Corona-app: bijna volledig anoniem

Thierry Denoël
Thierry Denoël Journalist Le Vif/L'Express

Woensdag wordt Coronalert gelanceerd. De app van de federale overheid is gebaseerd op de Duitse corona-app en wordt als ‘privacyveilig’ gepromoot. Maar België paste de Duitse code aan. Daardoor beschikt de overheid in principe over voldoende informatie om te controleren wie de app gebruikt en wie niet.

Het was even wachten op de lancering van de federale contacttracingapp Coronalert die, na een proeffase met een tachtigtal gebruikers, eigenlijk al vorige week gepland stond. De app moet haar gebruikers verwittigen als ze contact hebben gehad met medeburgers die later met covid-19 besmet blijken. Naast het contactopsporingsonderzoek ziet de federale regering in de gratis – maar niet verplichte – smartphonetoepassing een nieuw wapen in de strijd tegen de verspreiding van het virus.

De privacy van de burgers was een belangrijk criterium bij de ontwikkeling. Terwijl de Chinese app gps-technologie inzet en zo de verplaatsingen van zijn burgers op de voet kan volgen, koos België navolging van andere Europese landen voor een systeem gebaseerd op het privacyvriendelijker DP3T-protocol. Daarbij zendt elke smartphone via een rechtstreeks bluetoothsignaal een anonieme code uit. Als twee smartphones bij elkaar in de buurt komen, ontvangen ze elkaars codes. Die codes slaat de smartphone dan op samen met de sterkte van het ontvangen signaal. Om te vermijden dat je iemand aan de hand van de anonieme code zou kunnen traceren, genereert de app elk kwartier een volledig nieuwe anonieme code.

Test een gebruiker positief op covid-19, dan wordt hem gevraagd (het is dus niet verplicht) om alle codes die zijn telefoon heeft uitgezonden terwijl hij besmettelijk was, te uploaden naar een centrale database van Sciensano, waar een lijst met ‘besmette codes’ wordt bijhouden. Alle smartphones met de app downloaden die lijst regelmatig en vergelijken ze met de codes die de telefoon zelf rechtstreeks via bluetooth ontvangen heeft. Op basis van de blootstellingsduur en de signaalsterkte (die afneemt met de fysieke afstand) maakt de app dan een inschatting van de kans dat de gebruiker zelf besmet is geraakt.

Doordat een groot deel van de informatie decentraal (door de smartphones van de gebruikers) opgeslagen en verwerkt wordt, maakt DP3T het dus zo goed als onmogelijk om de verplaatsingen van gebruikers centraal te volgen of om na te gaan wie met wie contact heeft gehad.

Grappenmakers

Bij de communicatie tussen de arts die de covid-19-test afneemt en de databank van Sciensano, neemt ons land het iets minder nauw met de anonimiteit waarin DP3T voorziet. Want wanneer een patiënt vermoedt dat hij geïnfecteerd is, dan moet hij op zijn smartphone een ‘Covid-test’-knop aanklikken en ontvangt hij een zogenoemde ‘R1-code’ voor zijn arts, die de code samen met het gsm-nummer van de patiënt en het zijn rijksregisternummer naar Sciensano stuurt. Als de test positief is, wordt de R1-code een soort wachtwoord dat de patiënt toelaat om de uitgezonden bluetoothcodes naar de centrale server te uploaden.

Sciensano zou dus te weten kunnen komen welke besmette patiënten de app al dan niet gebruiken. ‘Dat klopt’, geeft professor informatica en medeontwerper van de Belgische app Axel Legay (UC Louvain) toe. ‘Maar daar eindigt het ook. Sciensano of andere autoriteiten mogen niks met die informatie doen. Dat de R1-code niet volledig anoniem is, moet je zien als een veiligheidsmaatregel om te voorkomen dat gebruikers die niet besmet zijn toch hun sleutels zouden uploaden.’ Grappenmakers zouden zo nodeloos paniek kunnen zaaien en mensen zonder reden in quarantaine dwingen.

Sciensano zou te weten kunnen komen welke besmette patiënten de app gebruiken.

En waarom dan geen systeem met een anonieme R1-code? Of een QR-code, zoals in Duitsland? Na een positieve test zou de arts zijn patiënt een code kunnen bezorgen die hij eveneens verstuurt naar Sciensano, maar dan zonder dat die code gekoppeld wordt aan het telefoon- of rijksregisternummer. ‘In zo’n volledig anoniem systeem kunnen we niet voorkomen dat gebruikers hun code ingeven in het toestel van iemand anders. Dan zou er foute informatie in het systeem terechtkomen, met alle gevolgen van dien’, klinkt het bij Legay, die er ook op wijst dat er nog in een extra privacymaatregel voorzien is: ‘Na 14 dagen worden de codes op de server gewist, ook de R1-code.’

In een reactie na de oorspronkelijke publicatie van dit artikel laat federaal topambtenaar Frank Robben weten dat de overheid de anonimiteit van de gebruikers wel garandeert. Bij het overmaken van de R1-code aan de anonieme database wordt “elke link tussen het testvoorschift en de anonieme testcode onherroepelijk gewist”, zoals voorzien in het KB dat de app regelt. Volgens Robben valt na die procedure niet meer te achterhalen of de gebruiker de app al dan niet gebruikt.

Kortom, de Belgische Coronalert-app beschermt net als de Duitse corona-app waarop ze gebaseerd is de handel en wandel van haar gebruikers, maar is licht aangepast. Belgische gebruikers geven toch net iets meer informatie mee aan de overheid. De overheid beklemtoont echter dat ze de nodige procedures heeft ingesteld om toch volledige anonimiteit te garanderen.

Dit artikel werd op 1 oktober 2020 om 10.49 uur bijgewerkt na een reactie van federaal topambtenaar Frank Robben.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content