Zeven apps voor de bestrijding van Covid-19 hebben de shortlist gehaald van het ministerie van VWS. De selectieprocedure was een farce, zegt Michel van Eeten, die erbij was.
Michel van Eeten: 'We zaten in een snelkookpan. In één dag moesten we al die apps beoordelen.' (Foto: Fjodor Buis)
Delen
Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport zei twee weken geleden dat het kabinet twee apps wil uitbrengen – trackingapps en apps voor gezondheidsmonitoring – die moeten helpen bij het controleren van verdere verspreiding van het coronavirus. Het plan riep meteen weerstand op. Een groep van ruim 60 wetenschappers riep het kabinet op om kritisch te kijken naar het nut en de noodzaak van corona-apps. In een open brief legden ze vooral nadruk op de sociaal-maatschappelijke en juridische impact van de apps. Over nut en noodzaak was volgens de onderzoekers niet goed nagedacht.
Het kabinet zou te overhaast te werk gaan. Dat beeld werd afgelopen donderdag bekrachtigd. Een chaotisch verlopen selectieprocedure resulteerde toen in een shortlist van zeven meest kansrijke apps. Circa 40 experts hielpen het ministerie om de lijst met 63 voorstellen in te korten. Een van hen was hoogleraar cybersecurity Michel van Eeten (TBM).
De selectieprocedure verliep chaotisch, zegt u. Hoezo?
“Het was volstrekt onduidelijk waar de apps aan moesten voldoen. Wij hadden geen lijst met criteria gekregen. Dat maakt het wel erg lastig om ze te beoordelen. En de omschrijvingen van de apps waren zeer summier. Het waren vaak enkele A-4’tjes. De broncode ontbrak. Die heb je nodig om na te kunnen gaan hoe de privacy gewaarborgd wordt. We werden onder grote druk gezet. We zaten in een snelkookpan. In één dag moesten we al die apps beoordelen. Sommige beoordelaars selecteerden apps die persoonlijke informatie van gebruikers verzamelen en doorsturen naar de overheid. Dat leek die experts wel zo handig. Maar volgens mij is dat dus juist niet de bedoeling. Kortom, iedereen deed maar wat. De apps zijn allemaal gebrekkig. En op de shortlist staan echt enkele amateurs. Zo werd bij de corona-app Covid19 Alert meteen al een datalek aangetroffen.”
Wie waren de experts met wie u werkte?
“We waren onderverdeeld in groepjes van vijf mensen. In mijn groep zaten onder anderen iemand van de GGD en van een patiëntenfederatie. Ik was de enige die iets van techniek afwist. In enkele van de andere groepjes zaten volgens mij helemaal geen IT-experts, afgaande op opmerkingen die ik hoorde. Elk groepje kreeg zeven of acht voorstellen ter beoordeling. Mijn clubje kreeg uiteindelijk het dubbele daarvan omdat er een groepje te weinig was. Zelf heb ik dus vijftien voorstellen gezien, van de 63. De rest zagen we niet, zelfs niet eens een lijst ervan. Oorspronkelijk waren er 700 inzendingen. Het ministerie had dat aantal zelf al gedecimeerd, hóe weet ik niet. Ik weet dat onder die inzendingen voorstellen zaten van grote professionele clubs. Denk bijvoorbeeld aan Fox-IT. Zo’n bedrijf heeft toch echt relevante expertise. Maar die zijn er dus al snel uitgeselecteerd. Dat is verrassend.”
De Autoriteit Persoonsgegevens stelt dat het maar zeer de vraag is of er uiteindelijk een app wordt toegelaten. Zij moet haar fiat geven. Begrijpt u die houding?
“Ja. Het AP moet onder andere toetsen op proportionaliteit. Dat kan pas als je helder vaststelt wat het doel is van de app. Dat is nog niet vastgesteld. En zo geldt het ook voor andere wettelijke criteria. Er is nog te weinig bekend over de apps, ze zijn ook nog niet af, om te bepalen of ze wel of niet voldoen aan het wettelijk kader.”
Hoe zit het volgens u met garanties voor de privacy. Is de privacy te waarborgen bij het gebruik van een corona-app?
“In principe wel. Er bestaat een veelbelovend protocol: DP3T. [Hiermee kan data lokaal worden opgeslagen en pas na vaststelling van een infectie worden verzonden naar een server zonder daarbij persoonsgegevens mee te leveren, red. TvD]. Apple en Google hebben dit nog niet in hun besturingssystemen ingebouwd. Daardoor kunnen apps met DP3T-technologie niet draaien op iOS en bij Android alleen met verwarrende app-machtigingen. Maar hier werken Apple en Google nu wel aan. Half mei moeten hun besturingssystemen aangepast zijn. Ik had aan ambtenaren van het ministerie gevraagd waarom we met de ontwikkeling van de apps niet gelijk optrekken met Google en Apple. Dat zou te lang duren, luidde het antwoord. De apps moesten voor die tijd al gereed zijn. Dat is volstrekt onrealistisch. Google en Apple hebben de beste programmeurs ter wereld en zijn veel en veel groter dan de ontwikkelaars waarmee het ministerie in de weer is. En die twee bedrijven zeggen anderhalve maand nodig te hebben om een déél van de benodigde software te ontwikkelen. Maar het ministerie van VWS denkt dat we in een paar weken de hele app gereed hebben en daarom willen ze niet op Google en Apple wachten. Het is van de gekke. Ik denk dat het ministerie dat inmiddels ook beseft en een terugtrekkende beweging gaat maken.”
Update 22-4
Minister De Jonge laat de komende vier weken een nieuwe app ontwikkelen die wél helemaal veilig is, de privacy niet schaadt en waarvan de broncode vrij toegankelijk wordt. Dat liet hij vandaag aan de Tweede Kamer weten.
Comments are closed.