Role of Platforms | How to deal with platforms in times of a pandemic?

The recent history of digitalisation reveals that various IT platforms show little respect for the law. By dismissing existing legislation as obsolete, technology companies are attempting to evade various statutory responsibilities. This creates uncertainty regarding rights, obligations, and responsibilities.

> How to deal with platforms in concern of the development of corona apps?

Jaap Henk Hoepman in an interview with The Correspondent: “We should demand access to the raw Bluetooth stack to implement contact tracing entirely within the app – based on open designs, based on our own values, on our own terms" -> https://thecorrespondent.com/546/coronavirus-apps-show-governments-can-no-longer-do-without-apple-or-google/71545622148-0c7ce35d. Such choices can help to evade dependency on IT platforms (which do not have relevant experience in pandemic-related technology, yet capture the debate on how to best develop this, accurately described in the Dutch version of the article above). The next question of course would be whether a ‘local’ app developed by or with support from a national government is actually privacy-friendly, secure, accessible, etcetera…

Moet onderzoek naar corona afhankelijk zijn van Google en Apple?

English summary: While contact tracing apps like the Dutch CoronaMelder may be developed open source with user privacy in mind, their reliance on contact tracing Bluetooth-technology developed by Google and Apple raises significant privacy and security questions. Perhaps more important is the question whether governments should rely on technology owned and developed by private companies for a public health task like contact tracing without publicly debating and defining guarantees on security, privacy and independent auditing and enforcement? That is why the Rathenau Institute has provided the Dutch House of Representatives with questions about the sovereignty of public health care, the sensitivity of personal medical information and what risks are posed by depending on the contact tracing technology of Apple and Google.

De Nederlandse contactonderzoekapp CoronaMelder is vanaf 1 september voor Android- en iOS-gebruikers te downloaden. De app is conform nieuw overheidsbeleid open source ontwikkeld met bijdragen van vrijwilligers en publiek beschikbare broncode. Desondanks is de app net als enkele Europese soortgenoten afhankelijk van Bluetooth-technologie ontwikkeld door Google en Apple, wat de vraag oproept:

Waarom wordt een publieke taak als contactonderzoek afhankelijk van private bedrijven?

De discussie rond corona en technologie draait vaak om privacy en volksgezondheid, of nog scherper gesteld, privacy versus volksgezondheid. Wat is belangrijker? Hoe krijgen we de epidemie onder controle? Wat moeten we daarvoor opgeven? Uiteraard is de werkelijkheid niet zo zwart-wit en zijn er nog talloze andere vragen die van belang zijn. Zijn corona-apps noodzakelijk voor effectief bron- en contactonderzoek en onder welke voorwaarden? Wat is het risico op misbruik? Hoe veilig is de technologie die ontwikkeld wordt en de infrastructuur waar deze apps gebruik van maken?

Eén vraag die onder al deze andere vragen schuil gaat, is waarom Nederland net als Duitsland, Italië, Denemarken en andere Europese landen een publieke taak als bron- en contactonderzoek afhankelijk wil maken van private bedrijven als Google en Apple. CoronaMelder is weliswaar transparant en open source ontwikkeld, maar gebruikt bluetooth-technologie ontwikkeld door Apple en Google om contactmomenten van gebruikers te registreren en is alleen te downloaden en gebruiken via de App Store en Google Play.

Broncode van dit bluetooth-systeem is door Apple en Google beschikbaar gemaakt, maar het blijft de vraag of dit volledig inzicht geeft in hoe de technologie werkt. Het is eveneens onduidelijk in hoeverre de publiek beschikbare code hetzelfde is als de code die op de telefoon van een gebruiker draait (en of dit überhaupt mogelijk is voor App Store- en Google Play-applicaties, zoals de ontwikkelaars van de Italiaanse Immuni-app opmerken). Op Android-telefoons werkt het GAEN-raamwerk van Apple en Google samen met Google Play Services, een afgesloten dienst van Google die persoonlijke gegevens als het IP-adres, emailadres en unieke data over de telefoon verzamelt. Hoe en of deze gegevens door Google te combineren zijn met data uit contactonderzoekapps is vooralsnog onduidelijk.

Er zijn veel technische vragen te stellen over apps als CoronaMelder en het GAEN-systeem, maar in feite gaan al deze vragen voorbij aan het feit dat Nederland samen met andere andere Europese regeringen een publieke taak als bron- en contactonderzoek ten dele afhankelijk maakt van de infrastructuur van private partijen, zonder duidelijke garanties over privacy, veiligheid en transparantie. Waar de keuze om CoronaMelder open source te ontwikkelen vooraf ging aan een weloverwogen eisenpakket, lijkt de keuze voor het bluetooth-systeem van Google en Apple achter gesloten deuren te zijn genomen zonder publieke insprake van andere technologie-aanbieders, gezondheidsdiensten als de GGD die verantwoordelijk zijn voor bron- en contactonderzoek en uiteindelijke gebruikers.

Daarom heeft het Rathenau Instituut in reactie op berichtgeving van minister de Jonge (VWS) over CoronaMelder vragen meegegeven aan de Tweede Kamer. Lees hier de brief van het Rathenau Instituut aan de Tweede Kamer. En reageer hier uiteraard op de vraag:

Waarom wordt een publieke taak als bron- en contactonderzoek ook maar ten dele afhankelijk van private technologie zonder garanties over veiligheid, privacy, onafhankelijke controle en transparantie?