De nieuwe corona-app: een balanceeract tussen ‘te streng’ en ‘te soft’

Testfase De ‘notificatie-app’ tegen corona zit nu in de cruciale testfase met simulaties in een proefopstelling. De app moet gebruikers waarschuwen dat ze in de buurt zijn geweest van mensen bij wie later Covid-19 wordt vastgesteld. Of zo’n waarschuwingssysteem in de praktijk wel werkt, weet niemand.

 

Vijf militairen met mondkapjes om kijken vanuit rijen rode bioscoopfauteuils naar een blinde muur. Op afstand, van achter een hekje, worden ze gadegeslagen door minister Hugo de Jonge (Volksgezondheid, CDA).

De medewerkers van het CBRN-centrum, het onderzoekscentrum van Defensie voor chemische, biologische, radiologische en nucleaire dreigingen, simuleren in de bioscoopopstelling het gebruik van de corona-app in ‘gewone’ situaties. De Jonge deelde dinsdag ook een foto van een proefopstelling in een tram op sociale media.

De corona-app die de overheid nu ontwikkelt, moet gebruikers waarschuwen dat ze in de buurt zijn geweest van anderen bij wie later het coronavirus vastgesteld wordt. Hoe eerder zij weten dat zij besmet kunnen zijn, hoe eerder ze contact met anderen kunnen beperken. Zo wordt de verspreiding van het virus tegengegaan, is het idee.

De technische experimenten bij het CBRN-centrum zijn cruciaal. De simulaties moeten aantonen of het nieuwe waarschuwingssysteem van Apple en Google, dat gebruikmaakt van bluetooth-technologie in smartphones, een betrouwbare inschatting kan maken van de kans op een besmetting. Eind deze maand wil De Jonge de app in de praktijk testen om in juli een besluit te nemen over de inzet.

De werking van de notificatieapp is een complexe balanceeract. Een te strenge app waarschuwt te weinig, waardoor daadwerkelijk besmette personen onbewust rond blijven lopen en anderen aansteken. Een te softe app waarschuwt te veel waardoor het effect van de waarschuwingen verwatert, omdat mensen de app niet meer serieus nemen.

Tegelijkertijd zijn er ook voordelen ten opzichte van het normale bronnen- en contactonderzoek. De app waarschuwt sneller, is niet afhankelijk van beschikbare mankracht en beperkt zich niet tot het geheugen van de ondervraagden.

Zorgen over privacy en de betrouwbaarheid van bluetooth om afstanden in te schatten, vormen voor velen een struikelblok. Daarnaast is het onduidelijk of genoeg mensen de app gaan gebruiken om effectief te zijn en hoe zij vervolgens omgaan met de meldingen van de app. Vier knelpunten uitgelegd.

KNELPUNT 1
Privacy

Illustratie Midas van Son

Op papier is de notificatieapp privacyvriendelijk. De app gaat volgens het eisenlijstje van de overheid geen gegevens gebruiken die tot personen herleidbaar zijn. Ook gaat de corona-app geen locatiegegevens gebruiken.

Uitgangspunten van de app zijn dataminimalisatie – zo min mogelijk data gebruiken als noodzakelijk – en ‘privacy by design’. Door het waarschuwingssysteem alleen te voeden met de anonieme en tijdelijke contactcodes die via bluetooth verzonden worden, wordt het moeilijk om die te herleiden naar één telefoon en vervolgens naar een individu.

Daar komt bij dat het onmogelijk is voor iedereen om veel data in handen te krijgen: er is geen centrale database waar alle contacten bijgehouden worden. De applicatie houdt lokaal – op de telefoon van de gebruiker – het lijstje met recente contacten bij. Contacten die te oud zijn om voor de verspreiding van de ziekte relevant te zijn (veertien dagen), worden automatisch verwijderd.

Of een contact met een besmet persoon daadwerkelijk risicovol is geweest, wordt ook op de telefoon van de gebruiker zelf berekend. Daar wordt op basis van de signaalsterkte, de datum en de duur van het contact en een inschatting van de GGD de kans op besmetting ingeschat. Als die combinatie van factoren boven een bepaalde grenswaarde uitkomt, krijgt de app-gebruiker een waarschuwing en informatie over hoe verder te handelen.

Door zoveel mogelijk dataopslag en -verwerking op de telefoon van de gebruiker zelf te doen, wordt het systeem als geheel minder interessant voor aanvallers. Zelfs als het logboek van één telefoon gekraakt wordt, weet de aanvaller maar weinig over het hele systeem. Dat maakt misbruik van de gegevens, ook door de overheid zelf, lastiger. Momenteel worden de gevolgen voor de privacy onderzocht. De resultaten van dit onderzoek worden naar verwachting over enkele weken gepubliceerd.

Lees ook: ‘Kijk kabinet, deze corona-app werkt wél’

Als iemand na een coronatest – die inmiddels beschikbaar is voor iedereen met klachten – positief test, wordt hem of haar gevraagd zijn uitgezonden contactcodes via het internet te delen met een centrale server, zodat andere apps kunnen kijken of zij die codes terugvinden. Dat signaal is beveiligd en versleuteld, maar alleen al aan het verzenden daarvan kan informatie worden ontleend dat iemand besmet is. De app gaat daarom bijvoorbeeld niet alleen maar dat ene signaal versturen, maar ook andere die door de server genegeerd worden, maar er wel voor zorgen dat eventuele meekijkers door de bomen het bos niet meer zien.

Apple en Google stellen ook voorwaarden aan het gebruik van hun technologie. De technologiebedrijven dwingen onder meer vrijwilligheid af en verbieden het via de app verkrijgen van persoonsgegevens – zoals het uitlezen van een adresboek – om gebruikt te worden voor de waarschuwingen. Overheden die de data willen monetiseren of delen zonder dat duidelijk is hoe daarmee Covid-19 bestreden wordt, kan de toegang tot de technologie ontzegd worden. Apple en Google zullen de technologie ook weer uitschakelen als het niet langer nodig is.

KNELPUNT 2
Gebruik

Illustratie Midas van Son

De app wordt effectiever als meer mensen hem gaan gebruiken. Aanvankelijk meldde minister De Jonge in de Tweede Kamer dat gebruik door 60 procent van de bevolking het streven was, maar nu de corona-app alleen ter ondersteuning van het werk van de GGD is, is iedere extra gewaarschuwde mogelijke ziekteverspreider in de ogen van het ministerie al winst en de moeite waard.

Gebruik van de app opleggen is geen optie, zei De Jonge eerder. Misbruik van de app – bijvoorbeeld door werkgevers die de app onder hun personeel verplicht stellen – wordt expliciet verboden in de Coronawet die het kabinet wil invoeren en waar veel kritiek op is.

De overheid moet zoveel mogelijk burgers overtuigen om de app te gaan installeren. De notificatieapp wordt daarom zoveel mogelijk in de openbaarheid ontwikkeld. Het idee is dat onafhankelijke experts de werking van de app kunnen verifiëren waardoor het vertrouwen in de app stijgt en privacybezwaren weggenomen worden.

Lees ook: Na een valse start werkt de overheid nu aan een corona-app die beter is doordacht. „Alles wat wij doen, wordt openbaar.”

Uit onderzoek onder de Nederlandse bevolking komen drie duidelijk kampen naar voren. Ongeveer een derde van de ondervraagden in een onderzoek door het RIVM in samenwerking met drie Nederlandse universiteiten zou de app installeren. Een vergelijkbare groep overweegt installatie niet, vanwege een inbreuk op de privacy. Een grote groep in het midden twijfelt nog en heeft „een genuanceerd standpunt” over de app, schrijven de onderzoekers.

Om in de buurt te komen van een meerderheid moet de overheid deze twijfelaars overtuigen, zegt politicoloog Claes de Vreese van de Universiteit van Amsterdam die ook onderzoek deed naar de opvattingen van burgers over de corona-app. „De middengroep is groot en heel belangrijk, daar zit dus ‘de meerderheid’. En dat geeft het kabinet en de ministers een grote verantwoordelijkheid om die groep aan te spreken, uitleg te geven en van overwegingen te voorzien.” Daar zit tegelijkertijd ook het grootste afbreukrisico: zelfs ongerelateerde blunders met persoonsgegevens, zoals afgelopen week met de RIVM-website Infectieradar.nl, kunnen het vertrouwen in IT-oplossingen van de overheid schaden.

KNELPUNT 3
Bluetooth

Illustratie Midas van Son

Bluetooth schat de afstand in op basis van de sterkte van het radiosignaal. Met name op grote afstand is dat onnauwkeurig, maar je kunt wel met enige zekerheid vaststellen of mensen op anderhalf tot twee meter van je verwijderd zijn.

Lees ook: Hoe meet je anderhalve meter met Bluetooth?

Radiogolven komen ook door plexiglas of door een heg in de achtertuin heen – waardoor het systeem onterecht zou kunnen denken dat er een risicovol contact was. De app zou geen alarm moeten slaan bij één zo’n observatie. Als de drempel hoog genoeg ligt – een kwartier lang contact binnen anderhalve meter afstand geldt volgens de RIVM-norm als risicovol – kun je het aantal valse positieven binnen de perken houden. Dat is belangrijk voor acceptatie van een traceer-app.

Het systeem van Apple en Google geeft niet de afstand in het aantal meters weer, maar de gemeten signaalsterkte in decibelmilliwatt (dBm) en de tijdsduur, in acht verschillende gradaties. Wat het meten lastig maakt is de grote variatie Android-smartphones, elk met een eigen bluetooth-chip aan boord. Ook de antennes verschillen, net als de manier waarop mensen hun toestel bij zich dragen. Het menselijke lichaam, dat grotendeels uit water bestaat, dempt het radiosignaal. Dan maakt het wat uit of je je telefoon in je achterzak of in je binnenzak steekt.

KNELPUNT 4
Effect

Illustratie Midas van Son

Eigenlijk weet niemand of een waarschuwingssysteem voor coronabesmettingen via een smartphone-applicatie in de praktijk werkt en een zinvolle bijdrage levert aan de bestrijding van het virus. Wetenschappelijke simulaties lijken positief en waren voor het Outbreak Management Team voldoende aanleiding een Nederlandse oplossing te laten onderzoeken. Nog een overbelasting van het Nederlandse zorgstelsel wil niemand weer meemaken, klinkt het bij het ministerie. Via de notificatie-app kunnen óók mensen bereikt worden die de besmette persoon niet kent en dus lastiger op te sporen zijn in het normale contactonderzoek. Maar de app moet wel werken. Als de app niet of onvoldoende helpt in de bestrijding van het virus, dan zal hij er niet komen.

Naast de balanceeract tussen de technische en epidemiologische eisen, is de gedragswetenschappelijke kant van de app het grootste vraagteken. Hoe gaan burgers reageren op een app die een automatisch besluit neemt over het besmettingsrisico en gebruikers daar via een berichtje over informeert? Het ministerie houdt de ontwikkelingen in landen als Italië, dat al een app introduceerde, goed in de gaten.

Gedragswetenschappers gaan onderzoeken welk ‘handelingsperspectief’ de app na een waarschuwing moet bieden. Wat moet je doen als je van de app een seintje krijgt dat je in de buurt was van een besmet persoon? Klachten in de gaten houden en de huisarts bellen? Een coronatest af laten nemen of uit voorzorg thuisblijven? Daar hangt veel van af. Ieder advies heeft andere consequenties, ook voor de hoeveelheid mensen die de app eventueel zullen gaan gebruiken.