Dit moet de coronatraceerapp van de overheid gaan doen

De GGD heeft in zijn programma van eisen een behoefte geschetst voor de app die nu in ontwikkeling is. De bedoeling is dus dat nabijheid anoniem geregistreerd wordt, zodat meer contacten van een besmet persoon sneller opgespoord worden. Mensen die langere tijd in de buurt zijn geweest van een besmet persoon, krijgen een "passend handelingsperspectief".

De contactmomenten worden geregistreerd aan de hand van een zogenaamde 'contactcode'. Dat is een unieke, anonieme code die door de app gegenereerd wordt en meerdere keren per dag gewijzigd wordt.

Zo moet de app gaan werken

Hoe dat precies in zijn werk gaat, wordt in het programma van eisen beschreven. Zodra de app actief is, verzamelt deze contactcodes van alle smartphones die zich voor een bepaalde minimale duur binnen een vastgesteld bereik hebben bevonden. De criteria over of een contact risicovol is en of een waarschuwing vereist is, worden zoveel mogelijk met buurlanden afgestemd. Alle contactcodes worden van een datum voorzien. Zijn de contactcodes langer dan 14 dagen geleden verzameld, dan worden ze automatisch verwijderd. 

Blijkt dat een gebruiker positief getest is op Covid-19, dan worden na toestemming van de burger de contactcodes voor een zekere, niet nader genoemde periode opgenomen op de server. De app van een andere gebruiker kan op basis van die registratie bepalen of de gebruiker in relevant contact is geweest. Daarvoor haalt de app periodiek de contactcodes van recente besmettingen op. 

Volgens het programma van eisen is privacy daarbij belangrijk: één van de randvoorwaarden voor nadere uitwerking, realisatie, implementatie en gebruik is dat de app alleen in productie wordt genomen als aangetoond is dat deze voldoende waarborgen biedt voor het beschermen van privacy. Daarnaast mag alleen statistische, anonieme data verzameld worden die nodig is om de effectiviteit van de app te monitoren. 

Het moet daarnaast mogelijk worden dat mensen met klachten via de app een test kunnen aanvragen. Mensen die besmet blijken, kunnen dat ook via de app gaan melden. "Omdat alles volledig anoniem gebeurt staat het gebruik van de app overigens naast het reguliere bronen contactonderzoek", aldus De Jonge in zijn brief.

Voorbereidingen afgerond

De eerste testversie van de app wordt door diverse experts ontwikkeld. Zij hebben onder meer onderzocht of het mogelijk is om bestaande broncodes opnieuw te gebruiken. Inmiddels is besloten dat er gewerkt wordt met een opensource-broncode op basis van de European Union Public Licence. Welke broncode dat is, is nog onbekend. Wel is aangekondigd dat de broncode op GitHub wordt gepubliceerd, al is nog niet duidelijk wanneer dat precies gebeurt. 

Ook is er afstemming geweest met Google en Apple - die samen een API hebben ontwikkeld die voor de app gebruikt wordt - en diverse Europese landen. De app-bouwers hebben bovendien al een eerste versie van de architectuur gemaakt. Volgens De Jonge zijn daarmee de voorbereidingen voor de bouw van een proof of concept afgerond. "De eerstvolgende stap is het realiseren van de “proof of concept”. Alle tussenresultaten zullen daarbij openbaar zijn en iedereen die wil kan meekijken en voorstellen doen."

Bij de ontwikkeling worden ook het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens betrokken. Daarnaast wordt er een Data Protection Impact Assessment (DPIA) opgesteld, die al in concept openbaar wordt gemaakt. Eind mei moet het eerste proof of concept afgerond worden. In juni kan dan voor het eerst getest worden met de app. "Niet alleen wordt de mogelijke meerwaarde van een app in de bestrijding van het coronavirus hierbij onderzocht, maar ook worden zaken als adoptie, gedragseffecten, privacy, digitale inclusie, informatieveiligheid en nationale veiligheidsrisico’s meegenomen."

De Jonge verwacht in juli meer informatie te kunnen geven over de resultaten van de test. Zijn die resultaten positief, dan moet in juli ook een voorstel komen voor de invoering van de app.