Kip ik app je

We worden in de gaten gehouden: in winkels, op straathoeken, als we foto’s posten op Facebook, in de supermarkt door onze kortingskaart te scannen, als we het weerbericht bekijken op onze telefoons. Onze data worden verzameld en verhandeld, zonder dat we er ons goed van bewust zijn. We leven in een surveillancewereld waarin de grootste bedrijven, Google, Facebook, spionageactiviteiten als corebusiness hebben. Privacy is kwetsbaar gebleken. Blijkt opnieuw kwetsbaar. In de strijd tegen het coronaspook is veel geoorloofd. Meer surveillancetechnologie moet uitkomst bieden.

Een land als China loopt voorop en dat is niet verwonderlijk; niet alleen doordat het als eerste met het virus te maken kreeg, maar vooral doordat het sinds jaar en dag een grote speler is in de surveillance-industrie, niet alleen ten behoeve van binnenlands gebruik, maar ook als exporteur naar tal van andere landen waar de burger goede redenen heeft om op z’n hoede te zijn als de overheid zich meldt. Venezuela kocht een naar Chinees voorbeeld gemodelleerd controlesysteem waarmee burgers worden beloond als ze privégegevens doorgeven (waaronder zelfs stemgedrag). In Zimbabwe traint een Chinees bedrijf zijn algoritmes in het herkennen van Afrikaanse gezichten, zodat ook die markt zich opent.

Toen begin dit jaar duidelijk werd dat er in Wuhan een probleem was, duurde het ook niet lang voor Chinese burgers werd opgedragen een app te installeren en daarin vragen te beantwoorden over hun medische toestand, reisgeschiedenis en contacten. Gecombineerd met de locatiedata uit de telefoons kregen mensen zo een groene, gele of rode code toegewezen. Rood of geel betekende onmiddellijke quarantaine, want dan waren ze in de buurt geweest van iemand bij wie het virus was vastgesteld of iemand met risico op het virus. Alleen wie bij controles een groene code kon laten zien mocht zich in de openbare ruimte begeven. En kwam iemand in de buurt van iemand met corona, of het vermoeden van besmetting met corona, dan stuurde de app een alert. De alom aanwezige camera’s en gezichtsherkenningstechnologie deden de rest. Landen als Singapore, Zuid-Korea en Taiwan kennen inmiddels soortgelijke apps en systemen.

Dergelijke methoden mogen in landen met autoritaire regimes dan misschien vruchten afwerpen, in westerse democratieën lijken zulke ingrijpende methodieken om het virus te beteugelen niet aan de orde. Zo was het althans tot voor kort. Want maart 2020 vliegen er drones door de straten van Portugese steden en over Nederlandse stranden die voetgangers naar huis jagen. In keurige rechtsstaten worden mobiele telefoons van burgers ‘uitgelezen’ om inzicht te krijgen in mensenstromen.

En dezelfde Europese Commissie die half februari nog een masterplan voor een digitale toekomst van de EU presenteerde waarin ‘digitale bescherming’ van Europese burgers de ‘belangrijkste prioriteit’ heette, belegt een maand later in grote haast een videoconferentie met CEO’s van Europese telecombedrijven om daags erna te verkondigen dat ze bij die telecombedrijven gebruikersdata gaat opvragen.

De reactie van de privacywaakhonden was tam. Bijzondere tijden immers. ‘Als het maar anoniem is, en tijdelijk,’ verzuchtte de Nederlandse Autoriteit Persoonsgegevens. ‘Een tijdshorizon is inderdaad belangrijk, evenals die anonimisering,’ zegt privacy-deskundige Axel Arnbak, advocaat en onderzoeker aan de Universiteit van Amsterdam. ‘Als je goed geanonimiseerde metadata aanlevert, die alleen kunnen worden gebruikt om die zwerm vogels in kaart te brengen, is dat minder problematisch dan dat je gewoon de hele bak bij de Commissie inlevert. Maar anonimiseren is heel kostbaar, en tijdrovend.’ En of we die tijd hebben, of we die tijd nemen, dat is de vraag: ‘als je ziet hoe zo’n eurocommissaris een paar CEO’s belt en het wel even gaat regelen…’ 

De anonimiteit van ‘metadata’ staat bovendien ter discussie. Eind vorig jaar toonde de New York Times aan dat het op basis van in de markt verhandelde databestanden de gangen van president Trump kon nagaan, tot op een paar meter en tot op de minuut nauwkeurig, van Mar-a-Lago tot de golfbaan en in het Witte Huis, dankzij locatiedata die vanuit de telefoon van een beveiligingsman in Trumps entourage werden verzonden (via onschuldige weer- en kaartenapps). Het bleek vervolgens kinderspel om die ‘anonieme metadata’ gevisualiseerd als een bewegende stip op een kaart, te herleiden tot een individu, want de stip ging aan het einde van een dag steeds naar hetzelfde adres, naar huis dus. Zoals het vervolgens ook kinderlijk eenvoudig is om dergelijke data te misbruiken; een andere stip in het onderzoek pendelde tussen het Pentagon en een verslavingskliniek.

‘Belangrijke vraag is ook waar die op EU-niveau verzamelde data terecht komen,’ zegt Arnbak, want ‘lidstaten van de EU hebben verschillende opvattingen over de rechtstaat.’ Andere belangrijke vraag: worden de inbreuken op onze privacy die we in crisistijd treffen teruggedraaid zodra de crisis voorbij is? De geschiedenis stemt weinig optimistisch, zegt Arnbak: ‘Het heeft veertien jaar geduurd voor de verplichte bewaring van telecomdata van gebruikers, ingevoerd na de aanslagen in Madrid en Londen, door het Europese Hof ongedaan werd gemaakt.’

Kunstmatige intelligentie kan in de coronacrisis op allerlei manieren helpen, zegt Holger Hoos, hoogleraar Machine learning in Leiden: waar het gaat om efficiëntere behandelmethoden, bij data-analyse op de intensive care ten behoeve van triage, bij het herstellen van ontwrichte supply chains in de economie, en ja, dus ook in de vorm van analyse van verspreidingspatronen van het virus en het nemen van daarop gebaseerde maatregelen. Dat laatste is iets waarmee je moet oppassen, want je raakt aan grondrechten, ‘en heb je eenmaal een infrastructuur opgetuigd waarmee iets dat nu nog heel moeilijk is plotseling veel makkelijker gaat dan is het inderdaad lastig dat ongedaan te maken. Vergelijk het met de bewakingscamera’s in steden: als die er eenmaal hangen is het echt een reuzenstap om ze daar fysiek weg te halen en alle bedrading te verwijderen. En die data kunnen enorm verleidelijk zijn, bijvoorbeeld in de misdaadbestrijding.’

Daarbij speelt nog iets anders mee, zegt Hoos, ‘data langere tijd bewaren is altijd gevaarlijk, ook waar het op het oog onschuldige gegevens betreft. Machine learning-technieken ontwikkelen zich razendsnel. Data die nu niet privacygevoelig lijken kunnen over enkele jaren ineens veel meer informatie blijken te bevatten. Om een voorbeeld te geven: geavanceerde machine learning-technieken kunnen inmiddels ook op basis van schijnbaar onschuldige data voorspellingen doen over religieuze of seksuele oriëntatie, al bevatten die data daarnaar geen enkele expliciete verwijzing. En als we het vandaag niet kunnen, dan kunnen we het over een paar jaar wel.’ 

Dat kunstmatige intelligentie kan helpen staat echter vast, zegt Hoos. ‘Een methode die echt lijkt te werken is om bij elk nieuw geval direct door analyse van locatiedata al diens contacten op te sporen en te testen en eventueel in quarantaine te plaatsen. Zo voorkom je dat je een hele samenleving moet platleggen, met economische en sociale ontwrichting tot gevolg.’ In landen als Zuid-Korea en Singapore worden die data vervolgens ook gebruikt om te controleren of mensen zich aan hun quarantaine houden. Maar goed, de privacy dus.

In China worden mensen verplicht apps te installeren. Dat is bij ons vooralsnog ondenkbaar. Minder ondenkbaar is dat mensen via een app vrijwillig toegang zullen geven tot allerlei data op hun telefoon. Het aantal ‘corona-apps’ dat derden toegang geeft tot gevoelige gegevens groeit ondertussen met de dag. De overheid van Singapore biedt zijn app om besmettingen in kaart te brengen inmiddels aan aan andere landen. De Universiteit van Oxford leurt met een app die werd ontwikkeld samen met de Engelse Gezondheidsautoriteiten. Via de Nederlandse app Luscii voeren mensen hun (vermoeden van) coronasymptomen in, waarop ze vervolgens door ziekenhuizen kunnen worden gebeld.

‘Mijn verwachting is ook dat het op die manier zal gebeuren,’ zegt Arnbak, ‘dat mensen in veronderstelde vrijwilligheid hun privacy volledig opgeven en dat we over een paar maanden terugkijken en zeggen: we created a monster. En dan is het de vraag wanneer we ermee stoppen. Bepaalde krachten in de samenleving vinden het wel fijn om zo’n gedetailleerd inzicht te hebben in haar burgers. Het is een beetje als een kinderpartijtje waarbij je een doos chocola op tafel zet en dan als ouders zegt: we gaan nu even twee minuten weg, maar kom niet aan de chocolaatjes. Als je terugkomt zit natuurlijk iedereen onder.’