Veiligheid, protocol, geëncrypteerde persoonsdata, centraal of decentraal, epidemiologische kwesties, debat in de Assemblée, rol GAFA …
De ontwikkeling en het inzetten van de tracing app in Frankrijk blijft aan de orde van de dag. De grootste vraagtekens betreffen nog steeds veiligheid, privacy en betrouwbaarheid.
Het is bekend dat de app de Buetooth-technologie zal gebruiken. De app gaat de persoonsgegevens van de in de nabijheid gepasseerde gebruikers registreren in de vorm van geanonimiseerde data om eventueel enkele dagen later te kunnen waarschuwen als de gebruiker in de buurt van een Covid-19 positief geteste persoon is geweest.
Maar technisch zijn er nog veel aspecten waarover een beslissing moet worden genomen: welk communicatieprotocol wordt gebruikt?, waar worden die geanonimiseerde identiteitsgegevens van nabij gepasseerde personen opgeslagen?, hoe gaat de informatie van een besmette persoon circuleren om de personen die in diens buurt zijn geweest, te waarschuwen?, etc.

Op zaterdag 18 april is de CEO van het ICT-kennisinstituut INRIA Bruno Sportisse, op de website van INRIA uitgebreid ingegaan op deze kwestie. Hieronder volgen in het kort zijn ideeën.

Welke informatie gaat circuleren ?
Om een instrument te hebben dat voldoet aan de Europese privacy-regelgeving, mag de app geen gegevens vrijgeven over welke persoon besmet is, noch aan welke personen waar hij dichtbij is geweest, hij het virus eventueel heeft kunnen overdragen.
Om dat te kunnen garanderen, zullen noch de naam, noch het telefoonnummer van de gebruikers in de app circuleren. Ook zullen ze geen uniek gebruikersnummer krijgen. Iedere smartphone zal dus een tijdelijke crypto-gebruikersidentiteit naar andere smartphones (die in de buurt zijn) uitzenden. Oftewel tijdelijk gepseudonimiseerde data. Die tijdelijkheid is meestal zo’n 15 minuten. De data worden verbonden aan een terminal en niet aan een persoon. Als een persoon dus positief getest wordt, wordt zijn crypto-gebruikersidentiteit gecommuniceerd.

Protocol ROBERT open source
Sinds 18 april, staat het wetenschappelijk artikel dat het communicatieprotocol bekend maakt dat waarschijnlijk door de Europese teams gebruikt gaat worden, op de open source website Github. Dit protocol heet ROBERT, dat staat voor ROBust and privacy-presERving proximity Tracing. Vanuit het Inria werkt het Provatics-team eraan. Het protocol is niet definitief, onderzoek door het Inria en het Duitse Fraunhofer Instituut is nog steeds gaande. Dit is een zeer belangrijk onderdeel van de app want dit bepaalt welke informatie gaat circuleren en hoe dat in zijn werk gaat.
“Net als ieder wetenschappelijk project, wordt dit protocol voorgelegd voor een peer review, zegt Bruno Sportisse, zodat mankementen, aanvallen en suggesties kunnen worden voorgesteld. Er komen dus nieuwe versies aan.” Maar een eerste app op basis van het ROBERT-protocol is in voorbereiding, deze zal ook open source zijn.
In het geval van het ROBERT-protocol, geeft de app, in geval van besmetting van de gebruiker, de geschiedenis van de crypto-gebruikersidentiteiten waar hij dichtbij is geweest, door aan een centrale server (bijvoorbeeld die van een gezondheidsautoriteit), zonder aan deze server zijn eigen crypto-gebruikersidentiteit te geven.
Parallel checkt iedere smartphone met de app regelmatig (deze frequentie moet nog nader bepaald worden) de centrale server of zijn crypto-gebruikersidentiteit op de risicolijst staat, oftewel of hij in de afgelopen dagen in de nabijheid is geweest van een besmet persoon.

Balans tussen een gecentraliseerd systeem en gedecentraliseerde uitwisselingen
Het is zeer belangrijk bij het StopCovid-project welke informatie lokaal op de telefoon blijft en welke met de centrale server gedeeld wordt. Hierbij spelen twee zaken: hoe gedecentraliseerder het systeem is, hoe meer de privacy gegarandeerd is, maar hoe groter de cyberrisico’s zijn.

De Inria-teams hebben dus samen met hun Europese counterparts gezocht naar een balans tussen beide. Bruno Sportisse benadrukt dat er op de centrale server geen persoonsgegevens met betrekking tot besmette personen zullen staan. Er zal alleen een lijst komen van crypto-gebruikersidentiteiten van de smartphones die in de nabijheid zijn geweest van positief geteste personen. Een ander voorbeeld van deze duidelijke keuze: in de smartphone van mijn buurman staat geen informatie uit mijn medisch dossier, hoe geëncrypteerd ook.

De beperkingen van Blutooth compenseren
Vanaf het begin van het project zijn de beperkingen van Bluetooth naar voren gekomen : dit is geen technologie die bijzonder geschikt is om afstanden tussen twee smartphones te meten. De resultaten kunnen van allerlei factoren afhangen: de positie van de smartphone, de fysiologie van de persoon, het type smartphone, de staat van de batterij, etc. De Duitse partners bij het project stellen daarom statistische modellen voor om deze afwijkingen te corrigeren.

De besmettingsrisico’s goed definiëren in samenwerking met epidemiologen
Als we willen dat de app efficiënt is, is het belangrijk dat de gebruikers gewaarschuwd worden voor de werkelijke risico’s die ze gelopen hebben. Het probleem is dat het overdrachtsmodel van het virus momenteel heel onzeker blijft. Gebeurt dat via de lucht of via druppels, hoe lang blijft het in de lucht? Hoelang blijft het op oppervlaktes? Hoe kun je de intensiteit van het virus inschatten?

Alle ‘proximity tracing’-apps hebben te maken met dezelfde onzekerheden en zijn gebaseerd op de huidige voorhanden zijnde kennis. Als de epidemiologen dus nieuwe uitspraken doen, zal dat ervoor zorgen dat de app geleidelijk aanaangepast wordt, aldus Bruno Sportisse.

Cédric O vraagt Apple en Google om meewerking
Tijdens zijn zitting door de wetscommissie van de Senaat op maandag 20 april, benoemde Cédric O, staatssecretaris voor digitale zaken, de blokkering die Apple in het ontwerp van zijn telefoons heeft ingebouwd voor de toekomstige StopCovid-app. De Franse regering en Apple zijn al enkele dagen in discussie over dit punt. Het probleem is dat de Bluetooth op de I-phone alleen actief wordt als de app aanstaat. De Franse regering wil dat de Bluetooth constant actief is, anders heeft het weinig zin omdat er dan te weinig deelname zal zijn. Het gaat om een kwestie van volksgezondheid, aldus de Franse regering. Google lijkt opener over dit punt. Men hoopt eruit te zijn voor het debat in de Assemblée op 28 april.

Eurocommissaris Thierry Breton heeft gewaarschuwd om zeer voorzichtig om te gaan in de relaties met de GAFA en hij benadrukte de noodzaak en het belang om een betrouwbare app te bouwen met een instrumentarium dat door de EU is gedefinieerd, met respect voor de privacy.
«Wat we aan Apple en Google vragen, is alleen om voor interoperability (tussen iOS en Android systemen voor de tracing apps) te zorgen, verder niets », zei hij. Oftewel: verder zorgen de landen zelf wel voor hun apps met geanonimiseerde persoonsdata, en geen tracking. Het gaat er niet om om burgers te bespioneren, aldus Breton.

Debat met stemming in de Assemblée Nationale
Op 28 april  staat een debat in de Assemblée Nationale (2e kamer) gepland over de StopCovid-app. Aanvankelijk zou dit uitsluitend een debat zijn zonder stemming omdat er toch geen wetgeving uit zal komen en er, gezien de sanitaire crisis, weinig gedeputeerden aan deel kunnen nemen. Nadat 46 gedeputeerden hier echter fel tegen geprotesteerd hebben, is besloten dat er alsnog een stemming zal plaatshebben.
Cédric O, staatssecretaris van digitale zaken, staat niet positief tegenover een stemming. De app StopCovid zal op 28 april nog niet in werking zijn, gaf hij aan. Het lijkt hem dus moeilijk om een discussie, gevolgd door een stemming te houden over een onderwerp dat nog niet helemaal is uitgewerkt. Wat zullen de gevolgen zijn van een eventuele ‘non’?
Niet alleen de oppositie heeft immers een zekere weerstand tegen de tracingapp getoond. Ook een aantal gedeputeerden van La République en Marche, is fel tegen. De gedeputeerde Paula Forteza heeft samen met de cybersecurity-onderzoeker Baptiste Robert op 18 april een artikel gepubliceerd waarin ze onder andere aangeven dat het ‘vrije’ en ‘goed geïnformeerde’ karakter van het akkoord, indien men de app downloadt, niet duidelijk is. Tegenstanders zijn bang dat de burgers voor een moreel dilemma komen te staan: ben ik fout bezig als ik de app niet download? De sociale druk en het schuldgevoel zou kunnen leiden tot een soort gedwongen toestemming, schrijven ze.
Het is nog onbekend of de senaat ook gaat stemmen over de app. Voorts moet ook de CNIL, de Franse autoriteit die waakt over de privacy van de burgers, zich nog uitspreken over de app.

Bronnen
Usine Nouvelle 20/4/2020
Usine digitale 21/4/2020
Les Echos 20/4/2020
Les Echos 19/4/2020