Apple/Google

Apple/Google steken stokje voor function-creep corona-app in Engeland en Wales

In Engeland en Wales hebben de tech-giganten Apple/Google zeer recent een update van de corona-test-and-trace-app van de National Health Service(NHS) geblokkeerd. De reden hiervoor was dat de NHS functionaliteit had toegevoegd. Daarmee konden gebruikers locatiedata opslaan en delen binnen de app. Het online ICT-magazine The Register berichtte daar een week terug, op 13 april 2021, over.  Ze deden dit nadat BBC-News op 12 april met dit bericht naar buitenkwam.  Het aparte is dat de verantwoordelijken voor de app een stuk functionaliteit aan de app hebben toegevoegd dat strijdig is met de overeenkomst met Apple/Google. Deze bedrijven hebben in 2020 een API ontwikkeld die op basis van bluetooth-technologie de nabijheid en duur van contacten met anderen vastlegt. Voorwaarde daarbij was dat de technologie de privacy volledig waarborgde en de data decentraal op de smartphone bleven. Ondoordacht doorkruiste het Britse Department of Health dit met de update.

QR-code

Waar gaat het om? Gebruikers van de app kunnen een QR-code scannen bij het betreden van een openbare locatie of iets als een winkel of restaurant. Veelal hebben die locaties een bord met zo’n code. Na het inscannen komen die gegevens op de telefoon. Wanneer lokale autoriteiten een locatie identificeren als een hotspot voor COVID-19, wordt deze toegevoegd aan een centrale database. De corona-app op de smartphone van de gebruiker zou dan controleren of gebruikers zich in de buurt van locaties in deze database bevonden hadden. Bij een “hit” zou de app de gebruiker waarschuwen. Met de nieuwe update zouden gebruikers echter hun locatiegegevens kunnen uploaden als een gebruiker bijvoorbeeld positief testte en anderen wilde waarschuwen waar ze waren geweest. De update viel samen met een versoepeling van de lockdown-regels in het Verenigd Koninkrijk.

Apple/Google

In september 2020 publiceerden Apple en Google gezamenlijk een uitgebreid document, genaamd “Exposure Notifications”. Daarin verklaren ze in FAQ-vorm uitgebreid wat de gedachtegang achter de API  is en met welke voorzorgen die omgeven is. In de artikelen 5, 7 en 10 komt ter sprake dat hun  zogeheten Exposure Notification System geen locatiedata van de smartphone van de gebruiker deelt. Noch met de Public Health Authority, noch met Apple en Google. De bedrijven geven nu heel duidelijk aan dat de door het Britse ministerie toegevoegde functionaliteit de overeenkomst schendt die ze afsloten met de NHS.  Ze blokkeren daarom nu het installeren van de ge-update versie van de corona-track-and-trace-app. Mensen kunnen nog wel de oude app downloaden en gebruiken. Het is niet de eerste keer dat er zeldzaam gesukkel plaatsvindt rond de Britse corona-app. Ik schreef er op 26 september en 2 november 2020 over.

Domheid versus macht

Het is en blijft ontstellend dom om de functionaliteit van een corona-app uit te breiden met het opslaan en delen van locatiegegevens terwijl men met de twee grote tech-partijen waarvan men de technologie gebruikt een restrictieve overeenkomst heeft. Bovendien een overeenkomst die voor de acceptatie van de corona-track-and-trace-app bij de bevolking van bijzonder groot belang was en is. Daarnaast zie je dat de grote tech-bedrijven de macht hebben om een regering te blokkeren bij het uitrollen van een door haar gewenste functionaliteit. In dit geval kan ik het optreden van Apple en Google alleen maar toejuichen.

Alternatief?

In het artikel in The Register staat ook vermeld dat Schotland een alternatief bedacht heeft. Daar maakte men een volledig van de track-and-trace-app los staande app. Die app die de QR-codes van gelegenheden die men bezocht vergelijkt met een database waarin “verdachte” locaties staan heet daar de Check-app. Die doet hetzelfde als wat de NHS-app met de update zou moeten doen, maar heeft geen koppeling met de contact-track-and-trace app.

Waarschuwing

Wat gebeurde aan de overkant van de Noordzee moge een waarschuwing zijn voor ons in Nederland. Het blijkt dat een overheid bewust of onbewust door het uitbreiden van functionaliteit, function-creep in dit geval, een voor de acceptatie van de app cruciale overeenkomst schond. Het is maar goed dat andere partijen die bij zo’n overeenkomst betrokken zijn dan daar een stokje voor steken.

W.J. Jongejan, 22 april 2021

Afbeelding van Clker-Free-Vector-Images via Pixabay