Hoe anoniem is CoronaMelder? 'Overheid weet niets, boefjes misschien wel'
"De CoronaMelder-app werkt volledig anoniem." Het is een zin die het ministerie van Volksgezondheid meerdere malen heeft verspreid over de corona-app die door het departement is ontwikkeld. Eén probleem: het klopt niet helemaal.
"Als je naast Mark Rutte staat, hij de CoronaMelder gebruikt en vervolgens corona blijkt te hebben, dan kún je dat te weten komen voordat dat hij dat zelf bekend heeft gemaakt", zegt kunstenaar en privacydenker Tijmen Schep. Hij wil gebruikers waarschuwen dat de app niet alle privacyrisico's kan uitsluiten.
De CoronaMelder registreert de identiteit van gebruikers niet. Maar als je fysiek bij iemand in de buurt bent en zijn identiteit kent, kun je wel degelijk achterhalen of hij later de app gebruikt om contacten in te lichten.
Om dat te illustreren, heeft Schep de website CoronaDetective ontworpen. Bezoekers zien wie om hen heen de CoronaMelder-app gebruikt en kunnen andere gebruikers van een naam voorzien. Iemand met kwade bedoelingen zou de identiteit van appgebruikers met corona kunnen verspreiden, bijvoorbeeld als het gaat om een BN'er die dat zelf geheim wil houden.
Codes via bluetooth
De CoronaMelder werkt door via bluetooth continu unieke codes uit te zenden. Die worden door andere appgebruikers opgevangen. Als iemand besmet is met het virus, worden zijn codes naar alle andere appgebruikers gestuurd. De app controleert dan of jij in de buurt bent geweest van iemand met het virus. Dat gebeurt door de codes die jouw telefoon heeft ontvangen te vergelijken met de lijst van 'besmette' codes.
Meer weten over de werking van de app? In deze video leggen we het in 2 minuten uit:
De unieke codes zijn ook te ontvangen zonder de CoronaMelder-app. Als je een code weet te koppelen aan een naam, weet je later om wie het gaat als die persoon positief wordt getest en dat in de app aangeeft.
Een code aan een naam koppelen is makkelijker met kleinere aantallen mensen om je heen. Om je te helpen te onderscheiden wie wie is, laat de website zien hoe ver iemand van je vandaan is, en zelfs of hij naar je toe beweegt of juist van je af.
Het ministerie erkent het risico. Tijmen Schep: "Dit is ook niet te voorkomen, want deze app kan simpelweg niet volledig anoniem werken". De app leunt juist op unieke, persoonsgebonden codes: het tegenovergestelde van totale anonimiteit.
'Klein risico'
De site van Schep bevat maatregelen om te voorkomen dat mensen daadwerkelijk langere tijd andere appgebruikers identificeren. Maar op internet is software te vinden waarmee dat wel kan.
Toch acht het ministerie de kans klein dat dit leidt tot ernstige privacyrisico's. Daarvoor zou iemand op grote schaal codes van appgebruikers moeten verzamelen en die bijvoorbeeld aan een locatie moeten koppelen, stelt het ministerie. Dat mag niet, en dus is de kans "klein dat dit op enige schaal zal gebeuren", was de inschatting van het ministerie.
"Hoe klein die kans ook is: als iemand zonder dat je dat wil te weten komt dat jij het coronavirus hebt doordat je de app gebruikt, is dat nog steeds vervelend", vindt Schep.
Bedrijven kunnen in theorie op grotere schaal uitpeilen
Het grootste risico is dat iemand op individueel niveau codes onderschept: weinig mensen zijn in staat om op grote schaal bluetooth-signalen te onderscheppen. Maar sommige bedrijven kunnen dat wel. Dat zijn bedrijven die overal sensoren hangen om zo via wifi en bluetooth bezoekersstromen te meten. Dat gebeurt bijvoorbeeld in winkels, op straatniveau en op NS-stations.
Een van die bedrijven, BlueMark, is geïnteresseerd in de signalen van CoronaMelder. In een inmiddels verwijderde blogpost beschrijft BlueMark hoe zijn technologie ook die signalen kan onderscheppen. Zo kunnen ondernemers zien hoeveel mensen de CoronaMelder hebben geïnstalleerd. Maar de CoronaMelder-data kunnen ook helpen om beter de drukte te meten, stelt het bedrijf.
Volgens Roel Schiphorst van BlueMark zijn er nog geen klanten die CoronaMelder-signalen gebruiken. In de verwijderde blogpost schrijft BlueMark echter over een pilot waarbij gedurende anderhalve maand het gebruik van CoronaMelder in een winkelstraat zou zijn bijgehouden. Schiphorst zegt desgevraagd dat dat "nepdata" was, bedoeld "om aan onze klanten uit te leggen wat er technologisch kan".
Betrokkenen achten die lezing onwaarschijnlijk. Het ministerie van Volksgezondheid heeft tegen BlueMark een klacht ingediend bij de Autoriteit Persoonsgegevens. Schiphorst wil naar eigen zeggen de discussie "niet in de media voeren".
Volgens juristen opereert het bedrijf binnen de randen van de wet, zolang het niet de unieke CoronaMelder-codes onderschept.
De technologie van het bedrijf ondersteunt die mogelijkheid wel. Of klanten zich daarbij aan de wet houden, is aan henzelf, zegt Schiphorst van BlueMark. "Wij leveren slechts de technologie, het is aan onze klanten om de wet na te leven."
'Heel klein risico'
Schep benadrukt dat hij vindt dat de app over het algemeen goed in elkaar zit. "Dit is een heel klein risico, maar ik vind het wel belangrijk dat mensen weten dat dit kan gebeuren", zegt Schep.
Of hij de app zelf gebruikt? "Mijn Android-telefoon heeft daarvoor te veel privacy-opties ingeschakeld", aldus Schep. "Dus neem ik nu af en toe een reservetelefoon mee waarop de app staat geïnstalleerd."