ProxTrack

Achtergrond informatie

De vorige pagina geeft in het kort een overzicht van onze bezwaren tegen een COVID-19 tracking app. Op deze pagina gaan we dieper op sommige punten in. Voor de technische details hierbij gaan we uit van systemen zoals ontworpen door Apple en Google, en zoals in het voorstel DP-3T. Deze systemen gebruiken beide Bluetooth low energy (BLE) om contact te tracken. Deze systemen proberen zo weinig mogelijk informatie centraal op te slaan, maar vergen nog steeds een centrale database met de Bluetooth identifiers van besmette gebruikers.

Andere systemen zijn ook mogelijk, bijvoorbeeld gebaseerd op locatie tracking, maar deze vergen een centrale server die (bijna) alle gegevens verwerkt. Het moge duidelijk zijn dat een groot deel van de bezwaren tegen een gedecentraliseerde app in sterkere mate gelden tegen een centrale verwerking van alle gegevens.

Vrijheid in gebruik

De regering heeft aangegeven mogelijk het gebruik van de app verplicht te stellen. We onderscheiden drie scenario's:

1) Het gebruik van de app wordt wettelijk afgedwongen.

2) De wet geeft privileges aan gebruikers van de app, zoals het mogen bezoeken van sommige publieke plekken of het weer mogen werken.

3) De regering raad de app aan maar er worden geen wettelijke gevolgen verbonden aan het niet gebruiken.

Het moge duidelijk zijn dat de eerste twee scenario's grote praktische problemen met zich meebrengen. Bijvoorbeeld, wat gebeurt er met mensen zonder smartphone? en vrijheidsproblemen, toestaan dat de overheid software op ieders apparaat installeert. Maar ook het derde geval is problematisch. We verwijzen naar de volgende quote van Veilig tegen Corona

Het gebruik van de applicatie mag op geen enkele manier worden afgedwongen. Als blijkt dat de app nodig is, dan is het belangrijk dat een groot deel van de bevolking deze app gebruikt. Dat kan alleen als de fundamentele grondrechten van de gebruiker worden gerespecteerd. Dus óók de keuze om de app niet te installeren. De overheid mag het gebruik ook niet met bijvoorbeeld een financieel lokkertje stimuleren. De applicatie moet daarnaast tijdelijk uit te schakelen en permanent te verwijderen zijn. Aan het weigeren van het gebruik mogen geen negatieve consequenties verbonden zijn. Dat betekent dat ook andere partijen, zoals een luchtvaartmaatschappij, zorgverzekeraar of een restaurant, geen voorwaarden mogen stellen aan het gebruik van de app. In het bijzonder moet het gebruik door werkgevers jegens werknemers en door opleidingsinstanties jegens scholieren/studenten strikt verboden worden.

Daarbij voegen we toe dat wetgeving niet afdoende is om te garanderen dat de app nooit (sociaal) verplicht wordt gesteld. Een werknemer zal niet snel procederen over de eis van hun werkgever over het gebruik van de app. Ook zal de wet geen bescherming kunnen bieden tegen de sociale stigmatisering die volgt uit het niet naleven van regeringsbeleid betreffende de volksgezondheid.

Politieke normalisering

Zelfs in het geval dat alle bezwaren omtrent privacy, vrijheid, en veiligheid weg genomen zouden worden betreffende de COVID-19 tracking, dan blijft de dreiging van toekomstige tracking een probleem. Door de invoering van het COVID-19 systeem wordt het politiek genormaliseerd om dergelijke systemen te gebruiken. Er is geen garantie dat die systemen in de toekomst aan dezelfde eisen zullen voldoen die nu worden gesteld, of dat het huidig systeem in de toekomst niet gebruikt zal worden om zaken en situaties te tracken mogelijk die problematisch zijn.

Ontwikkelingssnelheid

Als eerste staan we kort stil bij hoe een app nu ontwikkeld zal worden. Zelfs als het theoretisch ontwerp goed wordt uitgewerkt (wat ook nog de vraag is) zullen er hoogstwaarschijnlijk fouten worden gemaakt bij de implementatie. Het volgende wordt nu effectief voorgesteld:

Er zal een app ontwikkeld worden via een tijdpad van op zijn hoogst enkele weken. De app gaat gezondheidsgegevens bijhouden en constant data verzamelen en verzenden. De app wordt direct in gebruik genomen door meer dan 10 miljoen gebruikers.

Correctheid van het systeem bij goed gebruik

De correctheid van diagnoses van het systeem is natuurlijk zeer belangrijk mocht het worden ingevoerd. Mocht dit wel het geval zijn dan kan het systeem meer kwaad doen dan goed omdat het schijnveiligheid schept.

Het is onduidelijk of het mogelijk is om besmettingsgevaar via een app te tracken. Als we een minimum stellen aan de contactduur (bijvoorbeeld vijf minuten voordat het telt als mogelijke besmetting), dan zullen veel besmettingen op openbare plekken gemist worden. Als we echter elk kort contact tellen dan zal dit veel te veel (valse) meldingen veroorzaken. Daarnaast is afstandbepaling via Bluetooth of GPS moeilijk en onnauwkeurig.

Als het al mogelijk is om een app te maken dan dient op zijn minst een ruime meerderheid van de bevolking de app te gebruiken. Niet iedereen in Nederland heeft een smartphone (ongeveer 9 op de 10 mensen), maar belangrijker nog is dat niet iedereen een up to date smartphone heeft. Zowel bij iOS als Android is waarschijnlijk een systeemupdate nodig om een bluetooth gebaseerde app toe te staan. Veel gebruikers zijn niet up to date met hun telefoon, of hebben zelfs een telefoon die niet verder te updaten is.

Ook de identificatie van besmettingen kan problematisch zijn. Iedereen kan zomaar de app gebruiken op gewaarschuwd te worden, maar voor het toevoegen van een nieuwe besmetting is (hopelijk) consent nodig van de betreffende gebruiker. De gebruiker is zelf in staat zijn vrienden en familie in te lichten en heeft de app alleen nodig om mensen uit de wijdere omgeving te waarschuwen. De vraag is of dit als motivatie opweegt tegen de nadelen. Als er verplichte isolatie geldt voor vrienden en famillie van de gebruiker, dan is dit een extra reden om niet eerlijk te zijn over de diagnose.

Correctheid van het systeem bij kwaadwillend gebruik

Er kunnen zich ook verschillende technische problemen voordoen waardoor een kwaadwillende gebruiker besmettingen kan toevoegen of verwijderen, bijvoorbeeld:

  • Door een te snelle invoering van het systeem kan de centrale administratie slecht beveiligd zijn. In dit geval kan het mogelijk zijn dat kwaadwillende hackers besmettingen verwijderen (en zo een foutief gevoel van veiligheid geven) of besmettingen toevoegen (en zo het systeem onbetrouwbaar maken).
  • De medische hulpverleners die nieuwe besmettingen moeten detecteren, moeten volledig betrouwbaar zijn. Anders kunnen gebruikers zich zelf toevoegen als besmet. Een kleine hulpverlener heeft mogelijk geen goed beveiligd systeem en maakt makkelijk fouten. De kans dat het lukt om alle hulpverleners goed te onderwijzen opdat niemand een fout begaat die aanvallen mogelijk maakt, is zeer klein.
  • Een kwaadwillend persoon kan alle opgevangen signalen van zijn mobiel opslaan en, terwijl hij zich verplaatst, een kopie hiervan blijven uitzenden. Dit maakt het mogelijk dat een persoon doet alsof hij meerdere gebruikers is, om zo een hoop incorrecte ontmoetingen te simuleren. Dit zal al snel leiden tot het foutief aanmerken van risicogevallen.

    Deze aanval kan verder worden uitgebreid als een relatief kleine groep de signalen centraal deelt. Op deze manier kunnen signalen van over het hele land op de verkeerde plek terecht komen. Als hier een signaal van een besmet persoon tussen komt zullen heel veel mensen onterecht denken dat er contact is geweest.

Onredelijke verwachtingen van gebruikers

De implementatie van een veilig systeem is volledig afhankelijk van een goed gebruik. Als een gebruikersapparaat Wifi of Bluetooth MAC adressen niet goed verbergt, dan lekt informatie al snel uit.

Om de app tijdelijk te maken is het nodig dat gebruikers tijdig de app weer kunnen afzetten of deïnstalleren. Een eindtijd zou ingebakken kunnen worden in de app, maar zou dan met een simpele update aangepast kunnen worden.

Tracking van gebruik en locatie

Per definitie maakt een proximity tracker het mogelijk om de gebruiker te tracken. Hierdoor word het ook voor gebruikers mogelijk om te zien wie de app niet gebruikt. Dit kan leiden tot druk op, of sociale uitsluiting van, mensen die er voor kiezen de app niet te gebruiken.

Doordat Bluetooth aanstaat en er constant identificeerbare gegevens worden verzonden kunnen al bestaande trackers in bijvoorbeeld winkels massaal gebruikers volgen. Daarbij wordt het aantrekkelijker om gegevens te gaan verzamelen als de app wijd verspreid wordt.

Ook overheden zullen mogelijk verleid worden om massaal te gaan tracken. Ten eerste kunnen de lokale inlichtingendiensten de gegevens gebruiken om burgers te volgen, zeker als ze ook toegang weten te krijgen tot de centrale database. Ten tweede kunnen ook buitenlandse inlichtingendiensten gegevens gaan volgen. Denk hierbij aan de vergaande methodes die naar voren kwamen in de Snowden papers. Dit kan een groot risico vormen voor nationale veiligheid.

Privacy

Het mag duidelijk zijn dat het niet mogelijk moet zijn om van elkaar te zien wie gediagnosticeerd is met COVID-19, het betreft immers gevoelige medische informatie. Daarnaast kan het niet veilig omgaan met deze informatie er voor zorgen dat mensen niet eerlijk zijn over een postieve COVID-19 test. Als het gaat om het achterhalen van deze (en mogelijke andere gevoelige informatie) maken we een onderscheid tussen drie groepen gebruikers, afhankelijk van hun technische vaardigheid:

  1. Gebruikers van de officiële app. Door af te stemmen tussen gebruikers kan het mogelijk zijn om te herleiden wie besmet zijn. Als tijdens de huidige Lock-down situatie een gezin telkens samen naar buiten gaat, behalve een enkele keer hier en daar, dan kan er al snel een conclusie worden getrokken als maar een van de gezinsleden een waarschuwing van gevaarlijk contact ontvangt. Zelfs als een exacte conclusie niet mogelijk is zal een goede gok al snel mogelijk zijn. Ook zou het mogelijk zijn om af te stemmen met meerdere bewoners van een wijk om zo te bepalen wie in de wijk besmet is..

  2. Gebruikers van een aangepaste of andere app. Als een technisch geschoolde gebruiker een aangepaste of nieuwe app maakt kan dezer door vele niet technisch geschoolde gebruikers worden gedownload. Deze app zou precies kunnen bijhouden wanneer welke signalen zijn opgevangen. Als een gebruiker een waarschuwing van gevaarlijk contact ontvangt kan deze worden terug geleid tot de exacte momenten van contact. Dit is bijna altijd genoeg om te identificeren wie die de besmette persoon is.

    Als een nieuwe app deze gegevens onder de gebruikers deelt kan er zelf heel specifiek worden bijgehouden waar besmette gebruikers zijn geweest. Denk aan een scenario waar een wijk samen bijhoudt welke gezinnen vermeden moeten worden.

  3. Technische geschoolde gebruikers. Technisch geschoolde gebruikers kunnen mogelijk nog meer informatie verzamelen, en op grotere schaal. Het gebruik van sterkere antennes en professionele hardware (bijvoorbeeld Ubertooth One) kan het mogelijk maken om massaal gegevens te verzamelen. Het kan hier gaan om het afluisteren van een hele wijk.

    Het tracken kan mogelijk verbeterd worden door extra gegevens te verzamelen. Zo kan het verzamelen van Bluetooth en WiFi MAC adressen, of het trianguleren van signaal sterktes het mogelijk maken gebruikers verder te volgen. Sommige van deze technieken zijn misschien ook al via een instaleerbare app mogelijk.

Andere initiatieven

Er zijn al andere initiatieven opgericht betredende de COVID-19 tracking app:

  • De coalitie Veilig tegen Corona geeft in een manifest een tiental eisen waaraan een proximity tracking systeem moet voldoen.
  • Er is een brandbrief betreffende de app gestuurd door 60 wetenschappers aan het kabinet.

Overige bronnen

Hieronder enkele andere bronnen die relevant zijn.

In de media:

  • Het programma Zondag met Lubach heeft een item over de app app gehad.
  • De Volkskrant heeft recent een artikel geplaatst over surveillance in China (abonnement vereist).
  • Het Financieele Dagblad heeft recent een artikel geplaatst over de gehaaste aanpak door het kabinet (abonnement vereist).

Techinische stukken: