Binnen een aantal dagen zou hij dan eindelijk breed online gaan: de Coronalert-app, die in ons land de digitale contactopsporing in het kader van de bestrijding van Covid-19 mogelijk moet maken. Nu wordt die app intussen al een aantal dagen breed getest bij een tienduizendtal personen in bedrijven en scholen. De eerste algemene indruk over het gebruik van de app zou naar verluidt positief zijn.
DPIA
Bij grootschalige verwerkingen van persoonsgegevens met een hoog privacyrisico vereist de Algemene Verordening Gegevensbescherming (AVG) dat een gegevensbeschermingseffectbeoordeling (of DPIA) wordt ingediend bij de Gegevensbeschermingsautoriteit. Ik ondervroeg daarom minister Philippe De Backer afgelopen week in de Kamer om na te gaan of op dat vlak wel alles in orde is. Voor wat de app zelf betreft kon de minister geruststellend antwoorden dat de DPIA intussen openbaar beschikbaar is en dus kan worden geraadpleegd (zie hier).
Maar die app draait natuurlijk niet op zichzelf, die draait op mobiele telefoons. De applicatie maakt gebruik van bluetoothsignalen voor gegevensuitwisseling omdat dat het meest privacyvriendelijk is. Bluetooth laat immers geen geolokalisatie toe en dus ook geen tracking van gebruikers. De digitale contactopsporing werkt als volgt: de mobiele telefoons genereren iedere 15 minuten nieuwe willekeurige identificatienummers en houden op het toestel zélf bij met welke andere telefoons ze de afgelopen twee weken nauw in contact hebben gestaan. Wie besmet blijkt met het virus kan dat in zijn app aangeven, zodat de apparaten die met het toestel van de besmette persoon nauw in contact zijn geweest een waarschuwing binnenkrijgen. Vervolgens kunnen de gewaarschuwde gebruikers op tijd in quarantaine gaan en zich laten testen.
“De doelstelling van Apple en Google zijn nobel, maar het is nog maar de vraag of hun contact tracing app onze privacyregels respecteren”
Android en iOS
Google en Apple verdelen bijna volledig onder elkaar de wereldmarkt van besturingssoftware voor mobiele telefoons, met respectievelijk Android en iOS. Deze besturingssystemen laten standaard niet toe dat gegevensuitwisseling via bluetooth op de achtergrond kan draaien, wat natuurlijk wel vrij essentieel is voor een efficiënte werking van de app. Daarom hebben Apple en Google in hun besturingssysteem de exposure notification API geïntegreerd, een interface die het mogelijk maakt om de app voor contactopsporing behoorlijk te laten functioneren, ook op de achtergrond dus, en die er ook voor zorgt dat de willekeurige identificatienummers ook kunnen worden uitgewisseld tussen beide besturingssystemen onderling.
De twee bedrijven benadrukten bij de voorstelling van de API dat privacy en veiligheid centraal staan. Expliciete toestemming van de gebruiker zou vereist zijn, en Google en Apple zouden geen persoonlijk identificeerbare informatie of locatiegegevens gebruiken. De lijst van andere toestellen waarmee contact wordt geregistreerd, zou nooit de telefoon verlaten. En mensen die positief testen, zouden anoniem blijven voor andere gebruikers én voor Apple en Google zelf.
Eigen systeem
Maar moeten wij nu Apple en Google simpelweg op hun woord geloven, gewoon omdat we hun platformen nodig hebben om zo’n app mogelijk te maken?
Het is immers zo dat de uitrol door Apple en Google in twee fasen gebeurde: de eerste versie van de API werd in mei uitgegeven en was noodzakelijk om de verschillende nationale apps voor contactopsporing te kunnen lanceren. Deze maand echter werd een nieuwe versie van de API gelanceerd, via iOS 13.7 en een update van Android 6.0, die nog een stapje verder gaat. Waar voorheen enkel aan digitale contactopsporing werd gedaan van zodra er óók een app was geïnstalleerd en die actief was, zou de API voortaan zélf al de digitale contactopsporing kunnen starten (in de besturingssoftware zélf dus), en de gebruiker pas vragen om de nationale app te installeren nadat er een eerste nauw contact werd geregistreerd met een toestel waarvan de gebruiker zich als besmet heeft opgegeven.
De doelstelling is misschien nobel - namelijk een snellere verspreiding en installatie van de app bevorderen - maar het is nog maar de vraag of deze nieuwe versie van de API wel onze grondregels rond gegevensbescherming, zoals vervat in de AVG, respecteert. Want Apple en Google stéllen wel uitdrukkelijk dat de blootstellingsmeldingen pas worden geactiveerd wanneer de gebruiker deze zelf inschakelt én indien er medewerking is van de nationale gezondheidsinstantie (bij ons werd Sciensano daarvoor aangewezen), dat neemt niet weg dat het hier nog steeds om een mogelijke verwerking van gezondheidsgegevens gaat, en dat een publiek gemaakte DPIA en een beoordeling daarvan dus noodzakelijk lijken.
“Moet een minister van Privacy in zo’n gevoelig dossier ‘veronderstellen’ dat alles in orde is, moet hij dat niet met zekerheid weten?”
Garanties
Want wie garandeert ons dat onze smartphone op de achtergrond niet de identificatiesleutels van andere toestellen verzamelt wanneer we de bewuste functie hebben ingeschakeld, ook al heeft Sciensano daar geen toelating voor verleend. Misschien worden bijvoorbeeld louter de identificatiesleutels verzameld van toestellen van buitenlanders wiens nationale gezondheidsautoriteit wél aan de bijkomende functionaliteit van de API deelneemt. En wie garandeert ons dat er geen gevoelige persoonsgegevens rond de contactopsporing naar de cloud worden verstuurd, en dus op de servers van Apple en Google terechtkomen, wanneer we bijvoorbeeld een reservekopie van de gegevens op onze smartphone maken?
Noteer trouwens dat er bij onze noorderburen nog steeds geen groen licht voor een wettelijk kader voor een nationale app voor contactopsporing werd gegeven, vooral omdat de Nederlandse Autoriteit Persoonsgegevens met dezelfde onbeantwoorde vragen zit omtrent de verwerkingen die Apple en Google via hun API’s in theorie of in de praktijk kunnen doen (zie hier).
Vandaar dat ik aan minister De Backer deze week ook zeer uitdrukkelijk heb gevraagd of hij er weet van had dat Apple en Google intussen via de bijgewerkte API al contactopsporing aan het uitvoeren zijn in ons land, en of beide bedrijven toegang hebben tot Gegevensbank 5 van Sciensano, dat is namelijk de nationale lijst met identificatiesleutels van toestellen van gebruikers die de voorbije twee weken positief getest werden op Covid-19. Duidelijke antwoorden op die vragen kreeg ik echter niet.
Veronderstellingen
Google en Apple hebben hun Europese hoofdzetels in Ierland gevestigd. Ze vallen bijgevolg niet onder de bevoegdheid van de Belgische maar van de Ierse gegevensbeschermingsautoriteit. Ik vroeg daarom tot slot of de minister wist of Apple en Google een DPIA hadden uitgevoerd omtrent deze API. Minister De Backer antwoordde me wel dat hij veronderstelt dat beide bedrijven bij de Ierse gegevensbeschermingsautoriteit een DPIA ter beoordeling hebben neergelegd en publiek gemaakt.
Maar moet een minister van Privacy in zo’n gevoelig dossier wel veronderstellen, ook al is hij misschien binnen enkele dagen eindelijk van zijn verlengde ministerschap verlost?
Ik zal deze kwestie alleszins de komende weken in het parlement verder opvolgen. Dat is nu eenmaal mijn taak als volksvertegenwoordiger. Want iedere burger van dit land verdient, ook in coronatijden, een degelijke en effectieve bescherming van zijn of haar persoonsgegevens.