Corona-app: Duitse regering blijft bij PEPP-PT

Nadat de bondsregering drie versies van een corona-tracing-app heeft bekeken, blijft de eerder uitgesproken steun aan het pan-Europese concept Pepp-PT (Pan-European Privacy-Preserving Proximity Tracing, zie eerder artikel) overeind, aldus Gesundheitsminister Jens Spahn. Een Europees uitwisselingsmechanisme, dat interoperabiliteit garandeert, bestaat hiervoor al.

Binnen Pepp-PT was afgelopen weekend onenigheid over de opslagplek van de verzamelde gegevens ontstaan. Een deel van de aangesloten bedrijven en instellingen, inclusief initiatiefnemer en lid van de Digitalrat van de bondsregering, Chris Boos, is voor een centrale opslag van gegevens, op een streng beveiligde server van bijvoorbeeld het Robert-Koch-Institut. Anderen zijn juist van mening dat gegevens alleen lokaal, op de toestellen van de app-gebruikers, mogen worden opgeslagen. Ongeveer 300 deskundigen van over de hele wereld ondertekenden een open brief waarin zij waarschuwden voor het gevaar van controle en misbruik bij een gecentraliseerde opslag van gegevens. Voorstanders van de centrale oplossing op een beveiligde server zien echter juist gevaren bij de decentrale oplossing: in werkelijkheid is deze namelijk niet decentraal, want Apple en Google hebben wel degelijk toegang tot de gegevens van individuele gebruikers, zegt Wefox-oprichter Julian Teicke. Om gegevens te kunnen gebruiken voor epidemiologische modellen, zou het Gesundsheidsministerium de Amerikaanse tech-bedrijven eerst om de gegevens moeten vragen.

Het meningsverschil, en het verwijt van intransparantie van Pepp-PT, leidde ertoe dat Marcel Salathé, professor voor digitale epidemiologie aan de EPF Lausanne, samen met collega’s van de ETH Zürich, het Duitse Helmholtz-Zentrum für Informationssicherheit CISPA en de KU Leuven, zich uit het Pepp-PT consortium heeft teruggetrokken en met DP-3T (Decentralized Privacy Preserving Proximity Tracing) een concurrerend concept verder ontwikkelt. Naast een internationaal team van wetenschappers uit Zwitserland, België, Nederland (TU Delft), Duitsland, Italië, Groot-Brittannië en Spanje is ook het Zwitserse Bundesamt für Gesundheit bij DP-3T betrokken. Het open-source-protocol van het concept is op Github voor iedereen in te zien, in een persbericht is aangekondigd dat de app naar verwachting op 11 mei kan worden gelanceerd. Gezien de keuze voor Pepp-PT zal de Duitse regering hier dan echter geen gebruik van gaan maken.

Een derde oplossing die door de Bondsregering is bekeken is, de Stopp-Corona-app die in opdracht van het Oostenrijkse Rode Kruis door het bedrijf Accenture is ontwikkeld. Ook deze app werkt op basis van Bluetooth en geeft gebruikers de mogelijkheid zich middels een “digital handshake” met andere apparaten te verbinden. Deze variant is gebaseerd op een decentrale opslag van gegevens op de eigen mobiele telefoon, maar de communicatie tussen de telefoons loopt nog steeds grotendeels via centrale servers, omdat het relevante Bluetooth-protocol niet voldoende gegevens kan overdragen. Naar aanleiding van een advies van privacy-experts past Accenture dit nu aan en maakt daarbij gebruik van de DP-3T architectuur.

De Bondsregering heeft steeds weer benadrukt dat de app uitsluitend op vrijwillige basis ingezet zal worden en dat gegevensbescherming voor hen het hoogste goed is. Individuele locatiegegevens worden niet opgeslagen, alle gegevens worden anoniem verzonden. Het Ministerie van Binnenlandse Zaken lijkt echter niet langer uit te sluiten dat het gebruik van de app voor bepaalde groepen verplicht kan worden gesteld. Volgens de deelnemers aan het Bondsdagcomité Digitale Agenda noemde staatssecretaris van Binnenlandse Zaken Günter Krings als voorbeeld medewerkers van bijzonder relevante bedrijven (Berliner Zeitung).

Het meningsverschil tussen experts over het beste privacy-concept voor de geplande app en de daarmee verbonden vertraging van de daadwerkelijke lancering stuitte op scherpe kritiek van de digitale brancheverenigingen Bitkom en BVDW. Volgens de voorzitter van Bitkom, Achim Berg, is het niet doorslaggevend of de app is gebaseerd op een gecentraliseerde of gedecentraliseerde architectuur – beide kunnen worden geïmplementeerd met inachtneming van de regelgeving inzake gegevensbescherming. “Het essentiële punt is dat de verschillende apps goed samenwerken en een hoog niveau van vertrouwen onder de bevolking genieten,” zei hij in het Handelsblatt.

Mede verantwoordelijk voor de vertraging in de levering van een officiële app is het wachten op de voltooiing van de door Apple en Google ontwikkelde interfaces voor Android en iOS – dit zou nog tot half mei of begin juni kunnen duren. De Bondsregering verhoogt daarom nu de druk op de concerns en hoopt eind mei een app, gebaseerd op de Pepp-PT technologie, te kunnen uitrollen.