Cybernieuwtjes #23 - Over overheids-apps

Hoe komen we uit de coronacrisis? Begin april noemde minister Hugo de Jonge van Volksgezondheid een contactonderzoek-app nog als een veelbelovend onderdeel van de exit-strategie. De app zou het aloude contactonderzoek van de GGD moeten ‘vervangen’, zei De Jonge toen.

De verwachtingen zijn inmiddels wat getemperd, ook na slechte publiciteit over de zeven corona-apps die werden gepresenteerd. Maar de ontwikkeling is allerminst gestopt en ziet er inmiddels zelfs vrij veelbelovend uit. Dus: hoe zijn we hier gekomen, hoe nuttig is zo'n corona-app en hoe gaat het verder? 👇

Contactonderzoek is niet nieuw, en is een eenvoudig idee: als iemand een besmettelijke ziekte heeft opgelopen, kijk je bij wie hij of zij in de buurt is geweest, om te zien wie er nog meer gevaar loopt.

Dat gebeurt tot nu toe op een old school-manier: iemand ondervroeg je over je contacten en sloeg vervolgens aan het bellen. Ook bij de start van de corona-uitbraak ging het op die manier. Maar doordat het aantal gevallen exponentieel toenam, is het contactonderzoek relatief snel losgelaten: de GGD’s konden het niet aan.

In de afgelopen maanden was contactonderzoek volgens deskundigen niet nuttig. Het advies was namelijk: blijf zoveel mogelijk thuis, of je nou wel of niet in contact bent geweest met iemand die het virus heeft.

Maar nu de maatregelen worden versoepeld, zou contactonderzoek kunnen helpen om nieuwe uitbraken zo snel mogelijk op te sporen en in te dammen. Blijkt achteraf dat je bij een coronapatiënt in de buurt was, dan kun je het advies krijgen om thuis te blijven.

Helemaal in de plaats van het ‘ouderwetse’ contactonderzoek zal de app niet komen, anders dan in eerste instantie werd gesuggereerd. Sowieso zijn er te veel mensen - waaronder ouderen, een risicogroep - die geen smartphone gebruiken, zo'n 10 procent van de Nederlanders (bron: Telecompaper). Die zou je zonder een app missen.

De GGD’s zijn momenteel bezig met het opschalen van het contactonderzoek. Een app zou wel kunnen helpen om de druk op de gezondheidsautoriteiten te verlichten, is nog steeds het idee. Maar hoe kom je binnen niet al te lange tijd tot een goed werkende app?

Als je aan een succesvol ict-project denkt dat op tijd af is, dan denk je niet direct aan de overheid. Er is een lange, lange lijst van ict-projecten binnen de overheid die langer duurden dan verwacht, meer kostten en niet deden wat ze beloofden.

We zitten in een pandemie, dus een Noord-Zuidlijntje pullen is niet de bedoeling. De app moet er snel zijn, veilig en privacy-proof zijn en vooral goed werken. (Dat-ie niet te veel kost, lijken mensen in dit geval minder belangrijk te vinden.)

Als het om snelheid gaat, had het Ministerie van Volksgezondheid grote ambities. In het paasweekend - vlak na de aankondiging van de app - konden bedrijven en organisaties ideeën insturen voor een contactonderzoek-app, net als voor een app waarmee je contact kunt onderhouden met je zorgverlener.

Nog een halve week later zouden er zeven corona-apps worden gepresenteerd, en een of twee weken later zou hij af moeten zijn. Kortom: maximaal drieënhalve week tussen aankondiging en werkende app. Ongekend snel voor een overheidsproject, maar ook een zorgwekkend korte tijd om een goed werkende app op te kunnen zetten.

Op 11 april werden zeven overgebleven apps aan de wereld getoond in een ‘appathon’, waarbij het publiek kon meekijken en vragen kon stellen.

De kritiek was unaniem. De zeven bedrijven en initiatieven die hadden beloofd een werkende app te tonen, werden aan alle kanten weggehoond: de apps waren slecht ontwikkeld en hadden beveiligingsproblemen.

Die kritiek kwam van beveiligingsonderzoekers, programmeurs en betrokkenen bij de appathon, maar ook door de overheid ingehuurde onderzoekers van KPMG en de landsadvocaat maakten de apps met de grond gelijk.

Niet alleen de apps kregen kritiek: ook de overheid. Het was niet voldoende duidelijk wat de app moest doen, waardoor de Autoriteit Persoonsgegevens de apps niet inhoudelijk kon beoordelen.

Zelfs de veiligheidsdiensten mengden zich op de achtergrond in de discussie: de haast die het ministerie had, was een gevaar. In een paar weken een veilige app bouwen is niet realistisch. “Dat snapt iedereen die iets met computerbeveiliging doet”, zei een bron van de NOS. Ondanks dat alles ging de gehaaste ontwikkeling van de app door.

Intussen is nog niet duidelijk of zo'n overheidsapp wel zou werken. Niet zo gek, want een contactonderzoeksapp is tot dusver nog niet succesvol ingezet.

Onfortuinlijk voor het ministerie kwam er tussendoor ook slecht nieuws naar buiten over een hele andere app: die van NL-Alert. Verwijder de app, moest het ministerie aankondigingen, want er gingen zonder toestemming van gebruikers privédata naar het externe bedrijf dat de pushnotificaties verzorgde.

Het gaat om een app die een aanvulling vormt op het reguliere NL-Alert, de berichten die je via cell broadcast krijgt toegestuurd.

Maar er bleek meer aan de hand dan het ministerie in eerste instantie vrijgaf: eind april werd een ander probleem in de app gedicht.

De app verwerkt locatiegegevens om NL-Alerts bij jou in de buurt naar je smartphone te sturen. Maar die locatie werd niet goed afgeschermd verwerkt, waardoor je andere gebruikers kon volgen. Als je beschikte over een uniek nummer kon je realtime opvragen waar iemand uithangt; zou je dat automatiseren, dan zou je een logboek van iemands bewegingen kunnen samenstellen.

Deze app staat natuurlijk los van de corona-app: er was zelfs een ander ministerie verantwoordelijk voor. Waar het Ministerie van Volksgezondheid over de corona-app gaat, valt de NL-Alert-app onder het Ministerie van Justitie en Veiligheid.

Maar voor de beeldvorming is het niet best. Ook bij de overheid zal het inmiddels pijnlijk duidelijk zijn dat een app laten ontwikkelen niet zomaar gepiept is.

Want er zijn wel overeenkomsten tussen beide apps: in beide gevallen lijkt er te weinig aandacht te zijn geweest voor de onzichtbare achterkant, de servers die je nodig hebt om een app goed te laten werken.

In het geval van de NL-Alert-app waren die servers niet goed beveiligd, waardoor de locatie van gebruikers op te vragen was. En bij de corona-appathon ging het vooral om hoe de app eruit zag en hoe hij werkte, maar nauwelijks over hoe je ervoor zorgt dat vele miljoenen Nederlanders massaal een app kunnen gebruiken. En dat zonder dat er servers plat gaan of er iemand inbreekt op een server en data kan manipuleren.

Dat zag het ministerie van Volksgezondheid blijkbaar ook in, want de zeven overgebleven apps zijn aan de kant geschoven en de ontwikkeling begint opnieuw.

Externe deskundigen werken daarbij zij-aan-zij met ambtenaren aan een nieuwe app. Daarbij gaat het onder meer om experts afkomstig uit de Code for NL-community van ontwikkelaars die de overheid bijstaat en die ook tijdens de appathon veel feedback gaf op de gepresenteerde apps (en blij was met de transparantie). Ditmaal is er ook aandacht voor de achterkant van de app.

Maar ook Jelle Prins en Jasper Hauser werken mee aan de app. Eerder schreven ze een opiniestuk over hoe zo'n corona-app er uit zou moeten zien.

Ook zal de app opensource zijn, waardoor iedereen kritisch naar de code kan kijken, en is de bedoeling dat het publiek mee kan kijken. Eind mei komt er een proof of concept. Uniek voor een overheidsproject. De angst was dat het ministerie na de - zeker in de publieke perceptie - gefaalde appathon de deuren op slot zou gooien, maar dat valt dus mee.

Niet onbelangrijk: hoe zou zo'n app gaan werken? Dat kan op allerlei manieren. Je kunt apps locatiedata laten aanleveren en al die data op een hoop gooien, om vervolgens te kijken wie bij wie in de buurt was. Dat is een grote privacy-inbreuk en binnen gebouwen niet erg nauwkeurig.

Vandaar dat de Nederlandse voorkeur vrij snel uitging naar contactonderzoek via bluetooth. Daarbij brengen smartphones in kaart bij welke andere gebruikers van de app ze in de buurt zijn geweest. (In dit draadje leg ik het in wat meer detail uit).

Ook dat kan op verschillende manieren, waarbij veel afhangt van de manier waarop je kijkt wie bij een besmet persoon in de buurt was. Je kunt dat decentraal doen: de app rekent dan lokaal uit of hij bij een besmet persoon in de buurt was. Daarbij is de bedoeling dat je niet weet wie dat was.

Maar je kunt dat ook centraal doen, met een grotere privacy-inbreuk, door op een server bij te houden welke ontmoetingen hebben plaatsgevonden en in welke gevallen het gaat om een mogelijke besmetting.

Daar hangt veel van af: kan de overheid achteraf in kaart brengen wie bij wie in de buurt was, bijvoorbeeld om te zien wie een opgelegde quarantaine heeft genegeerd? Of wie in de buurt van de plek van een misdrijf was? Het Veilig tegen Corona-initiatief van deskundigen en burgerrechtenorganisaties maakte zich daar zorgen over.

Met een goed uitgevoerde decentrale app lijkt dat in de praktijk onmogelijk, maar het was tot voor kort geen zekerheid waar Nederland precies voor zou kiezen.

Privacyvoorvechters kunnen daarbij rustiger ademhalen dankzij bijval van big tech, die zich in de discussie mengde. Google en Apple, leveranciers van de twee grootste smartphone-besturingssystemen, komen namelijk met een speciale decentrale api voor contactonderzoek.

Die api is niet verplicht, overheden kunnen hun app ook op een andere manier ontwerpen. Maar contactonderzoek werkt een stuk beter met deze speciale api. Zeker op iOS: dat besturingssysteem laat ontwikkelaars deze functionaliteit normaliter niet in de achtergrond gebruiken, waardoor je de app open zou moeten laten staan. De speciale api werkt ook op de achtergrond.

De api van Google en Apple werkt op een decentrale manier. De Nederlandse app gaat die api gebruiken, en lijkt dus ook de kant van decentrale verwerking op te gaan.

De aankondiging van deze api zorgde ook voor ongemak: ‘waarom moet 'big tech’ zich ook hiermee bemoeien’? Maar uiteindelijk ben je als smartphone-ontwikkelaar een slaaf van de api’s die er zijn, dus als er dan een speciale api voor jouw doel komt, kun je die maar beter gebruiken. Daarbij is de api alleen toegankelijk voor gezondheidsautoriteiten.

De komende maanden zal nog veel moeten blijken. Hoe vatbaar zijn gebruikers van dit soort apps voor aanvallen waarbij door bluetooth-signalen op te vangen toch besmettingen aan personen worden gekoppeld? En hoe veilig zijn de apps die de api gebruiken in de praktijk?

Intussen kwam het ministerie nog met een andere aankondiging: minister De Jonge wil locatiedata van telecomproviders opvragen. Daarbij kunnen bewegingen van mensen en daarmee mogelijk de verspreiding van het virus in kaart worden gebracht.

Nu mag dat niet, zegt de Autoriteit Persoonsgegevens. Daarom zal de telecomwet worden gewijzigd om dit toch mogelijk te maken. Toch opvallend, in het licht van de vrijwilligheid die bij de corona-app juist wordt beloofd.

De bedoeling is daarbij dat het om ‘anonieme locatiedata’ gaat, waarbij moet worden aangetekend dat het anonimiseren van locaties moeilijk is.

Opvallend is dat telecomprovider T-Mobile vroeg om de garantie dat de data echt alleen worden gebruikt voor onderzoek, en niet voor handhaving, bijvoorbeeld voor overtreders van opgelegde quarantaine. Die garantie kwam er niet.

Als techjournalist denk ik veel na over mijn opsec: mijn eigen, operationele veiligheid. Ik communiceer veel met bronnen, en in veel gevallen zijn dat mensen die anoniem willen blijven.

Maar ook moet je er als journalist rekening mee houden dat er mensen zijn die voor de lol willen inbreken op je Twitter-account, nog los van alle phishing-aanvallen waar je als reguliere internetgebruiker mee moet dealen.

Een achilleshiel is daarbij e-mail. Heb je toegang tot een e-mailaccount, dan kun je bij het gros van de diensten een wachtwoord resetten (al zijn er ook diensten die daarbij de tweede factor niet uitschakelen).

Zelf stapte ik daarom onlangs over van de maildienst Fastmail naar Google. Onder meer vanwege het Advanced Protection Program, waarbij je account extra wordt beveiligd. Zo is inloggen alleen met een security key mogelijk en kun je geen app-specifieke wachtwoorden aanmaken.

Genoeg mensen die hiervan zullen gruwen, en liever zelf een mailserver draaien - maar dat brengt weer andere beveiligingsrisico’s met zich mee.

Die afweging kun je ook op andere vlakken maken. Ik ben daarom erg benieuwd naar jullie opsec-afwegingen. Gebruik je een wachtwoordmanager met cloudopslag, of kies je voor Keepass met decentrale synchronisatie? Zet je al je foto’s in je eigen Nextcloud-instance, of lever je ze over aan een Amerikaanse datamachine? Ik hoor het graag, via een antwoord op deze mail, of via een van de veiliger contactmethoden op https://schellevis.net/contact/.

Ik ben ook erg benieuwd wat jullie van deze nieuwsbrief vinden en of het de moeite is om hem vaker te sturen - reageer vooral!