Een van de problemen waarmee de Europese Commissie worstelt is dat het moeilijk is om even snel uit te leggen wat de regeringen van de lidstaten moeten doen om een corona-app te ontwikkelen waar ze allemaal wat aan hebben. De technologie is complex en de eisen zijn nogal precies. Tegelijk moeten die lidstaten zelf het heft in handen houden omdat ze nu eenmaal soevereine staten zijn. Niet de Europese Commissie zwaait in hun land de scepter, maar de nationale regeringen doen dat.
Maar ondertussen is het juist het machtige ambtelijke apparaat van de Europese Commissie waar de meeste gespecialiseerde kennis zit waar het gaat om de ontwikkeling van een datastrategie die corona tot over de landsgrenzen moet indammen.
App moet vrijwillig zijn
In een boekwerkje van zo’n 50 pagina’s zet de commissie uiteen waaraan de regeringen van de lidstaten moeten denken als ze een corona-app ontwikkelen. In de allereerste plaats moet de app vrijwillig zijn. Je als Europese burger gedwongen laten volgen door zendmasten die Bluetooth-signaaltjes sturen naar mobiele telefoons die daarna signaaltjes terugsturen, druist in tegen het Europese vrijheidsideaal. Daardoor dient zich meteen het tweede probleem aan: een app kan corona pas indammen als tussen de 60 en 70 procent van de bevolking in een land hem geïnstalleerd heeft. Dat blijkt volgens de Europese Commissie uit onderzoek naar de effectiviteit van een app in Singapore. Gezien de verwarring die er in verschillende Europese lidstaten heerst (alleen Oostenrijk, Tsjechië en Polen hebben er al een die actief is) over de toepassing van de data die de app verzamelt, kan dat nog wel eens moeilijk worden.
Om de veiligheid en anonimiteit van de app te garanderen heeft de Europese Commissie een checklist opgesteld. Eigenaren van een smartphone met corona-app krijgen volstrekt anonieme identificatiecodes zodra Bluetooth deze signaleert. Die moeten geregeld vernieuwd worden. Alle berichten naar de persoon moeten versleuteld gecommuniceerd worden en op de mobiel van de eigenaar worden bewaard. Zo moet het onmogelijk zijn voor derden om persoonlijke informatie op de corona-app te gebruiken. Alle data die in verband met corona verzameld wordt, moet gewist worden als de pandemie voorbij is of als deze niet meer helpt bij het indammen ervan. De data die wordt verzameld mag alleen gebruikt worden voor het bestrijden van verspreiding van het virus.
Hoe controleer je als burger anonimiteit?
Hoe de eigenaar van de mobiele telefoon zelf kan controleren of de beheerders van de data ook echt handelen zoals de Europese Commissie voorschrijft , is echter niet duidelijk. Zelf kunnen de meeste mensen dat niet. Wie zit er immers voldoende diep in de cybertech en ICT om te kunnen achterhalen of de app werkelijk aan al die voorwaarden voldoet?
Om dat probleem te ondervangen moeten de apps gecontroleerd kunnen worden door de Europese Databeschermings Autoriteit. Probleem daar weer van is dat niemand weet wie daarin zitten en het voor de meeste mensen een volstrekt anoniem en onbekend orgaan is.
Het gaat bij de installatie van de corona-app trouwens niet om één app, maar om twee apps. De eerste app moet een ‘alert’ versturen naar de eigenaar van een mobiel als die binnen een meter afstand geweest is van een persoon die op dat moment besmettelijk was en die dus positief op corona getest is. De reden dat de afstand een meter of minder tot die persoon is, is dat de kans dat iemand voor niks een ‘alert’ krijgt daardoor kleiner is dan als de afstand groter is.
Niet één, maar twee corona-apps
De tweede app is een symptomenchecker die je pas gaat gebruiken zodra je positief getest bent en ziek geworden bent door corona. Je vult dan anoniem je symptomen in. De app vervangt het handmatige traceren van mensen met wie je in contact geweest bent niet, zo schrijft de Europese Commissie. Wel stuurt de app een bericht uit naar de besmette persoon dat deze gebruik kan maken van persoonlijke bijstand via de app. Dan is deze niet meer anoniem. De naam van de persoon en de locaties waar deze geweest is tijdens de besmetting worden dan na toestemming bekend bij de autoriteiten die de data van app-gebruikers van de app beheren. Dit zijn volgens de Europese Commissie de ministeries van volksgezondheid in de verschillende lidstaten. Zij kunnen data met elkaar delen om grensoverschrijdende besmettingspatronen in kaart te brengen. Zo kunnen ze op nationaal niveau instructies geven aan de bevolking als er sprake is van een nieuwe virusuitbraak.
Handig, alle lidstaten hun eigen app!
Voor die specifieke toepassing is het dus juist wel handig dat alle Europese lidstaten allemaal hun eigen app maken. Elke lidstaat heeft immers eigen regels om met het coronavirus om te gaan en zal verschillende instructies willen communiceren. In Nederland hoefde geen enkele burger verplicht thuis te blijven. In Zweden kan je gewoon op een terras zitten. In Spanje, Frankrijk en Italië daarentegen hebben bewoners al wekenlang een thuisblijfplicht. Je krijgt er een boete als je in een buurt komt waar je volgens de nationale regels niets te zoeken hebt.
Het gebruik door overheden van besmettingsdata kan alleen als deze geanonimiseerd en geaggregeerd zijn. Dat moet volgens de GDPR, de Europese wet die misbruik van persoonlijke data moet voorkomen. Daarmee hebben de regeringen van de lidstaten – naast het sturen van alerts en het verzamelen van ziektedata – een derde toepassing in handen: als ze de datastrategie van de Europese Commissie gaan uitvoeren tenminste. Ze kunnen daarmee namelijk real time besmettingskaarten maken om te gebruiken om uit de lock down-situatie in hun land te komen.
Opsporen van misdadige corona-apps
In de tussentijd werkt de Europese Commissie aan een manier om slecht functionerende of misdadige corona-apps op te sporen en uit de appstores te houden. Hoe de Brusselse macht dit doet, is niet duidelijk. Er lopen gesprekken met Google en Apple voor de ontwikkeling van app-functies die kunnen draaien op iOS en Android-besturingssystemen voor de verschillende soorten mobiele telefoons die in omloop zijn. Of deze bedrijven zich ook met de selectie van foute corona-apps gaan bezighouden, zal moeten blijken.