coronacheck

Afgelopen weekend schreef ik een blog en twee oproepen op LinkedIn. Dit naar aanleiding van een in de Tweede Kamer aangenomen motie dat QR-codes moeten worden geblokkeerd na een positieve test. Ik stelde de vraag: ziet iemand oplossingen die uitvoerbaar zijn en recht doen aan onder meer gegevensbescherming en informatieveiligheid? Veel reacties volgden, en er lijkt geen makkelijke oplossing te bestaan. Zo zouden in ieder geval alle reeds uitgegeven papieren bewijzen ongeldig moeten worden gemaakt, met alle gevolgen van dien voor mensen die dergelijke bewijzen hebben aangevraagd bij bijvoorbeeld hun huisarts of via de post.

In de blog schreef ik dat de Tweede Kamer recent een Commissie Digitale Zaken heeft ingesteld en dat deze commissie de aanleiding van die instelling als volgt omschrijft:

Digitalisering verandert onze samenleving radicaal. Nieuwe technologieën als kunstmatige intelligentie, algoritmen, Big Data, robotica, quantumcomputers, Internet of Things en de cloud hebben grote gevolgen, zeker in samenhang met elkaar. Deze ontwikkelingen gaan snel en hebben invloed op onder meer de werkgelegenheid, onze veiligheid, de democratie, onze privacy, de verhouding tussen burgers onderling, en tussen burgers en de overheid.

Eén van de reacties op mijn bericht op LinkedIn kwam van Markus Oei. Hij schreef:

Toch wel weer bijzonder. Dat er weer een technische oplossing aangepast moet worden om een gedragsprobleem aan te pakken.

Dat is wellicht precies wat de commissie Digitale Zaken bedoelde, vul ik zo maar in. De mogelijkheden van digitalisering leiden vaak tot technologie-optimisme. Maar is dat optimisme wel zo verstandig? Is het wel verstandig het redeneren te starten bij de technologie en niet bij het maatschappelijk dilemma, met alle gevolgen van dien? Gaat het niet ook over in wat voor samenleving je wilt wonen?

Soms is het goed om even afstand te nemen. Markus heeft ook gelijk, wat mij betreft. Je zou, als je even niet oplet, alleen de technologische vraag beantwoorden over het blokkeren van codes van mensen die positief getest zijn. Maar van een afstandje bekeken: het gaat hierbij om codes van mensen die eigenlijk in isolatie zouden moeten gaan. Mensen die al helemaal geen gelegenheden zouden moeten bezoeken waar een QR-code wordt gevraagd. Gaat het dus eigenlijk niet over het menselijk gedrag na positieve besmetting? Een geel boekje of ander bewijs op papier verdwijnt ook niet vanzelf als je positief getest bent. Je wordt geacht het even niet meer te gebruiken en binnen te blijven. We verwachten ook niet van een vaccinatiebewijs op papier dat het automatisch ontbrandt of wordt afgepakt na een positieve besmetting. Waarom dat dan wel automatisch verwachten van technologie?

Blijkbaar verleidt het bestaan van technologie ons om de oplossing op een vraag ook in die technologie te zoeken. Als we dat zouden doen, zo blijkt uit de reacties op mijn meedenkverzoeken, zouden we veel concessies moeten doen aan toegankelijkheid, privacy en informatieveiligheid. Heel veel mensen zouden de gevolgen hiervan ondervinden, vanwege de enkelen die ondanks dat ze positief getest zijn toch niet in isolatie gaan. Zijn die gevolgen proportioneel in termen van risicoreductie als het gaat om voorkomen van ketens van besmetting? Zouden andere maatregelen, gericht op de toename van de naleving van isolatieregels, niet evenveel of meer effect sorteren met minder nadelen?

Technologie-optimisme verleidt tot een gesprek dat al in de technologietunnel start. Dank je wel, Markus Oei, voor de blik van buiten de tunnel! Ik ben benieuwd waar de voorkeur van jullie naar toe gaat: naar brede oplossingen gericht op toename van naleving van de isolatieregels en/of toch ook naar oplossingen gericht op technologische maatregelen?

Dit weekend werd CoronaCheck veel meer gebruikt dan tot nu toe. We gingen er mee de grens over deze zomer, vakantiegangers toonden hun QR-code in Franse restaurants. Maar vanaf nu dus ook vaker in Nederland zelf.

De afgelopen tijd werd mij veel gevraagd waarom ik er aan meewerk. Jij, Ron, bent immers zo gespitst op privacy? Daar schreef ik eerder al over. Maar met alle vragen van de afgelopen weken geef ik in deze blog nog iets meer kleuring.

Binnenlandse code eerder ontstaan
CoronaCheck bevat twee QR-codes: één voor in Nederland en één voor in Europa. De Nederlandse code werd eerder ontwikkeld, en los van de Europese DCC. Dat gebeurde na adviezen van wetenschappers over het verder openen van de samenleving met testen voor toegang en ook advies van de Gezondheidsraad over de ethische en juridische voorwaarden daarbij.

Bij het ontwikkelen van de Nederlandse code werd heel bewust gekozen voor privacy by design, zoals eerder bijvoorbeeld ook bij CoronaMelder. De balans tussen privacy en fraudebestrijding is bewust gekozen.

Aan de Tweede Kamer werd dat in februari van dit jaar als volgt beschreven:

De belangrijkste afweging die we hebben te maken bij de ontwikkeling van de applicaties is het vinden van de juiste balans tussen de mate van bescherming van persoonsgegevens en het tegengaan van misbruik. Testbewijzen zijn bedoeld om toegangscontrole mogelijk maken voor mensen die kunnen aantonen dat ze recent negatief getest zijn. Dergelijke negatieve testuitslagen bevatten in de regel veel gevoelige persoonsgegevens, zoals Burgerservicenummers en de testuitslag zelf.

Voorkomen moet worden dat dergelijke persoonsgegevens worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle heeft over waar die gegevens daarna verder voor worden gebruikt.

Tegelijkertijd is er de wens om misbruik te voorkomen om zo de risico op verspreiding van het virus zo klein mogelijk te houden. Het verkleinen van de kans op misbruik moet daarom worden afgewogen tegen de verwerking van kwetsbare persoonsgegevens. Temeer omdat met het verplicht testbewijs ook het verplicht tonen ontstaat van de gegevens in dit bewijs.

Ik hecht eraan om het belang van privacy en informatieveiligheid in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten.

Uiteraard zullen wel technische maatregelen genomen moeten worden om de meest voor de hand liggende vormen van misbruik zo veel mogelijk te voorkomen. Ik heb gevraagd hieraan veel aandacht te besteden in de ontwikkeling van de digitale applicatie voor het testbewijs.

Bewuste keuzes
In de balans tussen fraudebestrijding en gegevensbescherming zijn als gevolg hiervan bewuste keuzes gemaakt. Denk bijvoorbeeld aan het niet prijs geven van de bron van de code en het niet kunnen volgen van mensen. Hieronder een paar van die keuzes op een rijtje.

• Bron van het bewijs is niet zichtbaar
  De Nederlandse code laat niet zien wat de bron is van jouw bewijs. Het kan zijn dat je hersteld bent van Covid, dat je recent negatief getest bent of juist gevaccineerd. Maar die reden is niet terug te zien in de QR-code. Daar gaan we ver in. Ook aan de geldigheidsduur van de code kun je dat namelijk niet zien. Een QR-code op basis van vaccinatie is even lang geldig als een QR-code op basis van een negatieve test. Door bij vaccinatie in de app telkens een nieuwe QR-code te maken lijkt de geldigheid even lang.
  
  
• Mensen zijn niet te volgen
  De code in de app verandert heel vaak en is zo gemaakt dat je mensen niet kunt volgen over de locaties heen die ze bezoeken. Want elke code die getoond wordt is niet te koppelen aan een eerder getoonde. En een screenshot maken heeft dus weinig zin, want die code is maar even geldig.
  
  
• Niet voldoende gegevens om je te identificeren
  In de code staan alleen jouw initialen, geboortedag en geboortemaand. En als die weinig voorkomen kan daarvan ook nog iets worden weggelaten. Dus mocht iemand een eigen scanner maken, dan nog kun je niets met de gegevens die je scant. Je kunt geen database aanleggen van persoonsgegevens omdat de gegevens niet tot jou zijn te herleiden.
  
  
• Geen centrale database voor de app
  Jouw gegevens staan alleen bij de bron (GGD, RIVM of testaanbieder) en in de app. Jij kiest om ze op te halen, jij kiest om een bewijs te maken. Alleen als je zelf met DigiD inlogt wordt er contact gelegd om jouw vaccinatiegegevens op te halen. En hetzelfde geldt voor testgegevens.
  
  
• Ook zonder internetverbinding te gebruiken
  De code op je telefoon is ook te gebruiken als je even geen internet hebt. Dat geldt ook voor de scanner. Om de paar dagen is even verbinding nodig om eventuele wijzigingen in de configuratie op te halen, maar als je gaat stappen kun je zonder internetverbinding je code tonen of scannen.
  
  
• Codes elke paar weken ververst
  De QR-codes in de app worden minimaal elke paar weken ververst. Ook dat is een manier om het veilig te houden.
  
  

Keuzes met gevolgen
Die keuzes voor maximale gegevensbescherming hebben ook gevolgen. Gisteravond werden die al even duidelijk. Op de eerste avond openden veel mensen de app voor het eerst in weken vlak voordat hun QR-code gescand werd of probeerden op dat moment voor het eerst een code te maken. Omdat de code elke paar weken ververst wordt, leverde dat even een piekbelasting op bij het genereren van codes. De belasting was op geen enkel moment zo hoog dat de servers dat niet aan zouden kunnen. Maar de combinatie met stevige DDOS-aanvallen maakte dat het soms niet lukte. Mensen kregen daardoor niet direct een QR-code. Dat is super onhandig als je net bij de deur staat. Voor je vertrekt de app even openen helpt.

Jouw code is ook niet automatisch op afstand in te trekken als je positief test. Er is immers geen stiekeme verbinding met een database, er kan ook niets naar de app “gepusht” worden. Alleen jij kunt zelf en actief nieuwe gegevens ophalen. Dat is het gevolg van de privacykeuzes. Overigens: ook een geel boekje explodeert niet als je positief test. Het is de eigen verantwoordelijkheid om niet naar buiten te gaan als je besmettelijk bent (net zoals een rijbewijs geldig blijft als je gedronken hebt, maar dronken rijden niet mag). Om dezelfde reden kan een fraudeleus verkregen QR-code niet per direct op afstand worden ingetrokken.

Aandacht voor privacy heeft dus gevolgen. Sommige dingen worden er moeilijker door. Stel je bijvoorbeeld voor dat je, zoals in Duitsland, op sommige locaties alleen met vaccinatie of herstel naar binnen zou mogen. In andere landen toon je al je gegevens in een DCC en kan dat zo worden vastgesteld. In Nederland zou een tweede QR-code moeten worden gemaakt, waarin een negatieve test geen bron van de code meer kan zijn.

Verschil met het DCC
Dat zou dus anders zijn als we in Nederland niet een eigen code hadden maar, zoals in andere Europese landen, de Europese code zouden laten zien. Die Europese code werd ontwikkeld na en naast de nationale. Daarom heb je in CoronaCheck twee verschillende codes: voor binnen Nederland en voor buiten Nederland. Waar binnen Nederland nauwelijks gegevens worden opgenomen in de QR-code (initialen, geboortedag en –maand en geldigheid), is dat in het DCC anders. Elk land kent eigen inreisregels, dus de gegevens zelf staan in het DCC. Jouw naam, en heel veel gegevens over jouw herstel, negatieve test of vaccinatie. In een QR-code die vast is en niet telkens wijzigt.

Tot slot
Deze blog begon met de vaak aan mij gestelde vraag waarom ik meewerk aan CoronaCheck. Gooi je daarmee niet al je principes overboord, wordt er dan vaak bij gezegd. Het antwoord is, wat mij betreft, dus nee. De Nederlandse code is bewust privacyvriendelijk. Je geeft er nauwelijks gegevens mee prijs. Dat heeft gevolgen. Maar die horen bij de balans tussen, onder meer, privacy en fraudebestrijding. Ik ben blij daaraan een bijdrage te kunnen hebben leveren.

PS
Deze blog gaat bewust wel over privacy en CoronaCheck en bewust niet over de inzet van toegangstesten, de wetenschappelijke adviezen daarover, het advies van de Gezondheidsraad en alle debatten daarover. Op reacties die daarover gaan zal ik niet ingaan.

Ik schreef er al eerder over (zoek maar eens op “privacy” in mijn blogs ): wat mij betreft staat privacy goede gegevensuitwisseling niet in de weg. Het kan zelfs leiden tot hele mooie innovaties. “Privacy by design” is het uitgangspunt in de AVG (artikel 25). Maar hoe werkt dat dan in de praktijk?

"Privacy by design" is niet iets maken en daarna in een Privacy Impact Assesment (of PIA, nog zo’n eis van de AVG) rechtvaardigen welke keuzes je hebt gemaakt. Eerder werkt het andersom: door eerst zo’n PIA te maken en daarna pas te starten met ontwikkelen krijg je de mooiste oplossingen. Design by privacy dus.

Dat is de manier waarop we werken als het gaat om de digitale ondersteuning van de pandemie. Zo is CoronaMelder tot stand gekomen, maar bijvoorbeeld ook CoronaCheck.

Klinkt vaag toch, “privacy by design”? Dat is ook zo en vraagt dus om een concreet voorbeeld. Laten we CoronaCheck nemen.

Eind vorig jaar stelden wetenschappers en anderen voor om in situaties dat de epidemiologische situatie dat eigenlijk niet toelaat toch meer contacten toe te staan (denk aan evenementen bijvoorbeeld). Dat zou kunnen - zeiden ze - als je de risico's verlaagt door een negatieve test voorafgaand aan zo'n evenement. Daaruit is het idee ontstaan van toegangstesten. Aan de poort bewijzen dat je recent negatief getest bent.

Maar hoe bewijs je dat dan? Dat kan natuurlijk met een testuitslag met al je gegevens erop. Maar het gaat om jouw eigen medische gegevens en dus is dat niet de meest wenselijke situatie. Kan het niet anders?

Toen ons gevraagd werd om daarover na te denken (en over de digitale technologie om dat mogelijk te maken) stelden we privacy centraal. Er zou bijvoorbeeld een wettelijke grondslag moeten zijn om de benodigde gegevens te verwerken (die wet is recent door de Eerste Kamer aangenomen ), mensen moeten niet volgbaar zijn over bezoeken van verschillende evenementen heen, het moet niet mogelijk zijn om aan de poort te zien wat de reden van het verlaagde risico is (zoals een test of juist een vaccinatie), er moet geen centrale database komen van die gegevens en het is niet nodig om al je gegevens in een bewijs op te nemen om het waarschijnlijk genoeg te maken dat het bewijs inderdaad bij jou hoort.

Dat nadenken over gegevensbescherming heeft geleid tot CoronaCheck, een app waarin je de gegevens van jouw negatieve test (en straks ook je vaccinatie) veilig ophaalt bij de testaanbieder en opslaat op (alleen) je eigen telefoon, en er een QR-code van maakt die kan worden gescand. Maar dan wel op een manier waardoor de risico’s die ik hiervoor noemde sterk zijn verminderd.

Zo verandert de QR-code voortdurend (en heeft het dus geen zin om QR-codes te vergelijken als je meerdere evenementen bezoekt), is in de QR-code niet opgenomen of het gaat om een negatieve test of een vaccinatie en zijn alleen je initialen, je geboortedag en geboortemaand opgenomen. Omdat soms ook initialen heel zeldzaam zijn hebben we er (op basis van gegevens van het Meertensinstituut) zelfs voor gezorgd dat nog minder informatie wordt getoond bij zeldzame initialen.

De QR-code die je laat zien bij een deur is daarmee niet volgbaar over locaties heen, zegt niet of je een test of vaccinatie hebt gehad en vertelt niet precies wie je bent.

De manier waarop het werkt is beschreven in de wet en in de komende wettelijke regelingen. Binnenkort gaat ook de DPIA die het helemaal uitlegt naar de Tweede Kamer. Zodat voor iedereen duidelijk is hoe het werkt, welke gegevens verwerkt worden en door wie. De broncode van de app staat op GitHub zodat iedereen kan controleren dat het ook echt zo werkt.

De ontwikkeling van de wet, het bedenken van de werkwijze en het ontwerpen en maken van de techniek gingen de afgelopen maanden hand in hand. Beleid en uitvoering als werelden die elkaar beïnvloeden om te komen tot privacy by design. Of wat mij betreft dus beter nog: design by privacy.

Gaat het dan alleen om privacy? Nee, zeker niet. Privacy, security en toegankelijkheid zijn het uitgangspunt. Niet alleen van de app, ook van de keten. Zo moeten testaanbieders die aansluiten op CoronaCheck aan allerlei eisen voldoen.

Design by privacy, security en toegankelijkheid: het lijkt ingewikkeld en begrenzend, maar het is het juist niet. Het leidt tot innovatieve oplossingen en is zelfs extra leuk. Zo leuk dat de ontwikkelaars die dit nu een tijdje samen doen zelf met voorstellen komen hoe privacy wellicht nog net iets beter ingebed kan.