Ministry of Privacy evalueert de Corona-app op gebied van privacy

Na lang wachten is de Belgische Corona-app klaar voor lancering. Een van de heikele punten bij de ontwikkeling was de waarborgen die de app zou bieden voor onze privacy. Zou de app geen te grote inbreuk zijn? Neen dus. Twee zaken deden al vermoeden dat het met de app de goeie kant zou opgaan. De app is gebaseerd op de Duitse ‘Corona Warn’-app die eerder werd gelanceerd en door experts als positief werd beoordeeld. Bovendien was Bart Preneel, expert op het gebied van cryptografie, nauw betrokken bij de ontwikkeling. Preneel was ook een van de grote pleitbezorgers voor het DP3T-protocol dat ervoor zorgt dat de app de locatie van mensen niet volgt en geen persoonlijke gegevens opslaat op een centrale server. Dat was al goed nieuws en dat lijkt nu ook te worden bevestigd door de app zelf.

Het Ministry of Privacy liet er haar licht over schijnen en kwam ook al tot een positieve conclusie.

De applicatie is gebouwd volgens de regels van de kunst. Ze is gekaderd door een expliciet wettelijk kader met veel garanties. De broncode is publiek consulteerbaar. De app is vrijwillig, en mag nooit (impliciet) verplicht worden. Juridische en technische experten hebben toezicht gehouden op de ontwikkeling van de applicatie. Het is een fork van de Duitse Corona-applicatie, die al eerder lof kreeg uit de privacywereld. Het risico situeert zich dus minder rond de applicatie, maar wel rond de data-uitwisseling met Apple en Google.

Dat laatste blijft wel een discussiepunt.

(…) – en dit is wel privacygevoelig -, hebben we géén zekerheid wat Google en Apple uitspookt met onze medische data. Door de koppeling (API-call), wordt er immers data uitgewisseld met deze twee techbedrijven. En hoewel Apple zich de laatste jaren uitdrukkelijk situeert als de techhoeder van onze privacy, is dat voor Google veel minder het geval. Je belt ook geen pyromaan om je huis te blussen als het in brand staat. Al moeten we erbij zeggen dat Google een deel (!) van zijn GAEN API-code publiek heeft gesteld. Een onafhankelijke audit zou heel wat zorgen wegnemen, maar dat laten de twee techgiganten voorlopig niet toe. Ook bij Google is er een probleem: zonder locatiebepaling aan te zetten, is het niet mogelijk om de app te activeren. Technici wezen er echter al eerder op dat dit vooral een theoretisch risico is. Vanaf Android 11 zou het mogelijk worden om de app te gebruiken zonder GPS.

Maar los van die terechte bezorgdheid is de conclusie van het Ministry of Privacy dat dit in de huidige context de meest privacyvriendelijke versie van een Corona tracing-app is.

We gaan je hier niet overtuigen om de applicatie te installeren, noch om hem af te wijzen. De applicatie zelf is prima gebouwd, en – op moment van schrijven – privacyvriendelijk. Hou er rekening mee dat software kan evolueren, en aanpassingen mogelijk zorgen voor een verlaagd niveau van privacy. Apple en Google geven – ondanks gedetailleerde documentatie – onvoldoende garanties dat onze medische data niet voor andere doeleinden zal gebruikt worden. Anderzijds, doen ze dat wel, dan mogen ze zich verwachten aan gigantische reputatieschade. Daarnaast weet Google (maar ook Apple) al erg veel over onze medische toestand (via slimme polshorloges, gezondheidsapplicaties, etc). De vraag rijst dan ook of deze twee bedrijven de COVID-19 wél echt nodig hebben. Het antwoord is wellicht negatief. We geloven dat de applicatie kan helpen in het bestrijden van de pandemie. We hebben heel hard (en lang, sinds maart 2020) gevochten voor de meest privacyvriendelijke versie, en die staat er ook. Het zou dan ook bijzonder hypocriet zijn om deze applicatie af te raden aan het grote publiek. Zoals gezegd, is het vrijwillig karakter ervan echter essentieel. U beslist dus vooral zelf of u de app op uw smartphone wil verwelkomen, of net niet.

Kan ik de Corona-app installeren, of niet? Zijn er risico’s?