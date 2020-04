Als eind december 'coronacrisis' niet het Woord Van Het Jaar wordt, gaat die eer misschien wel naar 'corona-app'. De afgelopen anderhalve week bleek dat namelijk hét onderwerp waar iedere Nederlander met én zonder technische achtergrond zich een mening over vormde. Apps zouden het virus indammen. Sterker, apps zouden ons beschermen! In moordend tempo moesten twee applicaties uit de grond worden gestampt. Dat riep veel vragen op die afgelopen weekend zouden worden beantwoord. Dankzij een heuse 'appathon' zouden we weten hoe de apps werken en hoe onze privacy daarbij is beschermd. Maar na een programmeersessie van 48 uur roept het plan inmiddels meer vragen op dan het beantwoordt, zo bleek uit een briefing die de Tweede Kamer dinsdagmiddag volgde.

Even terug, voor wie het nieuws heeft gemist. Dat laatste is best mogelijk, want het hele proces begon in een periode waarin de meeste Nederlanders vrij waren en in een van de warmste aprilzonnetjes ooit zaten. Op Goede Vrijdag kondigde minister Hugo de Jonge van Volksgezondheid aan dat Nederland een app zou krijgen om het coronavirus in te dammen. Eigenlijk ging het om twee apps: een met tips en informatie over het virus en waarmee contact kan worden opgenomen met een arts, en daarnaast een 'contact-tracing-app'. Over die laatste is het meeste te doen. Dergelijke apps zijn bedoeld om het contactonderzoek van de GGD makkelijker te maken. Ze sturen waarschuwingen naar andere telefoons in de buurt als een gebruiker coronasymptomen heeft. Krijg je een melding? Blijf dan twee weken thuis, is het advies. Zo'n app roept natuurlijk vragen op. Buiten de logische vraag of dit proces überhaupt wel werkt, is er het privacy-aspect. Wie bepaalt welke gegevens waar worden verzameld? Voor de presentatie kwam de minister niet veel verder dan dat 'ze waarschijnlijk werken met bluetooth'. Daarbij verwees hij naar verschillende concepten die in andere landen worden uitgeprobeerd, zoals Pepp-PT en D3RT.

App-ontwikkelaars kregen op Goede vrijdag te horen dat zij het Paasweekend hadden om een concept in te dienen. Op de dinsdag erop werd de aanbesteding gesloten. Vervolgens mochten experts uit allerlei verschillende velden, zoals virologie, privacy en ict, de ingestuurde concepten beoordelen. 63 apps kwamen door de eerste selectieronde, en daar werden er vervolgens zeven uit geselecteerd. De makers van de apps die deze laatste ronde haalden, mochten in het weekend nadere uitleg geven. Daarbij bleek het proces de eerste scheuren te tonen.

Welke apps

Zeven wereldwonderen, zeven kardinale deugden: zeven lijkt een heilig cijfer, dus waarom zou het dat niet ook in coronatijd zijn? Van de in totaal 'meer dan 750' aanmeldingen bleven er uiteindelijk dus zeven over. De ontwikkelaars ervan mochten tijdens de 'appathon' hun ideeën verder uitwerken en met epidemiologen en privacyexperts in discussie gaan over de voors en tegens. Toen ze op vrijdagavond werden gepresenteerd was er over de meeste applicaties nog maar weinig bekend. Sommige van de apps gingen zelfs vergezeld van een nog lege website. Tijdens de appathon kwam er meer duidelijkheid, onder andere over de blockchain die één van de apps gebruikte.

Ontwikkelaar Website Covid19 covid19-alert.eu DDT Consortium dtact.com Accenture B.V. accenture.com Capgemini Nederland capgemini.com ITO ito-app.org DEUS BV deus.ai Sia Partners sia-partners.com

Inmiddels weten we dus meer over de apps. Bijvoorbeeld hoe ze werken en welke broncode ze gebruiken, en ook dat er nu al fouten in zitten. Tijdens de appathon, maar ook al daarvoor, kwam een verontrustend beeld naar voren. Al kort na de aankondiging van de voorselectie roerden verschillende experts zich. Ze 'konden zich niet verbinden aan de uitkomsten' van het ministerie en zeiden dat ze de apps in een eerder proces al negatief hadden beoordeeld. Ook tijdens de appathon zelf bleek er heel wat mis te zijn met de applicaties. Of ze 'voldoen aan de privacywet' is iets waar de Autoriteit Persoonsgegevens in een later stadium nog een officieel standpunt over inneemt, maar een snelle blik leert dat principes uit de AVG, zoals dataminimalisatie, niet worden gevolgd. Ook zijn niet alle broncodes al openbaar, in tegenstelling tot wat het ministerie eerder beloofde. Wat gebeurde er tijdens dit publieke aanbestedingsproces?