Dinsdag 02/06/2020
Yves-Alexandre de Montjoye.

InterviewYves-Alexandre de Montjoye

Een veilige ‘corona-app’? Deze Belgische privacy-autoriteit denkt dat het kan

Yves-Alexandre de Montjoye.Beeld rv

Hoe maken we een veilige contacttracing-app die het coronavirus helpt bedwingen? De Belg Yves-Alexandre de Montjoye, privacyonderzoeker aan Imperial College London, denkt dat het kan. ‘Maar we moeten beseffen dat hier nog heel weinig onderzoek naar gedaan is.’

Yves-Alexandre de Montjoye. Zijn naam klinkt als een restant uit een oude wereld. Maar in de Europese gemeenschap die zich verdiept in nieuwe technologieën en privacy, is De Montjoye een invloedrijke stem. Hij was een jaar lang speciaal adviseur bij Europees commissaris Margrethe Vestager en haalde meermaals de internationale pers met onderzoek waaruit onder andere bleek dat anonieme data niet altijd even anoniem zijn.

Vorige week kondigden de technologiegiganten Apple en Google dat ze een uitzonderlijke samenwerking opzetten om een contacttracing-app mogelijk te maken. Als assistent-professor aan het Imperial College in Londen en hoofd van de Computational Privacy Group daar staat De Montjoye in het epicentrum van de discussie die ondertussen in heel het Westen gevoerd wordt: als we een slimme app willen gebruiken tegen corona, hoe doen we dat dan met respect voor de privacy van Europese burgers?

Zou u een contacttracing-app op uw smartphone installeren of niet?

De Montjoye: “In principe niet. Tenzij ik een heel duidelijk inzicht krijg van hoe die app werkt. Hoeveel data worden er verzameld? Waar worden de data opgeslagen? Hoe gebeurt de versleuteling? Kan ik de code van de app zelf consulteren?”

Laat ons beginnen bij de basis. Elke ontwikkelaar van een contacttracing-app belooft dat gebruikers anoniem blijven. Maar wat betekent die term juist?

“Data zijn anoniem tenzij je ze kan gebruiken om iemand te identificeren. Die definitie komt uit de Europese privacywet GDPR en is future proof. Dat komt op het volgende neer: zodra iemand erin slaagt om u op basis van gelijk welke data te identificeren, zijn het geen anonieme data meer. In de Verenigde Staten werkt men andersom. In de Health Insurance Portability and Accountability Act (HIPAA) beschrijft men achttien categorieën van gegevens, zoals geografische data, telefoonnummers of biometrische data, als gevoelig. Die moeten altijd verwijderd worden.”

Yves-Alexandre de Montjoye (36)

- Verdiepte zich als student aan KU Leuven in data mining

- Trok in 2010 naar het Media Lab van Massachussets Institute of Technology (MIT) om er zich te focussen op privacy

- Publiceerde in die tijd verschillende onderzoeken die bewezen dat anonieme data niet per se anoniem zijn

- Begon in 2016 als assistent-professor aan het Imperial College London

- Was van 2018 tot 2019 speciaal adviseur bij Eurocommissaris Margrethe Vestager

Geanonimiseerde data worden vaak verward met pseudonieme gegevens. Wat is het verschil?

“In datawetenschappen onderscheiden we drie grote categorieën type data. Ten eerste is er de categorie waarmee ik u meteen kan identificeren. Denk aan uw naam, uw e-mailadres, uw ip-adres of uw telefoonnummer. Ten tweede spreken we van pseudonieme gegevens. Met zulke data kan ik u niet rechtstreeks identificeren, maar er is wel een kans. Denk aan mobiele locatiedata. In 2013 kwam ik er samen met mijn collega’s bijvoorbeeld achter dat vier datapunten uit een database met 1,5 miljoen klanten van een telecomspeler voldoende waren om 95 procent van de klanten te identificeren. De derde categorie hebben we besproken: met anonieme data is identificatie niet mogelijk. We beseffen nog steeds niet voldoende hoe belangrijk het verschil is tussen pseudonieme en anonieme data.”

In België gebruikt de Data Taskforce Against Corona onder leiding van Philippe De Backer (Open Vld) mobiele telefoondata om te achterhalen hoe het coronavirus zich in België voortbeweegt. Zijn dat anonieme of pseudonieme data?

“Hier vond enkele weken geleden een interessant debat over plaats tussen de Gegevensbeschermingsautoriteit van België en die van Nederland. De laatste ging ervan uit dat die gegevens wettelijk onbruikbaar waren. Philippe De Backer en de Belgische GBA argumenteerden het tegendeel. Ze hadden beiden gelijk. (lacht)

“De Data Taskforce krijgt geen toegang tot de pseudonieme, individuele mobiele telefoondata. Het krijgt enkel toegang tot datasets op postcodeniveau. Het interesseert de overheid niet dat ik me als individu drie keer van Brussel naar Luik en terug heb verplaatst. Het kan wel interessant zijn om het aantal verplaatsingen tussen verschillende postcodes in kaart te brengen. Om er zeker van te zijn dat de Data Taskforce niemand uit die dataset kan identificeren wordt er noise toegevoegd. Zo zal in de pure data te lezen zijn dat er bijvoorbeeld 352 mensen op een dag tussen Luik en Brussel gependeld hebben. Maar een algoritme maakt daar dan bijvoorbeeld 357 van. Dat gebeurt met alle patronen in de dataset. Daarnaast worden unieke verplaatsingen, neem bijvoorbeeld Durbuy-De Panne, uit de dataset verwijderd.”

Kunnen locatiegegevens, waar telecomproviders of technologiebedrijven zoals Google over beschikken, helpen om een goede contacttracing-app te bouwen?

“Of het de oplossing is, dat ligt buiten mijn expertise. Maar als we een app bouwen, moeten we het doel voor ogen houden: contacten registreren en zodra ik positief test op corona, al die contacten op de hoogte brengen dat ze in de voorbije week of twee weken in de buurt zijn geweest met iemand die besmet is. Telecomdata kunnen gebruikt worden, maar schieten wat tekort. Wat doe je met signalen uit een appartementsblok? Gps-data kunnen ook interessant zijn, maar ook daar is de vraag: is dat voldoende nauwkeurig? En bereik je daar je doel mee?

“Vandaag is er veel aandacht voor een relatief nieuwe oplossing: contacttracing via bluetooth. Die technologie an sich is niet nieuw, wel het idee om bluetooth-signalen te gebruiken om een pandemie te bestrijden. Het voordeel daarvan is duidelijk: we hebben geen locatiegegevens nodig om te achterhalen wie met wie in contact is geweest. Maar het is niet omdat we geen locatiedata gebruiken, dat die techniek de privacyregels perfect naleeft.”

U werkte in 2018 een indrukwekkend gedachte-experiment uit over tracing-apps met bluetooth-technologie. Kunt u dat eens uitleggen?

“Voor alle duidelijkheid: we gingen uit van een worstcasescenario. Ik wil niemand op stang jagen. Op een scholencampus in Denemarken kregen alle studenten een telefoon met bluetooth-technologie. Sommigen kregen ook een app die ook de locatie deelde. Alle close proximity-contacten tussen de studenten werden geregistreerd. De vraag was dan: van hoeveel procent van de studenten moesten wij ook de exacte locatie kennen om de locatie van andere studenten te weten te komen.

“Het resultaat was opvallend. Aan de hand van een klein percentage studenten dat ook zijn locatie deelde, konden we ook de locatie van de rest van de studenten achterhalen. Als we dat resultaat extrapoleren naar een grote stad als Londen, dan zien we dat een malafide app die de locatie van 1 procent van de bevolking lekt, samen met de proximity-data de locatie van de helft van de Londenaars in kaart kan brengen. Opnieuw: we gingen uit van het slechtst mogelijke scenario.”

Stel dat we alleen maar te maken hebben met een overheid en bedrijven die het allerbeste voor hebben. Zijn er dan nog veiligheidsrisico’s?

“In theorie klinkt een contacttracing-app als een goede oplossing. Burgers downloaden een app. Die app maakt elke 15 minuten een willekeurig serienummer aan. Zodra burgers die de app hebben gedownload, wordt elk contact op de verschillende smartphones opgeslagen. Niet op een centrale server. Er worden geen namen, nog device-nummers opgeslagen. Het enige wat we op onze telefoon bewaren, is een lijst van willekeurige serienummers waar we contact mee gehad hebben.

“Er stelt zich een vervelend probleem zodra ik positief test op corona. Vanaf dat moment moet de informatie in de app naar een centrale server. Die kan op die manier een bericht sturen naar alle mensen met wie ik contact had: “Wees voorzichtig, u hebt contact gehad met iemand die besmet is met corona.” Er vloeien dus heel wat gevoelige data naar die centrale server. Kunnen we voldoende verzekeren dat die data veilig zijn? Het probleem is dat er nog maar heel weinig onderzoek gedaan is naar zogenaamde close proximity-data. We weten dat Facebook-data ons enorm veel kunnen leren over de identiteit van een persoon. Maar dit soort data zijn relatief nieuw.

“Bovendien spelen hier extra vraagstukken op: de inhoud van de informatie is of je al dan niet besmet bent met een virus dat dodelijk kan zijn. Je wilt te allen tijden vermijden dat u kan achterhalen dat ik de persoon ben die uw grootvader besmet heeft met corona.”

De appontwikkelaars verzekeren ons: die gegevens zijn versleuteld. Dat kan niemand te weten komen.

“Encryptie is belangrijk, maar niet voldoende. Hier op de campus doet een running joke de ronde: met encryptie kan je data versleutelen en dus beveiligen, maar wie heeft de sleutel? (lacht) Op een bepaald moment moet iemand of een softwareprogramma de data kunnen ontgrendelen en lezen, anders ben je er niets mee.

“Het is belangrijk om het uitgangspunt van security- en privacy-experts te kennen. Wij vertrekken niet vanuit de vrees dat een appontwikkelaar of overheid slechte bedoelingen heeft en dat we ons daartegen moeten beschermen. Soms lekken data nu eenmaal. De vraag is: kunnen wij digitale infrastructuren bouwen waardoor personen geen controle hebben over data? Er bestaan manieren om systemen te bouwen die ervoor zorgen dat we noch op de overheid, noch op één bedrijf moeten vertrouwen. Zelfs wanneer mensen er misbruik van zouden willen maken, lukt dat niet.”

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234