het proces van selectie zonder vooroordelen (denk aan het weglaten van identificerende gegevens uit brieven en CV’s om de kans op vooringenomenheid te verkleinen).

Maar of een selectieproces zonder vooringenomenheid was kun je ook anders beoordelen, namelijk door de uitkomsten te beschouwen. De vertegenwoordiging van iedereen in de samenleving is best een goede graadmeter. Kort geleden veranderden veel vrouwen op LinkedIn hun naam tijdelijk in Peter. Ze deden dat om aandacht te vragen voor het feit dat er in 2022 nog steeds veel meer mannelijke dan vrouwelijke bestuurders zijn. Sterker nog, er zijn zelfs meer bestuurders die Peter heten dan dat er vrouwelijke bestuurders zijn. De uitkomsten van selectie zijn niet zonder vooroordelen, zo blijkt.

Ik ben er daarom voorstander van om ook eisen te stellen aan de uitkomsten van selectieprocessen. Bijvoorbeeld met een vrouwenquotum, maar eigenlijk breder nog namelijk door eisen te stellen aan inclusie in het algemeen.

Dat is ook de reden dat ik niet perse vind dat je algoritmen moet willen begrijpen. Het zijn de uitkomsten die tellen. Deze moeten zonder vooringenomenheid zijn. Dat is, wat mij betreft, misschien wel het belangrijkst om te blijven toetsen.

In de recent uitgebrachte Leidraad voor kwalitatieve diagnostische en prognostische toepassingen van AI in de zorg heeft dat een belangrijke plek gekregen. Net als bij andere medische interventies geldt ook bij het gebruik van AI in de zorg: het zijn de uitkomsten die tellen. In de leidraad wordt daarom beschreven hoe je de waarden van algoritmen in de zorg onderzoekt met ook aandacht voor bias in de werking.

Bij de externe validatie van het model dient men verder te kijken dan alleen naar de voorspelkracht en medische waarde. Ook evaluatie van eerlijkheid en bias is van groot belang. Ongelijke behandeling ontstaat meestal door een vorm van algoritmische bias

Verschillende vormen van algoritmische bias worden onderscheiden. Het begrippenkader van Suresh & Guttag en de daarin genoemde vormen van bias wordt daarbij toegepast.

In de leidraad voor kwalitatieve diagnostische en prognostische toepassingen van AI in de zorg worden niet alleen de algoritmen maar vooral de effecten en uitkomsten onderwerp van onderzoek. Zoals de gezondheidsuitkomsten op de lange termijn en op de korte termijn, voor zowel het individu als de populatie.

Beoordelen van uitkomsten: dat is zoals in de gezondheidszorg interventies worden beoordeeld. Het voorkomen van ongewenste vooringenomenheid daarin telt daarmee ook. Dat geldt voor handelingen door mensen in de zorg, en ook voor algoritmen.

Daarom ben ik voorstander van het beoordelen van processen (van zowel mensen als algoritmen) op tenminste hun uitkomsten. En dus, om de cirkel rond te maken, van quota gericht op inclusiviteit bij selectieprocessen.

Ik ben slecht in schaken. Zelfs zo slecht dat ik zelden win. Als ik toch een beetje een kans wil hebben dan speel ik bij voorkeur tegen iemand die direct en precies kan uitleggen waarom een zet is gedaan. Want de kans dat zo iemand echt goed kan schaken, is niet zo groot.

Over hoe mensen beslissen is veel literatuur en er wordt nog steeds veel onderzoek naar gedaan. Beroemd onderzoek, ook in Nederland. Zo als dat van Adriaan de Groot. Een psycholoog die in 1946 cum laude promoveerde op “Het denken van den schaker”.

Ook in de zorg wordt veel onderzoek naar beslissen door zorgprofessionals gedaan. In het boek “Practical Decision Making in Health Care Ethics: Cases and Concepts” trof ik ook weer schaken als voorbeeld aan.

One way to grasp the difference between a rational choice strategy and a recognition-primed decision strategy is to think of how a computer plays a game of chess. The computer uses a rational choice strategy. It considers all the possible moves, then the opponent’s possible counter moves to these moves, then its possible moves after these counter moves, and so on. After comparing thousands of alternatives, it picks the best move.

This artificial intelligence is so powerful that good computer programs can now beat the best chess players. The beginning chess player, by the way, also relies on rational choice strategy. He compares the advantages and disadvantages of possible moves to find the best one. Of course his ability to compare moves and counter moves is far less than that of a computer. The expert player, on the other hand, relies chiefly on a recognition-primed decision approach. He perceives key patterns on the board, considers them rather briefly, and then makes his moves. He has neither the time nor the cognitive ability to calculate the huge number of possibilities implied by each move he could make.

Beslissingen nemen is bij mensen veel meer dan een rationeel afwegingsproces. Er zit, onder andere, veel patroonherkenning in. En het gaat, zowel bij experts als bij anderen, met regelmaat fout. Mooie voorbeelden daarvan, en waarom ze ontstaan, tref je aan in het boek “How doctors think”. Menselijke beslissers, zoals artsen, die een bepaald patroon vaak hebben gezien, delen een nieuw probleem dat er op lijkt al snel bij diezelfde groep in. “Availability heuristics” heet dat. Daniel Kahneman won voor die theorie in 2002 een Nobelprijs.

Als er niet alleen een rationeel afwegingsproces is, dan is het veel lastiger achteraf de keuze uit te leggen. Groopman, de schrijver van “How doctors think”, adviseert patiënten daarom vooral vragen te stellen die voorkomen dat fouten in het denken ongemerkt blijven. Vragen als “Kan het nog iets anders zijn?” of “Is er iets dat niet in het plaatje past?”. Vragen die de patroonherkenning uitdagen. Zijpad: omdat huisartsen minder in een specialistische tunnel zitten is Groopman fan van een eerste triage door huisartsen.

In het debat over algoritmen, en zeker over hun toepassing binnen de overheid, wordt – wat mij betreft - onterecht vooral de aandacht gericht op registers van algoritmen en het eisen van inzicht in hun werking. Dat kan bij simpele algoritmen, die eigenlijk rekenregels zijn. Zodra het complexer wordt, zoals in het geval van zelflerende algoritmen en patroonherkenning, wordt dat een stuk lastiger. Net als bij mensen. En het is ook helemaal niet nodig.

Als je niet alleen focust op de precieze werking van een algoritme, dan kom je op andere oplossingen. Ik noem er 3.

1. Consultatie, second-opinion en redundantie
   Is de keuze echt lastig, dan wordt in de zorg vaak een collega geconsulteerd. Of, als de patiënt het initiatief neemt, een second-opinion gevraagd. In machines die het altijd moeten doen, denk aan ruimtevaartuigen, worden beslissingen vaak ook door meerdere systemen of algoritmen genomen. Ik vind het geen gek idee om dat voor gevoelige beslissingen op andere gebieden ook te doen. Dat kan op heel veel manieren. Door meerdere algoritmen tegelijk bijvoorbeeld, met steekproeven en second opinion door mensen of door bij voortduring te monitoren op onregelmatigheden en die te willen gebruiken om van te leren.
2. Transparant leren en verbeteren op basis van uitkomsten
   In de zorg is het gebruikelijk geworden: de eigen uitkomsten gebruiken om van te leren en te verbeteren. Die uitkomsten geven inzicht in verschillen die relevant kunnen zijn. Tussen ziekenhuizen, of tussen groepen die ze behandelen. Dat kan ook op andere terreinen. Door uitkomsten te monitoren en onderzoek te doen naar gevonden verschillen kun je niet alleen individuele fouten vinden en waar mogelijk herstellen, maar ook structurele fouten repareren.
   Dat, overigens, is niet altijd eenvoudig. Er is bijvoorbeeld, begrijpelijk, veel weerstand tegen het gebruiken van nationaliteit of afkomst bij beslissingen. Ook in de zorg is men er voorzichtig mee. Maar het is in sommige gevallen een heel noodzakelijk gegeven. Uit onderzoek naar etniciteit en kanker, in de Verenigde Staten bijvoorbeeld, blijken er verschillen te bestaan tussen etnische groepen als het gaat om de uitkomsten van diagnose en behandeling van kanker. Verschillen die verklaard kunnen worden door allerlei factoren, zoals sociaal economische en culturele. Maar ook door genetische factoren. Nu steeds meer bekend wordt over genetische factoren van ziekte, en ook behandeling steeds persoonlijker wordt, is het vastleggen van dergelijke gegevens juist een vorm van goede zorg. Zoals bijvoorbeeld ook het aanbod van stamcellen wereldwijd sterk verschilt tussen regio’s, waardoor de kans op een passende behandeling afhangt van je afkomst. Verschillen in uitkomsten onderzoeken vergt daarom een open blik, transparantie en verantwoording.
3. Ethische begeleiding
   En daarmee kom ik bij mijn derde punt: of het nu om mensen (dokters bijvoorbeeld) of algoritmen gaat, het is de inzet ervan die bepalend is. De bekende dooddoener: met een hamer kun je een spijker inslaan, maar ook een ander pijn doen. Bij de inzet van technologie als CoronaMelder is ethiek daarom voortdurend meegenomen. Dat deden we samen met prof. dr. ir Peter-Paul Verbeek. Met het ECP ontwikkelde hij de aanpak Begeleidingsethiek. Het ministerie van VWS ontwikkelde de daarop gebaseerde “handleiding aanpak begeleidingsethiek voor AI & digitale zorg”. Ethiek beperkt zich natuurlijk niet tot algoritmen. In de zorg is het gebruikelijk om nieuwe onderzoeken, bijvoorbeeld, altijd eerst van een medisch-ethische toetsing te voorzien.

Ik ben, dit alles overwegend, geen fan van een puur instrumentele benadering van AI en algoritmen. Een algoritmeregister en een volledige uitleg van een algoritme (als dat al mogelijk is) voegen niet zoveel toe. Niet in de zorg, niet in het openbaar bestuur. Het gaat om hoe we er mee omgaan. Om de waarborgen, de transparantie en de ethiek van de inzet. Als je je daarop richt kom je tot hele andere oplossingen. Oplossingen die, als je om je heen kijkt in sectoren als de gezondheidszorg, al lang bestaan en hun werking hebben bewezen.

PS
We hebben nog veel te doordenken, zoals terecht door Floor Terra opgemerkt. Denkrichtingen moeten kritisch worden beschouwd. Wat betekent het niet altijd kunnen uitleggen van een algoritme bijvoorbeeld voor het recht op controle van de verwerking en van correctie?

Rationele mensen en niet te vertrouwen algoritmen In de gesprekken naar aanleiding van deze blog viel mij op dat vaak wordt gedacht dat mensen rationeel zijn en hun handelen kunnen uitleggen en algoritmen niet. Algoritmen zouden daarom met minder vertrouwen moeten worden bekeken. Dat onderscheid maak ik zelf niet. Beide vormen van handelen moeten, wat mij betreft, op dezelfde manier worden beschouwd. Of een diagnose nu door een dokter of een algoritme wordt gesteld: de eisen zijn hetzelfde. Ook omdat mensen niet zo rationeel en bewust handelen als soms wordt gedacht en algoritmen de kans op discriminatie daarom juist ook kunnen verkleinen.

Het is weer november, en tijd om onze zorgverzekeringen tegen het licht te houden. Voldoen ze nog? Als kind van een vader met een ziekenfondsbril en met thuis regelmatig gesprekken over het al dan niet vergoed worden van behandeling ben ik daar elk jaar weer precies in. Ik vond het verschil als kind schrijnend, met een buurman die op een éénpersoonskamer lag en genoot van de luxe die met private verzekeringen kwam. Dit is dus geen blog over terug verlangen naar vroeger, integendeel. Die vroegere ervaringen zijn wel de reden dat ik elk jaar weer de verzekering voor het volgende jaar tegen het licht houd.

Mijn ervaringen met (gesloten en open) jeugdzorg zijn voor mij de reden dat ik elk jaar de verzekeringen tegen het licht houd. Eerder schreef ik daar al over. Niet over de ervaringen met de gesloten Jeugdzorg, die waren me te intiem om over te schrijven. Wel over de therapeuten in dezelfde instellingen die van niet bestaande regels moesten stoppen omdat de tijd op was, over Veilig Thuis, waar men durfde te leren van mijn klacht en over de Gemeente Den Haag die voor al haar inwoners een probleem oploste op basis van mijn persoonlijke ervaringen.

Over dat laatste schreef ik toen:

Nog geen week later kregen alle ingekochte professionals een bericht: als in een gezin een professional nodig is die niet is ingekocht, dan mogen zij via onderaanneming dat mogelijk maken.

Om mijn gezin staat sinds die tijd een vaste groep bevlogen, vrijgevestigde hulpverleners. Mensen die al jaren vanuit een opgebouwde vertrouwensrelatie weten wat speelt, weten wat nodig is en – nu het zo goed gaat dat loslaten kan – nog steeds het vangnet zijn dat nodig is. Alleen niet meer vanuit de jeugdzorg, want iedereen is 18+.

Het is de ziektekostenverzekering en niet de gemeente die nu de zorg vergoedt die nodig is. En dat is erg puzzelen. Niet iedere zorgverlener heeft een contract met een verzekeraar, niet iedere zorgverlener heeft met iedere zorgverzekeraar een contract en als er wel een contract is met een verzekeraar is er niet altijd ruimte in het volume van 2022. Daarom is het weer de tijd van het jaar voor een ingewikkelde puzzel, waarbij 100% vergoeding van niet gecontracteerde zorg een element is, maar dus ook de wel gesloten contracten en de ruimte daarin. Dit jaar zijn er, zo ontdek ik, weer minder zorgverzekeringen die 100% vergoeden van niet gecontracteerde zorg. Dat is wel nodig, omdat na jarenlange begeleiding vanwege trauma en de daarbij opgebouwde vertrouwensrelatie veranderen van zorgverlener geen optie is.

Gelukkig ben ik in staat om die puzzel te leggen. Maar het is zo lastig puzzelen dat er genoeg mensen zijn voor wie dat te complex is. Ken je ze? Help ze dan vooral!

Afgelopen weekend schreef ik een blog en twee oproepen op LinkedIn. Dit naar aanleiding van een in de Tweede Kamer aangenomen motie dat QR-codes moeten worden geblokkeerd na een positieve test. Ik stelde de vraag: ziet iemand oplossingen die uitvoerbaar zijn en recht doen aan onder meer gegevensbescherming en informatieveiligheid? Veel reacties volgden, en er lijkt geen makkelijke oplossing te bestaan. Zo zouden in ieder geval alle reeds uitgegeven papieren bewijzen ongeldig moeten worden gemaakt, met alle gevolgen van dien voor mensen die dergelijke bewijzen hebben aangevraagd bij bijvoorbeeld hun huisarts of via de post.

In de blog schreef ik dat de Tweede Kamer recent een Commissie Digitale Zaken heeft ingesteld en dat deze commissie de aanleiding van die instelling als volgt omschrijft:

Digitalisering verandert onze samenleving radicaal. Nieuwe technologieën als kunstmatige intelligentie, algoritmen, Big Data, robotica, quantumcomputers, Internet of Things en de cloud hebben grote gevolgen, zeker in samenhang met elkaar. Deze ontwikkelingen gaan snel en hebben invloed op onder meer de werkgelegenheid, onze veiligheid, de democratie, onze privacy, de verhouding tussen burgers onderling, en tussen burgers en de overheid.

Eén van de reacties op mijn bericht op LinkedIn kwam van Markus Oei. Hij schreef:

Toch wel weer bijzonder. Dat er weer een technische oplossing aangepast moet worden om een gedragsprobleem aan te pakken.

Dat is wellicht precies wat de commissie Digitale Zaken bedoelde, vul ik zo maar in. De mogelijkheden van digitalisering leiden vaak tot technologie-optimisme. Maar is dat optimisme wel zo verstandig? Is het wel verstandig het redeneren te starten bij de technologie en niet bij het maatschappelijk dilemma, met alle gevolgen van dien? Gaat het niet ook over in wat voor samenleving je wilt wonen?

Soms is het goed om even afstand te nemen. Markus heeft ook gelijk, wat mij betreft. Je zou, als je even niet oplet, alleen de technologische vraag beantwoorden over het blokkeren van codes van mensen die positief getest zijn. Maar van een afstandje bekeken: het gaat hierbij om codes van mensen die eigenlijk in isolatie zouden moeten gaan. Mensen die al helemaal geen gelegenheden zouden moeten bezoeken waar een QR-code wordt gevraagd. Gaat het dus eigenlijk niet over het menselijk gedrag na positieve besmetting? Een geel boekje of ander bewijs op papier verdwijnt ook niet vanzelf als je positief getest bent. Je wordt geacht het even niet meer te gebruiken en binnen te blijven. We verwachten ook niet van een vaccinatiebewijs op papier dat het automatisch ontbrandt of wordt afgepakt na een positieve besmetting. Waarom dat dan wel automatisch verwachten van technologie?

Blijkbaar verleidt het bestaan van technologie ons om de oplossing op een vraag ook in die technologie te zoeken. Als we dat zouden doen, zo blijkt uit de reacties op mijn meedenkverzoeken, zouden we veel concessies moeten doen aan toegankelijkheid, privacy en informatieveiligheid. Heel veel mensen zouden de gevolgen hiervan ondervinden, vanwege de enkelen die ondanks dat ze positief getest zijn toch niet in isolatie gaan. Zijn die gevolgen proportioneel in termen van risicoreductie als het gaat om voorkomen van ketens van besmetting? Zouden andere maatregelen, gericht op de toename van de naleving van isolatieregels, niet evenveel of meer effect sorteren met minder nadelen?

Technologie-optimisme verleidt tot een gesprek dat al in de technologietunnel start. Dank je wel, Markus Oei, voor de blik van buiten de tunnel! Ik ben benieuwd waar de voorkeur van jullie naar toe gaat: naar brede oplossingen gericht op toename van naleving van de isolatieregels en/of toch ook naar oplossingen gericht op technologische maatregelen?

Deze week heeft de Tweede Kamer, onder meer gesteund door Volt Nederland, Fractie Den Haan, PvdA, ChristenUnie, VVD en Pieter Omtzigt een motie aangenomen waarin staat dat de QR-code van positief geteste mensen moet worden geblokkeerd. Die QR-code kan een papieren bewijs zijn, maar ook een bewijs in de app.

Deze blog is geschreven naar aanleiding van deze aangenomen motie. Achter de op zich logische vraag schuilt namelijk een wereld aan dilemma's.

Op LinkedIn plaatste ik twee berichten en vroeg om mee te denken over oplossingen die rekening houden met onder meer privacy en informatieveiligheid. Een bericht over het blokkeren van papieren QR-codes na een positieve test en over het blokkeren van codes in de app zelf. In deze blog zijn beide onderwerpen samengevoegd. Reageren kan op LinkedIn.

Blokkeren van papieren codes

Bij het blokkeren van QR-codes denken veel mensen vooral aan CoronaCheck, de app. Maar meer dan 600.000 mensen hebben al per post hun bewijzen aangevraagd en veel andere mensen hebben een bewijs op papier van bijvoorbeeld hun huisarts gekregen. Daaronder zijn veel ouderen, mensen die minder digivaardig zijn en geholpen zijn door artsen en bibliotheken en mensen zonder burgerservicenummer. Los van alle andere aspecten van het blokkeren na positieve test (ook in de app) levert het blokkeren van papieren codes extra vraagstukken op.

Omdat een coronatoegangsbewijs bewust niet een-op-een aan een persoon is te koppelen, kan zo'n bewijs alleen worden geblokkeerd door ze nu eerst allemaal ongeldig te maken. Mensen moeten dan een nieuw bewijs aanvragen. Nieuwe bewijzen op papier zouden een persoonlijke code moeten hebben om ze bij het scannen aan de deur vanwege een recente positieve test te kunnen blokkeren (met alle risico's vandien).

Om na een positieve test te kunnen blokkeren bij het scannen zou er een publiek toegankelijke zwarte lijst van (codes van) positief geteste mensen moeten komen. Een lijst die voor iedereen beschikbaar is. Door het bestaan van zo'n zwarte lijst kan moedwillig de data van positieve testen verzameld worden en altijd bekend blijven dat iemand positief getest is geweest. Een dergelijke lijst kan ook gelekt worden. Zoals de lijst waar de Belgische Gegevensbeschermingsautoriteit nu onderzoek naar doet.

Maar wellicht overzie ik iets en heeft iemand een goede oplossing die wel meer privacy biedt en die het niet nodig maakt om alle uitgegeven papieren bewijzen te blokkeren?

Blokkeren van codes in de app

In de CoronaCheck-app worden QR-codes elke paar minuten gewijzigd. Daardoor ben je bijvoorbeeld niet te volgen voor scanners. Ook bevatten de binnenlandse coronatoegangsbewijzen niets dat tot jou herleidbaar is. Deze privacybeschermende maatregelen zijn ook wettelijk geborgd.

Natuurlijk kun je het vraagstuk van blokkeren op dezelfde manier oplossen als bij papieren bewijzen (met alle dilemma's van dien, zoals beschreven in de vorige post). Dan zou je alle huidige codes moeten intrekken, opnieuw moeten laten aanmaken en dan wel statisch maken. Maar dan geef je wel veel privacymaatregelen op. Stel je voor dat je het slimmer wilt doen, kan dat? Kun je CoronaCheck als het ware maken tot iets dat voorkomt dat je uit isolatie de kroeg in gaat en blijven voldoen aan eisen van toegankelijkheid, veiligheid en privacy? En moet je dat wel willen? Ik doe hierbij een beroep op jullie denkkracht.

Metafoor In de passage hiervoor stond eerst "Kun je CoronaCheck als het ware maken tot iets dat een 'slimme enkelband' is" maar veel mensen namen aanstoot aan die metafoor die minder letterlijk moest worden genomen dan mensen deden. Als u op deze blog bent gekomen omdat u bent verwezen door mensen die geen vertrouwen hebben in ambtenaren in het algemeen en die mij in het bijzonder niet veel goeds toewensen: er is geen complot. Voor een respectvol gesprek over de inhoud van deze blog sta ik altijd open.

De app is zo ontworpen dat er geen stiekem contact is met een database. De app weet ook niet wie jij bent. Je haalt zelf je vaccinatiegegevens of GGD-testgegevens op. Dat doe je met DigiD (alle communicatie is dus gebaseerd op pull, niet op push). Voor mensen zonder DigiD of burgerservicenummer zijn er papieren bewijzen, die kunnen worden ingeladen in de app.

Het toevoegen van een positieve test aan de app kan dus ook alleen uit eigen beweging. De app kan zo worden aangepast dat gebruikers, zeg een of twee keer per dag, verplicht worden om in te loggen met DigiD bij de GGD om te beoordelen of er een recente positieve test is. Als die gevonden wordt, dan kan de QR-code worden geblokkeerd.

Er zijn wel wat nadelen. Stel dat 10 miljoen mensen dat 2 keer per dag doen en iedereen ook 8 uur slaapt, dan zijn er tenminste 300 inlogpogingen per seconde. Dat is meer dan alle systemen aankunnen, dus er zijn mensen die hun code verliezen omdat ze geen contact krijgen. Maximaal 2,6 miljoen mensen per dag kunnen 1 keer inloggen. Daarmee verliezen de overige miljoenen mensen hun QR-code. De wel geslaagde inlogpogingen kosten alleen al aan DigiD-tikken meer dan 150.000 euro per dag. Je zou natuurlijk QR-codes kunnen laten vervallen en mensen vragen ze weer te activeren als ze op pad gaan. Maar dat levert veel pogingen op hetzelfde moment op (de avonden in het weekend bijvoorbeeld), leidt niet tot een prettige gebruikerservaring en waarschijnlijk tot meer gedoe bij de controle (als mensen de code niet hebben geactiveerd door nogmaals in te loggen met DigiD bij de GGD).

Een ander nadeel is dat alle mensen zonder DigiD of zonder burgerservicenummer na een dag hun QR-code in de app kwijt zijn. De oplossing is immers alleen geschikt voor mensen met DigiD dus zij kunnen geen bewijs ophalen van het niet hebben van een positieve test. Je sluit dus veel mensen uit.

Best wel wat consequenties dus. Maar misschien zie ik veel logischere oplossingen over het hoofd?

Tot slot

De Tweede Kamer heeft recent een Commissie Digitale Zaken ingesteld. Deze commissie omschrijft de aanleiding als volgt:

Digitalisering verandert onze samenleving radicaal. Nieuwe technologieën als kunstmatige intelligentie, algoritmen, Big Data, robotica, quantumcomputers, Internet of Things en de cloud hebben grote gevolgen, zeker in samenhang met elkaar. Deze ontwikkelingen gaan snel en hebben invloed op onder meer de werkgelegenheid, onze veiligheid, de democratie, onze privacy, de verhouding tussen burgers onderling, en tussen burgers en de overheid.

Het begrijpelijke verzoek dat een QR-code moet kunnen worden kunnen ingetrokken na een positieve test lijkt vooralsnog niet makkelijk realiseerbaar zonder concessies te doen aan waarden als privacy en laat zien hoe actueel de analyse van de commissie Digitale Zaken van de Tweede Kamer is.

Dit weekend werd CoronaCheck veel meer gebruikt dan tot nu toe. We gingen er mee de grens over deze zomer, vakantiegangers toonden hun QR-code in Franse restaurants. Maar vanaf nu dus ook vaker in Nederland zelf.

De afgelopen tijd werd mij veel gevraagd waarom ik er aan meewerk. Jij, Ron, bent immers zo gespitst op privacy? Daar schreef ik eerder al over. Maar met alle vragen van de afgelopen weken geef ik in deze blog nog iets meer kleuring.

Binnenlandse code eerder ontstaan
CoronaCheck bevat twee QR-codes: één voor in Nederland en één voor in Europa. De Nederlandse code werd eerder ontwikkeld, en los van de Europese DCC. Dat gebeurde na adviezen van wetenschappers over het verder openen van de samenleving met testen voor toegang en ook advies van de Gezondheidsraad over de ethische en juridische voorwaarden daarbij.

Bij het ontwikkelen van de Nederlandse code werd heel bewust gekozen voor privacy by design, zoals eerder bijvoorbeeld ook bij CoronaMelder. De balans tussen privacy en fraudebestrijding is bewust gekozen.

Aan de Tweede Kamer werd dat in februari van dit jaar als volgt beschreven:

De belangrijkste afweging die we hebben te maken bij de ontwikkeling van de applicaties is het vinden van de juiste balans tussen de mate van bescherming van persoonsgegevens en het tegengaan van misbruik. Testbewijzen zijn bedoeld om toegangscontrole mogelijk maken voor mensen die kunnen aantonen dat ze recent negatief getest zijn. Dergelijke negatieve testuitslagen bevatten in de regel veel gevoelige persoonsgegevens, zoals Burgerservicenummers en de testuitslag zelf.

Voorkomen moet worden dat dergelijke persoonsgegevens worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle heeft over waar die gegevens daarna verder voor worden gebruikt.

Tegelijkertijd is er de wens om misbruik te voorkomen om zo de risico op verspreiding van het virus zo klein mogelijk te houden. Het verkleinen van de kans op misbruik moet daarom worden afgewogen tegen de verwerking van kwetsbare persoonsgegevens. Temeer omdat met het verplicht testbewijs ook het verplicht tonen ontstaat van de gegevens in dit bewijs.

Ik hecht eraan om het belang van privacy en informatieveiligheid in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten.

Uiteraard zullen wel technische maatregelen genomen moeten worden om de meest voor de hand liggende vormen van misbruik zo veel mogelijk te voorkomen. Ik heb gevraagd hieraan veel aandacht te besteden in de ontwikkeling van de digitale applicatie voor het testbewijs.

Bewuste keuzes
In de balans tussen fraudebestrijding en gegevensbescherming zijn als gevolg hiervan bewuste keuzes gemaakt. Denk bijvoorbeeld aan het niet prijs geven van de bron van de code en het niet kunnen volgen van mensen. Hieronder een paar van die keuzes op een rijtje.

• Bron van het bewijs is niet zichtbaar
  De Nederlandse code laat niet zien wat de bron is van jouw bewijs. Het kan zijn dat je hersteld bent van Covid, dat je recent negatief getest bent of juist gevaccineerd. Maar die reden is niet terug te zien in de QR-code. Daar gaan we ver in. Ook aan de geldigheidsduur van de code kun je dat namelijk niet zien. Een QR-code op basis van vaccinatie is even lang geldig als een QR-code op basis van een negatieve test. Door bij vaccinatie in de app telkens een nieuwe QR-code te maken lijkt de geldigheid even lang.
  
  
• Mensen zijn niet te volgen
  De code in de app verandert heel vaak en is zo gemaakt dat je mensen niet kunt volgen over de locaties heen die ze bezoeken. Want elke code die getoond wordt is niet te koppelen aan een eerder getoonde. En een screenshot maken heeft dus weinig zin, want die code is maar even geldig.
  
  
• Niet voldoende gegevens om je te identificeren
  In de code staan alleen jouw initialen, geboortedag en geboortemaand. En als die weinig voorkomen kan daarvan ook nog iets worden weggelaten. Dus mocht iemand een eigen scanner maken, dan nog kun je niets met de gegevens die je scant. Je kunt geen database aanleggen van persoonsgegevens omdat de gegevens niet tot jou zijn te herleiden.
  
  
• Geen centrale database voor de app
  Jouw gegevens staan alleen bij de bron (GGD, RIVM of testaanbieder) en in de app. Jij kiest om ze op te halen, jij kiest om een bewijs te maken. Alleen als je zelf met DigiD inlogt wordt er contact gelegd om jouw vaccinatiegegevens op te halen. En hetzelfde geldt voor testgegevens.
  
  
• Ook zonder internetverbinding te gebruiken
  De code op je telefoon is ook te gebruiken als je even geen internet hebt. Dat geldt ook voor de scanner. Om de paar dagen is even verbinding nodig om eventuele wijzigingen in de configuratie op te halen, maar als je gaat stappen kun je zonder internetverbinding je code tonen of scannen.
  
  
• Codes elke paar weken ververst
  De QR-codes in de app worden minimaal elke paar weken ververst. Ook dat is een manier om het veilig te houden.
  
  

Keuzes met gevolgen
Die keuzes voor maximale gegevensbescherming hebben ook gevolgen. Gisteravond werden die al even duidelijk. Op de eerste avond openden veel mensen de app voor het eerst in weken vlak voordat hun QR-code gescand werd of probeerden op dat moment voor het eerst een code te maken. Omdat de code elke paar weken ververst wordt, leverde dat even een piekbelasting op bij het genereren van codes. De belasting was op geen enkel moment zo hoog dat de servers dat niet aan zouden kunnen. Maar de combinatie met stevige DDOS-aanvallen maakte dat het soms niet lukte. Mensen kregen daardoor niet direct een QR-code. Dat is super onhandig als je net bij de deur staat. Voor je vertrekt de app even openen helpt.

Jouw code is ook niet automatisch op afstand in te trekken als je positief test. Er is immers geen stiekeme verbinding met een database, er kan ook niets naar de app “gepusht” worden. Alleen jij kunt zelf en actief nieuwe gegevens ophalen. Dat is het gevolg van de privacykeuzes. Overigens: ook een geel boekje explodeert niet als je positief test. Het is de eigen verantwoordelijkheid om niet naar buiten te gaan als je besmettelijk bent (net zoals een rijbewijs geldig blijft als je gedronken hebt, maar dronken rijden niet mag). Om dezelfde reden kan een fraudeleus verkregen QR-code niet per direct op afstand worden ingetrokken.

Aandacht voor privacy heeft dus gevolgen. Sommige dingen worden er moeilijker door. Stel je bijvoorbeeld voor dat je, zoals in Duitsland, op sommige locaties alleen met vaccinatie of herstel naar binnen zou mogen. In andere landen toon je al je gegevens in een DCC en kan dat zo worden vastgesteld. In Nederland zou een tweede QR-code moeten worden gemaakt, waarin een negatieve test geen bron van de code meer kan zijn.

Verschil met het DCC
Dat zou dus anders zijn als we in Nederland niet een eigen code hadden maar, zoals in andere Europese landen, de Europese code zouden laten zien. Die Europese code werd ontwikkeld na en naast de nationale. Daarom heb je in CoronaCheck twee verschillende codes: voor binnen Nederland en voor buiten Nederland. Waar binnen Nederland nauwelijks gegevens worden opgenomen in de QR-code (initialen, geboortedag en –maand en geldigheid), is dat in het DCC anders. Elk land kent eigen inreisregels, dus de gegevens zelf staan in het DCC. Jouw naam, en heel veel gegevens over jouw herstel, negatieve test of vaccinatie. In een QR-code die vast is en niet telkens wijzigt.

Tot slot
Deze blog begon met de vaak aan mij gestelde vraag waarom ik meewerk aan CoronaCheck. Gooi je daarmee niet al je principes overboord, wordt er dan vaak bij gezegd. Het antwoord is, wat mij betreft, dus nee. De Nederlandse code is bewust privacyvriendelijk. Je geeft er nauwelijks gegevens mee prijs. Dat heeft gevolgen. Maar die horen bij de balans tussen, onder meer, privacy en fraudebestrijding. Ik ben blij daaraan een bijdrage te kunnen hebben leveren.

PS
Deze blog gaat bewust wel over privacy en CoronaCheck en bewust niet over de inzet van toegangstesten, de wetenschappelijke adviezen daarover, het advies van de Gezondheidsraad en alle debatten daarover. Op reacties die daarover gaan zal ik niet ingaan.