‘Corona-app hoeft niet te weten waar je loopt’
Het is technisch heel goed mogelijk om een app te maken die anoniem bijhoudt bij wie je dicht in de buurt bent geweest, en die je waarschuwt als iemand besmet blijkt te zijn met het coronavirus. Zo’n app hoeft helemaal niets over je privéleven te weten, zoals waar je naartoe gaat en wiens telefoonnummers in je contactenlijst staan. Dat zeggen de cyberbeveiligers Frank Groenewegen (Fox-IT) en Rense Buijen (Trend Micro). Minister Hugo de Jonge (Volksgezondheid) opperde dinsdag de mogelijkheid van een app om mensen te waarschuwen als ze mogelijk zijn besmet met het coronavirus. Zij kunnen dan in zelfisolatie gaan of zichzelf laten testen. Dan zou Nederland kunnen terugkeren naar een normaal leven en tegelijk de verspreiding van het virus onder controle kunnen houden. Duitsland en Groot-Brittannië werken aan apps die op ongeveer dezelfde manier werken.
Groenewegen raadt de overheid aan om niet zelf het wiel uit te vinden, maar om te kijken wat er al op de markt is en om samen te werken met andere Europese landen. De app PEPP-PT komt op hem bijvoorbeeld over als een „mooie oplossing”. Het programma is gemaakt onder leiding van Bart Preneel, hoogleraar cryptografie (versleuteling) aan de universiteit van Leuven. PEPP-PT houdt bij of je bij een andere gebruiker in de buurt bent geweest. Dat doet het met bluetooth, een technologie die in 1994 door een Nederlander is uitgevonden. Bluetooth zorgt ervoor dat twee apparaten draadloos met elkaar kunnen communiceren. Dat signaal heeft meestal een bereik van een paar meter. Heel veel mensen gebruiken het, bijvoorbeeld voor hun draadloze koptelefoons en smartwatches.
PEPP-PT geeft elk bluetooth-signaal een aparte en beveiligde code. Wanneer persoon A dicht langs persoon B loopt, of wanneer ze bijvoorbeeld naast elkaar in de trein zitten, worden hun codes in elkaars telefoons opgeslagen. Daar blijven ze twee weken lang staan. Als persoon A vervolgens het coronavirus blijkt te hebben, stuurt het programma automatisch een bericht naar alle andere telefoons met die app. Die telefoons kijken in hun overzicht of de code van persoon A daartussen staat. Is dat het geval, krijgen al die gebruikers een melding, onder wie dus persoon B. Niemand kan te weten komen wie persoon A is en wanneer het contact is geweest. Om daar zeker van te zijn, is het wel belangrijk dat overheden goed toezicht houden, zeggen Buijen en Groenewegen. Dat betekent dat ze niet alleen moeten controleren welke informatie zo’n app precies bijhoudt, maar ook naar de beveiliging van de app.