De Europese Commissie onder leiding van Eurocommissaris Thierry Breton stuurde deze week een aanbeveling naar de regeringen van alle EU-lidstaten om het coronavirus te beteugelen door het gebruik van telecomdata en datatechnologie. Die aanbeveling is voor een groot deel gebaseerd op het systeem dat de Belgische taskforce ‘Data against Corona’ half maart in werking stelde.
De taskforce gebruikt de telecomdata van alle mensen met een mobiele telefoon die zich in België bevinden om hun mobiliteit in kaart te brengen. Ook is er een mobiele app om geïnfecteerden op te sporen. Dit systeem is gebaseerd op de kennis van techondernemer Sebastien Deletaille uit Brussel die hij met zijn voormalige bedrijf Riaktr opdeed in Liberia en Sierra Leone. Daar hielp hij de regering bij de bestrijding van het zeer dodelijke ebolavirus door gebruik van telecomdata. Het systeem dat hij daar ontwikkelde moet nu in Europa worden toegepast. In Europa zijn de regels voor privacy echter veel strenger dan in Afrika. Innovation Origins vroeg Deletaille om toelichting.
Hoe werkt de Belgische corona taskforce?
„Er zitten twee ministers in: die van Telecom, Privacy en Digitalisering, Philip de Backer, en die van Volksgezondheid, Maggie de Block. Zij hebben gereageerd op een opiniestuk in de krant L’Echo waarin collega-ondernemer Frederic Pivetta en ik de vraag stelden: waarom gebruiken we geen geaggregeerde telecomdata die anoniem gemaakt zijn om het virus te verslaan? Binnen 24 uur zeiden alle Belgische telecombedrijven: wij zijn klaar om hier aan mee te werken. De twee ministers zeiden toen: wij zijn klaar om dit initiatief te ondersteunen. Dus je hebt de regering, de dataproviders (de telco’s), ons als ondernemers en experts plus de Gegevensbeschermingsautoriteit. Samen hebben we gezegd: laten we ‘use cases’ presenteren waarbij we aangeven hoe we de geanonimiseerde, geaggregeerde data gaan gebruiken. De Gegevensbeschermingsautoriteit moet vooraf autoriseren wat we doen en vaststellen dat we de persoonlijke privacy van de mensen respecteren. Je moet bedenken: de Belgische Gegevensbeschermingsautoriteit is een onafhankelijke organisatie die de regering en de experts kan straffen. Zo hadden we alle mensen met de juiste skills en control aan tafel. Ook hebben we een bruikbaar wettelijk kader. Daar bovenop hebben we andere governancemechanismen toegevoegd zoals een ethische commissie die toezicht houdt op ons werk. We hebben alle codes voor gedrag en vertrouwelijkheid in de contracten opgediept en gecontroleerd.”
Binnen 24 uur zeiden alle Belgische telecombedrijven: wij zijn klaar om hier aan mee te werken.
Maar ik heb nooit gehoord dat wij in Nederland ook zo’n taskforce hebben.
„Nee, ik denk niet dat dit in Nederland gebeurt. [De Nederlandse Autoriteit Persoonsgegevens heeft laten weten dat dit klopt, red.] Als ik zeg dat ik de telecomdata van heel België gebruik, vrezen sommige mensen dat ik toegang heb tot hun naam en telefoonnummer, alle nummers die ze gebeld hebben en plaatsen waar ze zijn geweest. Maar dat is niet hoe het werkt. Dat is wat je ziet in films, in Black Mirror [een Netflix-serie; de term ‘black mirror’ slaat op een telefoonscherm, red.], dat is wat je ziet in China. Dat is niet waar wij het over hebben. De telecomoperators maken een aggregaat van hun data. We kijken alleen naar trips die gemaakt zijn door meer dan dertig personen per dag van het ene naar het andere postcodegebied. Telefoonnummers, namen van personen en individuele locaties worden niet geregistreerd. Zo krijg je een anoniem aggregaat. Dat levert een beeld op van de mobiliteitstrends in een land.”
Maar als je in een hele kleine gemeente woont?
„Stel dat je op het platteland woont in een postcodegebied van maar honderd mensen. Als er daarvan tien naar een ander postcodegebied gaan, worden die data eruit gefilterd en gewist.”
Maar gelden deze regels voor alleen België of voor de gehele Europese Unie?
„Voor de gehele Europese Unie.”
Komt deze regel dan wel uit België?
„Nee, deze regel komt uit de GDPR. Het is een anonimiseringstechniek die heet: k-anonymity 30. Dat is de regel. Die zegt: als je informatie toont, binnen een geografisch gebied, kan je geen resultaten laten zien op basis van een groep kleiner dan 30 mensen. Als je kijkt naar nationale statistieken, ook in Nederland, zie je dat ze nooit informatie geven over groepen kleiner dan dertig mensen. Ze zeggen alleen dat de groep kleiner is dan dertig mensen maar ze vertellen nooit uit hoeveel personen de groep precies bestaat. Deze regels zijn standaard. Wij passen die ook toe in België. Dat levert nooit problemen op. Als uit data blijkt dat er tussen Amsterdam Centraal en Schiphol gisteren 2000 trips gemaakt zijn, is er niemand die zegt: ja, maar dit is superprivé.”
Maar in Nederland was de reactie op het gebruik van telecomdata niet echt positief.
„De Nederlandse Autoriteit Persoonsgegevens heeft een groot statement afgegeven waarin ze zeggen dat telecomdata nooit anoniem kunnen zijn, en dat als de regering daarmee wil werken, deze nieuwe wetten moet maken.”
Is dat niet waar dan?
„Ze scheppen daarmee heel veel verwarring. Want we hebben het niet over hetzelfde. De data waarnaar de Nederlandse Autoriteit Persoonsgegevens verwijst gaan over jouw persoonlijke lokale data. Dat is niet waarnaar wij verwijzen. Trouwens, als de Nederlandse Autoriteit persoonsgegevens gevraagd zou worden om het gebruik van anonieme, geaggregeerde data goed te keuren, zijn ze verplicht ‘ja’ te zeggen. Want dat is wat in de Europese Unie is afgesproken. De GDPR gaat niet over onpersoonlijke data.”
Maar hoe kan het dat ze dit niet wisten?
„Die vraag zou je hen moeten stellen. Het heeft in elk geval veel verwarring veroorzaakt.”
De telecomdata waarnaar de Nederlandse Autoriteit Persoonsgegevens verwijst, gaan over jouw persoonlijke lokale data. Dat is niet waarnaar wij verwijzen. Ze veroorzaken daarmee veel verwarring.
Wat heb je precies aan kennis over gemaakte trips als je het virus wilt indammen?
„Elke regering in Europa heeft beperkingsmaatregelen ingesteld. Zoals dat je moet thuisblijven. Als je de minister-president van een land bent en je stelt die regels in, heb je geen data waaruit blijkt of de inwoners de regels respecteren of niet. Moeten we de regels aanscherpen, of lichter maken? Hoe maak je dan die beslissing? Met de data die we gebruiken, maakten we nationale mobiliteitsindices. Daarmee toonden we aan dat Belgen voor de crisis ongeveer drie trips per dag buiten hun postcodegebied maakten. Dat gemiddelde is gedaald naar één trip per dag. Sommige dagen was het min 50 procent, sommige dagen min 70 procent. Daardoor kon de regering vaststellen dat ze niet over hoefden te gaan op een strenger model zoals Frankrijk bijvoorbeeld. Deze werkwijze staat ook in de aanbevelingen van de Europese Commissie aan de lidstaten: analyseer data om feedback te krijgen op de werking van beperkende maatregelen. Dan kan je ze gericht aanpassen. Dat is heel belangrijk. En dat wordt nog veel belangrijker in de exitstrategie waarbij de beperkende maatregelen langzaam maar zeker opgeheven zullen worden. Als de scholen opengaan, wil je weten hoe dit de epidemie beïnvloedt.”
Hoe kun je de mobiliteitsdata relateren aan de verspreiding van het virus?
„Als je de mobiliteitspatronen combineert met data van geïnfecteerde mensen, zoals waar de bevestigde gevallen van Covid-19 zich bevinden, kan je modellen maken die de verspreiding voorspellen. Dit heet ‘ruimtelijke epidemiologie’. Je kunt voorspellen waarnaar een virusuitbraak in een bepaald deel van een stad zich zal verspreiden op basis van de mobiliteit op die plek. We delen alle data bijna real-time. In België gebruikten epidemiologen nog mobiliteitspatronen van 2001. Hoe kan dat werken?”
Van 20 jaar geleden?
„Ja. Terwijl ze de meest recente data nodig hebben om verspreidingskaarten te maken.”
Kan je mensen ook waarschuwen dat ze een geïnfecteerd gebied naderen?
„Ja. In België had je twee infectieclusters met een relatief hoog aantal geïnfecteerden: Hasselt en Bouillon. We kunnen mensen van wie de telefoon in dat gebied gesignaleerd is waarschuwen met een ‘alert’: wees extra voorzichtig met social distancing en hygiëne, er is een virusuitbraak in dit gebied. Vermijd dit gebied als het kan.”
Je wilt een app die gebruikt wordt door de inwoners van alle Europese lidstaten. Als je infectieziekten wilt bestrijden, moet je contacten opsporen.
Gebruiken jullie deze methode in België al?
„Ja, de taskforce is gestart op 13 maart. We hebben onze eerste resultaten voor wat betreft mobiliteitsdata en hoogrisicogebieden tien dagen later gepresenteerd. De sms-service om mensen via hun mobiel waarschuwingen te versturen is gereed, maar nog niet in gebruik.”
Deze werkwijze lijkt precies op wat de Europese Commissie voorstelt voor de hele EU.
„Klopt. Er zijn twee pijlers. De ene is het gebruik van geaggregeerde anonieme telecomdata. Hoe wij dat in België gedaan hebben was zeer bruikbaar voor de Europese Commissie. De tweede pijler is het gebruik van mobiele apps. Als mensen ziek zijn wil je hun data verzamelen. Je wilt de evolutie van hun symptomen in verloop van de tijd weten. Je wilt prioriteren wie er getest worden en wie niet. Je wilt een app die gebruikt wordt door de inwoners van alle lidstaten. Als je infectieziekten wilt bestrijden, moet je contacten opsporen. Tot nu toe deden artsen dat handmatig. Die zullen je vragen: met wie heb je contact? Wie wonen er in je huis? Met wie werk je samen op kantoor? Geef me hun telefoonnummers en e-mailadressen want ze moeten getest worden. Die manier werkt nu niet. Europa heeft Bluetooth-technologie om contacten op te sporen als je besmet blijkt die je soms niet eens kent, zoals iemand naast wie je in de trein zat.”
Maar kan dat anoniem?
„Ja. Met data op je telefoon. Door de app krijg je een alarmberichtje waarin staat: ‘je bent een tijdje dichtbij iemand geweest die besmet is. Misschien wil je je laten testen’.”
Door de app krijg je een alarmberichtje waarin staat: ‘je bent een tijdje dichtbij iemand geweest die besmet is. Misschien wil je je laten testen
Maar hoe kan die informatie anoniem verstuurd worden?
„Jouw telefoon detecteert voortdurend WiFi hotspots. Jouw telefoon verzamelt de naam van die hotspots. Als de hotspot thuis bijvoorbeeld jouw naam draagt, is dat niet superanoniem. Maar als het een nummer is, noem je dat een pseudoniem. Hetzelfde geldt voor Bluetooth. De app detecteert ‘Lucette Bluetooth’ was op 20 meter afstand van een besmet persoon. De app detecteert alleen Lucette Bluetooth. De app maakt van jouw naam een anonieme identificatie, bijvoorbeeld S123. Die anonieme identificatie op je telefoon blijft op je telefoon tot het moment dat je verklaart dat je ziek bent. Dan alarmeert de app het centrale platform waarop alle identificatiecodes staan. Dat stuurt dan een berichtje via die identificatiecodes een bericht naar de telefoons van de personen die bij je in de buurt geweest zijn.”
Maar wie is de eigenaar van de data op het centrale platform?
„Op dat platform staan alleen anonieme identificatiecodes. De beheerders weten niet wie daar achter zitten of van wie de telefoon is. Die informatie staat alleen op de mobiele telefoon. De app is alleen in gebruik om routes in kaart te brengen. Die geeft geen andere informatie. Daarom is deze superveilig. De regering heeft geen lijst van namen. Ze kunnen je niet dwingen je te laten testen. Ze kunnen je niet dwingen je telefoon op te nemen. Ze kunnen je alleen een sms-alert sturen.”
Lees ook: ‘Waarom we in Europa de handen ineen hadden moeten slaan’