Wat is ‘het probleem van versleuteling’?

Kun je Bluetooth wel misbruiken voor een corona-app?

De minister wil van de corona-app een tweede WhatsApp maken

Alsof deze tijd nog niet zwaar genoeg is voor de GGD. Ze werkten zich de afgelopen twee maanden al uit de naad, in een poging het virus onder controle te krijgen. Ze zegt inmiddels klaar te zijn voor het contactonderzoek dat komt. Het ministerie zet in op "digitale ondersteuning" van dat proces, maar de vraag is of de gebruikte technologie wel ondersteunend werkt.

Het Ministerie van Volksgezondheid zet, ondanks het eerder debacle, onverminderd in op een "digitale ondersteuning" van het proces voor contactonderzoek door de GGD. Ze wil nog altijd een app ontwikkelen, waarmee je kunt bijhouden bij wie je in recent in de buurt bent geweest. Als zo iemand besmet blijkt te zijn, krijg jij een seintje.

De GGD kijkt bij het doen van contactonderzoek niet alleen naar de mensen bij wie je in de buurt bent geweest. Om te bepalen waar een mogelijk risico is, kijkt ze naar de context van die ontmoeting. Daarbij worden vragen gesteld die iets zeggen over de intensiteit van de ontmoeting: was je lang bij elkaar, of ben je elkaar alleen maar gepasseerd? Was je samen in een goed geventileerde ruimte? Was er een mogelijke barrière, zoals een plexiglasplaat of misschien zelfs wel een muur?

Om de GGD in haar onderzoek te ondersteunen wil de minister dat we met z'n allen een app gaan gebruiken. Maar de technologie die die app gebruikt, zou er best eens voor kunnen zorgen dat er uiteindelijk alleen maar meer werk op het bordje van de GGD komt.

De Nachtwacht, of een ander schilderij?

De technologie die het ministerie wil gebruiken, is het framework van Google en Apple. Dat werkt op basis van Bluetooth. De bedenkers van die technologie hadden een compleet ander doel voor ogen. Ze ontwierpen technologie die het mogelijk maakt om twee apparaten draadloos met elkaar te verbinden. Dat is iets anders dan technologie waarmee je kunt bepalen welke gebruikers onder welke omstandigheden bij elkaar in de buurt waren. Met een ander doel stel je ook andere eisen aan het ontwerp. Het gevolg is dat zo'n corona-app, gebaseerd op Bluetooth, op zijn best registreert wanneer een ander apparaat in de buurt is.

Dat hebben ook de ontwerpers van Fabrique gemerkt. Een van hun ontwerpers schreef een advies over het ontwerp van zo'n appHoe ontwerp je een app die door 17 miljoen Nederlanders wordt vertrouwd, maar begon zijn verhaal met een heldere waarschuwing:

"Maar wij zijn er erg sceptisch over. [...] Vanuit onze ervaringen met Bluetooth-beacons voor onder andere het Rijksmuseum kunnen we [beamen dat de techniek er totaal niet voor geschikt is]. Met Bluetooth kunnen we ongeveer meten hoe dicht je bij een zender staat, maar niet zo goed dat we weten of je bij de Nachtwacht staat of het schilderij ernaast."

De rest van zijn aanbevelingen gaat uit van de premisse "Maar laten we stellen dat Bluetooth-tracing wel goed genoeg gaat werken."

Laat deze technologie zich eigenlijk wel voor dit doel misbruiken?

Ongedetailleerd en zonder context

Je kunt met deze technologie dus wel bepalen wie er allemaal in je buurt zijn geweest. Maar het blijkt bijzonder lastig om te zeggen op welke afstandProf. dr. ir. Maarten van Steen, Wetenschappelijk Directeur aan de Universiteit Twente vertelde dat ook in een hoorzitting aan Kamerleden. De sterkte van het ontvangen signaal zegt niet zo veel, of in ieder geval niet zonder meer context. Het signaal van Bluetooth gaat bijvoorbeeld lastig door water. Dat betekent dat je als je dicht bij tegenover elkaar staat, de sterkte van het signaal zal afhangen van de vraag of je je telefoon in je broekzak voor of achter hebt. En stel dat je met zijn tweeën op een paar meter afstand van elkaar staat. Op een verder lege hei zal het signaal helderder zijn dan wanneer je dat doet in een supermarkt waar een rij voor de deur staat te wachten.

Daar komt bij dat die technologie ook niets zegt over de context. Als er een contact is tussen jou en iemand anders, dan kan de technologie niets vertellen over de omstandigheden. Je telefoon heeft de plexiglasplaat tussen jou en de ander niet gezien. En je telefoon heeft ook geen idee over de ventilatie van van de ruimte. Zo'n app levert dus alleen maar een "indirecte meting" op. Een leeg datapunt, zonder context.

Een grotere hooiberg

Het kan dus goed mogelijk zijn dat deze technologie heel veel valse positieven (contacten die volgens de app een risico waren maar dat niet zijn geweest) genereert. Mogelijk maakt deze technologie de hooiberg dus alleen maar groter. Je kunt dat misschien oplossen door contacten alleen te alarmeren als het signaal van de ander langdurig heel sterk was. Maar ook dat is onzalig: je krijgt dan veel valse negatieven en dan mist de app dus veel contactmomenten die wel een risico waren. Als gebruiker ga je dan, terwijl je mogelijk besmet bent, de trein in en boodschappen doen, want de app heeft je niets laten weten.

Het is dus belangrijk om te onderzoeken of deze technologie zich eigenlijk wel goed genoeg voor contactonderzoek laat misbruiken. En zelfs alDie ambitie om 60% te halen is er en dat vinden wij torenhoog installeert 60% van de bevolking zo'n app, dan zou hij alsnog maar 36% van de ontmoetingen dekkenDit in Bluetooth gespecialiseerde bedrijf heeft ook haar twijfels over de technologie. Maar misschien nog belangrijker is dat we er ook rekening mee moeten houden dat zo'n app de GGD alleen maar zwaarder belast. Dat ze nog altijd uitgebreid handmatig contactonderzoek moet doen. En dat we er rekening mee moeten houden dat de GGD onnodig veel mensen moet gaan testen op basis van valse positieven.

We willen allemaal graag uit deze 'intelligente' lockdown en het zou prachtig zijn als 'slimme' digitale oplossingen daarbij zouden kunnen helpen. Maar niemand houdt van mensen of dingen die zich slimmer voor doen dan ze zijn. Voordat de app op grote schaal wordt uitgerold, moet aantoonbaar zijn dat deze technologie zich wel voor dit doel laat misbruiken.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.