Op naar digitale technologie die privacy respecteert

De pandemie brengt onzekerheid en confronteert ons met een gebrek aan controle op micro- en macroschaal. Gaan we op reis naar het buitenland of blijven we veilig thuis? We hebben geen idee of de tweede golf een nieuwe piek met volle ziekenhuizen wordt of niet. We weten niet wanneer er een vaccin komt.

Wat we wel weten is dat een pandemie tegenstellingen op scherp zet. Big Data en artificiële intelligentie worden ons voorgespiegeld als herauten van een nieuwe tijd. Een tijd waarin massa’s gegevens verzameld en geanalyseerd worden, waarna heel veel beslissingen automatisch, snel, en rationeel kunnen genomen worden. Tegelijk groeit de bezorgdheid over privacy: wie beschikt over onze data? Zijn automatische beslissingen transparant en fair? Wat met datalekken en misbruik, zowel door de grote internetplatformen als door overheden? 

China, Israël, Korea en Taiwan hebben geen moment getwijfeld om alle beschikbare data maximaal in te zetten om de pandemie te controleren. Zo publiceerde Korea de gps-locaties van burgers met een positieve test, zodat iedereen met een app kon zien of ze hun pad gekruist hadden. Ook werden camerabewaking en elektronische betalingen gebruikt voor contactopsporing. Dat was vrij effectief, maar het lekte ook heel wat zeer gevoelige gegevens, wat resulteerde in stigmatisering van burgers.

Stiekem

In Israël bakte de interne veiligheidsdienst Shin Bet het zo mogelijk nog bruiner. Sinds midden maart werden de metadata van mobiel telefoonverkeer (naam, locatie, wie werd wanneer opgebeld) stiekem gebruikt om aan contactopsporing te doen. Die analyse bestond al langer voor toepassingen voor de nationale veiligheid. Na een kritische publieke reactie werd de praktijk gestopt, maar op 1 juli volgde een wettelijke goedkeuring.

Ook in de Europese Unie hebben we een wetgeving die de operatoren verplicht die metadata bij te houden. Maar in de EU legt een strikt wettelijk kader (de GDPR of Algemene Verordening Gegevensbescherming) zulke praktijken aan banden. Zo beschouwt de GDPR gezondheidsgegevens als gevoelige gegevens, die bijzondere bescherming verdienen.

De GDPR verbiedt niet alles: het verwerken van gevoelige gegevens is toegestaan als de verwerking proportioneel is en in het algemeen belang. Al sinds maart worden dezelfde metadata van de mobiele operatoren gebruikt om geaggregeerde informatie te verzamelen over de verplaatsingen van burgers in België. Als men daarbij nauwgezet te werk gaat en geen informatie geeft over kleine groepen, is dat geen probleem.

Manuele opsporing

De afweging wordt delicater als we kijken naar manuele contactopsporing: burgers worden opgebeld om te vragen met wie ze de voorbije dagen in contact geweest zijn. Als men die mensen snel genoeg kan verwittigen, kan men ze vragen in quarantaine te gaan om de uitbraak te onderdrukken. Daarnaast is het nuttig te weten waar de besmetting is gebeurd: op het werk, tijdens een privéfeestje, in een druk café. Dat laat toe om meer contacten op te sporen en de lockdownmaatregelen selectief in te voeren, wat hun economische en sociale impact beperkt. Contacten zijn vooral lokaal, maar werken met een database per gemeente of provincie is niet realistisch.

Blijkbaar ligt dat in België heel gevoelig: sommigen vinden dat het verzamelen van locaties en verbanden tussen burgers in een centrale databank een stap te ver is, omdat het niet proportioneel zou zijn. De politici moeten daarbij hun verantwoordelijkheid nemen en de GDPR correct interpreteren na advies van experts bij de Gegevensbeschermingsautoriteit en in de medische wereld.

App

Een volgende stap is het gebruik van een app voor contactopsporing. Die laat toe snel contacten terug te vinden, ook met mensen die je niet kent, zoals in de bus of in de trein. Europa heeft voor die apps strikte krijtlijnen getrokken: omdat het gaat over de automatische verwerking van gevoelige informatie, mogen zulke apps enkel minimale informatie verzamelen om contacten te identificeren, op een anonieme wijze. Dat betekent dat je informatie krijgt over een risico, maar je kent de persoon, plaats of locatie niet.

Het verzamelen van locatie-informatie is expliciet niet toegelaten. Al in maart heeft een team van academische onderzoekers, het DP-3T-consortium, een privacyvriendelijke oplossing uitgewerkt. Sinds mei wordt die oplossing ondersteund door Google en Apple en sinds juni wordt ze met succes uitgerold in Denemarken, Duitsland, Ierland, Italië, Letland en Zwitserland. De uitrol in België is gepland voor september.

Die voorbeelden laten zien dat digitale technologie kan bijdragen tot het bestrijden van een pandemie. Maar digitale technologie is niet equivalent met Big Data-oplossingen en de bijbehorende risico’s voor onze privacy. Met slimme, op maat gemaakte oplossingen kan men soms data lokaal houden en het algemeen en individueel belang verzoenen. Hopelijk kan die privacyvriendelijke aanpak ook gebruikt worden in andere sectoren.