De kritiek
Op Goede Vrijdag aankondigen dat er 'een app' moet komen en daar liefst dezelfde maand al een eerste prototype van willen hebben, dat is een ambitieus doel. Er waren dan ook al snel softwareontwikkelaars die zich achter de schermen afvroegen of dat wel mogelijk is, zeker gezien de eerdere ervaringen rond ict-projecten van de overheid. Toch leek het aanbestedingsproces redelijk solide in elkaar te zitten. Alles zou zo veel mogelijk openbaar gebeuren, de 'appathon' zou een livestream krijgen en de apps zouden open source worden - al blijkt dat laatste begrip door sommige mensen anders te worden ingevuld dan door anderen.
De eerste kritiek kwam van experts die al bij de eerste ronde betrokken waren. Dat was de ronde waar volgens minister De Jonge meer dan 750 voorstellen in waren binnengekomen. Negen experts uit de beoordelende groep schreven een open brief op de site veiligtegencorona.nl. Eerder hadden ze samen met een groep burgerrechtenorganisaties een manifest opgesteld met daarin een eisenlijst. Nu schrijven deze experts zich 'niet achter de conclusies van het ministerie' te kunnen scharen.
/i/2003553396.png?f=imagenormal)
Beoordelingen
Al tijdens de eerste beoordelingsronde bleken experts kritisch
Uiteindelijk bleven er 63 apps over ter beoordeling. Die beoordeling gebeurde door teams van experts op allerlei verschillende vlakken. Naast ict'ers gaat het daarbij bijvoorbeeld om juristen en virologen. Er waren negen teams met in totaal 67 experts die verschillende apps beoordeelden. Het is niet duidelijk welke apps door welke teams zijn beoordeeld. Die informatie is 'vertrouwelijk', zegt het ministerie. Wel is duidelijk dat de experts niet tevreden waren met de voorstellen. De kritiek kwam daarbij niet van experts uit één specifieke groep. Sommige voorstellen werden door meerdere groepen beoordeeld. Zo was er één voorstel dat door drie verschillende teams negatief werd beoordeeld. Met name de app van Sia Partners bleek dubieus, zeiden bronnen later tegen de Volkskrant. Sia Partners wil, zoals we eerder schreven, een app maken die is gebaseerd op de Singaporese Trace Together-applicatie. Maar, zo concludeerden de experts, die app voldoet helemaal niet aan één van de basiseisen van de AVG, namelijk privacy by design. En buiten dat: was privacy niet één van de dingen waar minister De Jonge vooraf over zei dat het één van de belangrijkste pijlers van de 'appathon' zou worden? Het was reden te meer voor experts om zich al vóór het evenement af te vragen wat er precies was gebeurd. "We hebben geen flauw idee hoe deze lijst tot stand is gekomen", zei één van de experts in de Volkskrant.
Van al die beoordeelde applicaties bleven er uiteindelijk zeven over. Dat zijn de apps die we op de vorige pagina behandelden. Ook die zeven werden weer beoordeeld, maar nu verliep dat proces meer zichtbaar voor het publiek. Daarvoor werd de 'appathon' in het leven geroepen. Vooral in de communicatie verliep het niet helemaal vlekkeloos. Zo bleek de livestream losse interviews met de makers en af en toe een vragensessie te tonen, maar niet een volledig beeld van de dag. Ook De Jonges eis dat de code van de apps 'na de appathon' online zou verschijnen, bleek niet helemaal niet worden opgevolgd. Dat kwam mede doordat sommige app-makers geen eigen code hebben om te gebruiken. Andere partijen, zoals Accenture, zeggen dat hun code 'volgende week' open source wordt. Ook bleek al tijdens de appathon dat de app Covid-19 Alert veiligheidsissues heeft. RTL nieuws ontdekte dat een database met gegevens in de broncode van de app is te vinden.
Onbeantwoorde vragen
Tijdens de presentatie bleven nog veel vragen open, zowel over de techniek als over de werking in de praktijk. De hele appathon werd wat lastiger gemaakt door een aankondiging van Google en Apple, vlak ervoor. De bedrijven willen samenwerken aan een api die de data uit verschillende contactonderzoeks-apps aan elkaar moet koppelen en die het makkelijk maakt om zulke processen op te zetten. Het is niet zomaar één van de vele private initiatieven buiten de Nederlandse appathon om, maar lost een fundamenteel probleem op waar de Nederlandse app-makers niets over wilden zeggen: het iOS-issue. Apples besturingssysteem maakt het onmogelijk om bluetooth in te zetten om actief signalen te versturen, tenzij het scherm van de gebruiker permanent actief is. Hoewel de app-bouwers tijdens de appathon bijna allemaal uitwijdden over de mogelijkheden van bluetooth gaf niemand een oplossing voor dit specifieke probleem. Ook na de technische briefing in de Tweede Kamer van dinsdag is niet duidelijk hoe Nederland de rol van de twee techgiganten in het debat ziet.
Een ander technisch obstakel betreft de beperkingen van bluetooth in het exact meten van afstand. Want hoe kunnen de apps weten hoe veel ruimte er tussen de gebruiker en iemand anders is geweest? Ook op die vraag is nog geen antwoord gegeven. Topambtenaar van het ministerie Ron Roozendaal verwijst naar een Kamerbrief waar minister De Jonge dinsdagavond mee komt.
Praktisch nut
Buiten de technische oplossingen zijn er ook zorgen over de praktische effectiviteit van dergelijke apps. Die zorgen leunen tegen het 'technosolutionisme' waar de vele experts voor waarschuwen: er zou te veel worden gedacht dat technologie de situatie kan oplossen, zonder af te vragen hoe dat dan precies moet gebeuren. In vroege discussies werd vaak een getal aangehaald van 60 procent. Dat zou het minimale percentage app-gebruikers moeten zijn om deze vorm van contactonderzoek nuttig te maken. Maar dat getal wordt steeds vaker in twijfel getrokken. Er is namelijk maar één onderzoek, gepubliceerd in Science, waarin voorzichtig de schatting wordt gemaakt dat dit het magische percentage zou zijn. Het blijft echter bij een schatting. Inmiddels zijn er steeds meer wetenschappers, zoals Frank Dignum van de Universiteit Utrecht, die vraagtekens zetten bij het cijfer. Dignum voerde een simulatie uit van hoe contact-tracing-apps zouden werken en kwam daarbij tot een zorgwekkende conclusie. "Er wordt gesproken over een magische grens van 60 procent vrijwillig gebruik van de apps, waarboven het systeem effectief zou zijn. Een zekere mate van effectiviteit wordt echter alleen bereikt als deze 60 procent willekeurig over de bevolking is verspreid. In de praktijk zijn het eerder de mensen die voorzichtig zijn (en dus toch al minder kans hebben besmet te raken met het virus) die de app zullen gebruiken. Als we dit meenemen, zien we dat bij het gebruik van de app door 60 procent van de mensen het effect ongeveer nihil is."
Zowel op technisch als praktisch vlak bleven nog veel vragen open staan
Ook andere wetenschappers houden een slag om de arm. Als daadwerkelijk 60 procent van de Nederlandse bevolking de app zou installeren, zou naar verwachting hooguit een derde van de besmettingen in Nederland worden opgemerkt, zegt Peter Boncz van het Centrum voor Wiskunde & Informatica tegen de NOS.
Conclusies na de appathon
Ook het Ministerie van VWS
De appathon bleek dus niet het grote succes dat duidelijke antwoorden opleverde. Niet alleen de beoordelende experts stellen dat. De conclusie wordt ook getrokken door KPMG, dat een rapport schreef over de technische veiligheid en betrouwbaarheid van de apps die tijdens de appathon werden behandeld. Het rapport spreekt over 'ernstige kwetsbaarheden' die makkelijk te voorkomen waren, en de programmeurs hebben te weinig aan 'secure coding' gedaan. Eén van de conclusies is dat in minstens één app wachtwoorden hardcoded in de broncode waren te vinden, waarmee iemand toegang kon krijgen tot de database achter de app. Het rapport beschrijft geen specifieke apps, dus het is niet duidelijk of het gaat om het lek bij Covid-19 Alert waar RTL al over schreef.
lijkt zich inmiddels te realiseren
dat er nog veel werk aan de winkel is
Ook de Autoriteit Persoonsgegevens (AP) is niet mals over de apps. De privacywaakhond zou toezicht houden op de privacyvriendelijkheid van de apps. Meer specifiek beoordeelt de AP of ze de wet wel volgen. De conclusie van deze instantie is dat de eisen van de overheid zo vaag waren opgesteld dat het niet mogelijk is de apps goed te beoordelen. Later voegde de landsadvocaat zich bij die kritiek.
Ministerieel inzicht
Ook het Ministerie van VWS leek dinsdagmiddag tijdens een technische briefing over de apps te concluderen dat er nog een lange weg is te gaan voor ze klaar zijn. VWS lijkt ook wat terug te komen op de nogal ambitieuze wens dat er nog deze maand al een app moet liggen. "We hebben gekozen voor een korte marktconsultatie omdat het Outbreak Management Team vroeg om een snel onderzoek", zei VWS tijdens de briefing. Het was 'niet duidelijk wat precies mogelijk was, en onder welke voorwaarden'.
Het ministerie trekt inmiddels enkele conclusies. "Geen van de getoonde apps was ver genoeg om te voldoen aan de gestelde eisen", schrijft VWS. Daarmee onderschrijft het ministerie de conclusies van de landsadvocaat en de Autoriteit Persoonsgegevens. Het ministerie stelt daarom een stappenplan op voor de toekomst. Daarbij moeten eerst de 'epidemiologische eisen van digitale ondersteuning' beter worden geformuleerd. Vervolgens wil het ministerie 'de juiste mensen samenbrengen', 'zorg dragen voor waarborgen over beveiliging en privacy', en verder uitzoeken wat er 'gedragskundig nodig is voor zinvolle toepassing'.
Woensdag voert de Tweede Kamer een debat over de toekomst van de apps. Daarbij praat het parlement onder andere over de resultaten van de appathon, op basis van de technische briefing op dinsdag. Misschien is het debat wel overbodig. Op dinsdagavond praat premier Rutte het land bij over de vervolgmaatregelen van de intelligente lockdown. Daarbij benoemt hij waarschijnlijk ook de rol van de apps.
:strip_exif()/i/2003519066.jpeg?f=fpa)
:strip_exif()/i/2003500126.jpeg?f=fpa)
:strip_exif()/i/1185877328.gif?f=fpa)
:strip_exif()/i/1201638628.gif?f=fpa)
:strip_exif()/i/2003549038.jpeg?f=fpa)
/i/2001714923.png?f=fpa)
/u/331213/crop56ef13408ff38_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/140697/crop6180fb9103afa_cropped.jpg?f=community){kind=small}
/u/99291/logo-square.png?f=community){kind=logo}
/u/125044/naamloos.JPG?f=community){kind=small}
/u/200133/artemis_square_e_60-60.png?f=community){kind=small}
:strip_icc():strip_exif()/u/205443/EEK.jpg?f=community){kind=small}
/u/272509/60x60-Project.png?f=community){kind=small}
/u/337525/crop577d404977f22.png?f=community){kind=small}
/u/102334/avatar_mini.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/214632/crop6371f178b5904_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/94053/Bull.jpg?f=community){kind=small}
:strip_exif()/u/48976/orangeflower.gif?f=community){kind=small}