GOGBOT 2020

Mijn CoronaTeller is te bekijken tijdens de GOGBOT 2020 expositie. Ik sta in het programma genoemd (als nummer 14). De GOGBOT is tot zondag open, let er wel op dat ivm Corona je een ticket moet hebben.

De foto met getal 1971 is dus het aantal unieke beacons die de CoronaTeller al gezien heeft, dat is dus sinds woensdag avond. Als iemand gezien word en een uur later terug komt wordt deze dus 2x geteld, ik kan niet bijhouden wie ik al wel of niet gezien heb. Dit getal is wel hoger dan wat ik zou inschatten.

CoronaTeller / CoronaCounter

Ik heb op 16 Aug de CoronaTeller gepubliceerd en gepost op de sociale media. Vooral via Twitter krijg ik hierover de nodige vragen, aangezien 280 tekens een beetje weinig is om alles uit te leggen deze blog. Mocht er in de toekomst meer vragen komen zal ik deze post verder aanvullen.

Eerst korte uitleg wat de CoronaMelder op de telefoon doet. Het zend meerdere keren per seconde een beacon (uniek nummer, afgeleid van geheime key). Deze key kan ik via een Raspberry Pi ontvangen en “leuke dingen” mee doen. In mijn geval tel ik het aantal unieke beacons die ik ontvang over de afgelopen 5 minuten. Hiermee kan ik zien hoeveel telefoons de CoronaMelder app op te telefoon hebben staan. Voor de volledige werking van de CoronaMelder zie mijn vorige blog post.

Een beacon is dus een ‘random’ getal waaruit verder niks valt af te leiden. Volgens het protocol wordt deze iedere 10-25 minuten opnieuw gegenereerd. Tevens kun je zien hoe sterk iemand binnen komt, maar hier doe ik niks mee. De Pi houd verder geen gegevens bij in een database of via internet/cloud, alles word in geheugen gedaan en is weg als je de Pi uitdoet/reset.

Is een beacon een ID ?

Een beacon is dus geen ID, hiervoor wordt deze te vaak veranderd. Mocht je het toch voor elkaar krijgen om een beacon aan een persoon te koppelen kun je na iedere nieuw gegenereerde beacon (dus 10-25 min) opnieuw beginnen.

Word er ander gegevens bijgehouden?

Kort antwoordt, NEE. Dus ook geen locatiedata, persoonsgegevens zoals naam, email telefoonnummer, etc etc. Op de telefoon wordt alleen de beacons die deze gezien heeft over de laatste 14 dagen opgeslagen. Aan de hand hiervan kan de telefoon bepalen of je risico loopt, zie ook mijn blog over de technische details.

Batterij gebruik

De CoronaMelder maakt gebruik van BLE 4, dit is het laatste bluetooth protocol dat zeer energie efficiënt kan werken. In de praktijk zou je dus niet veel merken van de app, anders probeer het uit je kunt de app altijd weer verwijderen.

Spookmeldingen

Eens in de maand geeft de CoronaMelder een overzicht van totaal aantal meldingen. Als je hier op klik kom je in de app terecht. Ook kun je in je OS zelf een lijstje zien waarop de ziektemeldingen wordt opgehaald. Beide meldingen zijn dus geen meldingen dat je mogelijk geïnfecteerd bent. Deze ziet er als volgt uit :

De CoronaTeller wordt getoond tijdens de Gogbot 2020 expositie.

Wifi tracking – verweer gemeente Enschede

Ik heb 3 Juni bericht van AP ontvangen dat het onderzoek is afgerond en dat het rapport nu bij de gemeente Enschede ligt zodat zij hun reactie / verweer kunnen geven.

Als deze reactie door het AP is ontvangen zullen zij een eindrapport maken waarin een eindconclusie te vinden is. Deze zal dan ook openbaar zijn.

Met andere woorden het lijkt er op dat na 2 jaar het einde van dit proces in zicht is. De bal ligt nu bij de gemeente Enschede en zou niet zo heel lang moeten duren voordat zij een reactie hebben geformuleerd (hopelijk hooguit een paar maanden).

Corona App

Interview met Rico Brouwer / potkaars

In de huidige COVID-19 pandemie is een nieuw idee ontstaan om een ‘Corona app’ te ontwikkelen. Hierbij zeggen veel mensen dat dit een inbraak op je privacy is, wat begrijpelijk is maar niet helemaal klopt.

Disclaimer : Dit hele blog post belicht vooral de technische kant van een corona app en of dit privacy veilig kan. Er spelen in de maatschappij ook vele andere aspecten zoals sociale kwesties of algemene gezondheidszorg, deze belicht ik hier niet.

Contactonderzoek

Wat nu na een geconstateerde corona besmetting gebeurt is dat de GGD een contact onderzoek uitvoert. Hiermee wordt nagegaan welke contacten de patiënt heeft gehad over de afgelopen 14 dagen en deze personen worden benaderd om uitleg te geven over de mogelijke besmetting en wat ze kunnen doen om verdere verspreiding te voorkomen. Vooral al je al maatregelen kunt nemen voordat een potentieel geïnfecteerde persoon symptomen vertoond kan op de vrij snel een drastisch verschil maken in de uiteindelijke aantallen corona patiënten.

Je kunt je voorstellen dat de patiënt niet altijd een volledige lijst van personen kan geven en dat hierdoor mogelijke besmette personen buiten het blikveld van de gezondheids organisatie vallen.

Ter ondersteuning van de contact onderzoek zou men een app kunnen ontwikkelen die specifiek deze taak ondersteund. Een groep van slimme onderzoekers hebben hiervoor het privacy vriendelijke DP-3T protocol bedacht. Het klinkt heel tegenstrijdig maar ik zal proberen het hier uit te leggen hoe dit werkt.

In de cartoon hebben we dus Alice (de corona besmette patient) en Bob (die bij haar in de buurt is geweest, en dus mogelijk besmet).

De techniek achter 3DP-TD

Op iedere telefoon die hieraan meedoet wordt een dagelijkse sleutel gemaakt die de basis vormt voor een ‘random’* getal dat iedere paar minuten anders is. Deze random getallen worden uitgezonden en de app luistert of hij deze getallen hoort. Op de telefoon wordt een lijst bijgehouden van de ‘random’ getallen die hij heeft gehoord.

Indien Alice ziek wordt en naar de arts/ziekenhuis gaat en na controle positief blijkt te zijn, krijgt ze een code waarmee ze kan melden dat ze ziek is. (Dit om spam en misbruik te voorkomen). Alleen op dit moment wordt haar lijst van dagelijkse sleutels naar de server gestuurd. Er word verder geen andere data verstuurd zoals locatie data, gebruikers gegevens etc.

De andere telefoons halen dagelijks lijst op met mensen die gemeld zijn. In het voorbeeld krijgt Bob dus lijst van de dagelijkse sleutels van Alice. Met deze lijst kan de telefoon van Bob de ‘random’ nummers van Alice berekenen en kijken of deze gezien zijn. De telefoon kan aan de hand van aantal criteria (afstand, duur contact, aantal keer gezien) bepalen of Bob ook risico loopt. Indien dit te laag is krijgt Bob niks te zien, als dit hoog is krijgt Bob een melding. Op deze manier kan Bob zien dat hij potentieel besmet is en eventueel maatregelen nemen. Dit zou kunnen bestaan uit een paar dagen thuis blijven of (als er genoeg testcapaciteit is) een test te laten doen. Vooral omdat Bob deze melding krijgt voordat hij zelf ziek is zou daarmee veel besmettingen voorkomen kunnen worden.

Het enige wat dus naar de server gaat en centraal gebeurt is het ontvangen en versturen van de dagelijkse sleutels van een besmet persoon. Het bepalen of je wel/niet besmet bent gebeurt op je eigen telefoon en is volgens het 3DP-TD protocol niet inzichtelijk door overheid, verzekeringsmaatschappij of wie dan ook. En ja je zou indien je een melding krijg niks op uit doen, er is geen enkele manier om maatregelen af te dwingen.

In mijn optiek zou een op deze manier gemaakte Corona App kunnen helpen op de corona te bestrijden. Het is natuurlijk geen wondermiddel, we zullen nog steeds onze handen moeten wassen, social distancing en testen. Maar het kan wel een middel zijn om de huidige lockdown minder strikt te maken en hopelijk een stapje te maken naar normale samenleving.

Opmerkingen

Punten in lijn van het https://www.veiligtegencorona.nl/ manifest (die ik volledig ondersteun) :

  • Het 3DP-TD protocol ziet er goed uit, maar uiteindelijk ligt het aan de uitvoering of het echt privacy proof is. Met open source code zou je dit kunnen controleren.
  • Deelname moet volledig vrijwillig zijn.

Bluetooth lijkt een geschikte manier om te kijken of iemand bij je in de buurt zit, maar er zijn genoeg situaties te bedenken dat de app wel een code ziet maar dat er geen sprake is van contact. Zo gaat een bluetooth signaal door glas en muren maar een virus niet. Andersom kan de virus nog op een deurkruk zitten van corona besmet persoon die 5 minuten eerder daar was maar dat zal de app natuurlijk niet zien. De app zou hooguit een indicatie kunnen geven of je besmet bent, de werkelijkheid kan natuurlijk altijd anders zijn.

Op 10 April werd bekend dat Apple en Google API functies in hun mobiel besturingssysteem opnemen om dit protocol te ondersteunen. Hiermee wordt het voor de ontwikkelaars een heel stuk makkelijker om een app op de juiste manier veilig te implementeren. Dit zal dan uitsluitend actief op je telefoon worden na toestemming. Ieder land zal wel een eigen app moeten ontwikkelen, vooral het gedeelte van krijgen code en wat te doen als je besmet bent zal per land verschillend zijn.

Volgens inschattingen moet 60% vd bevolking hieraan mee doen om succesvol te zijn. Dit is best wel een hoog percentage en stel dat het allemaal doorgaat ben ik erg benieuwd of we dit halen. Dat google/apple nu ook samenwerkt maakt de kans wel aanzienlijk groter.

Criteria van wanneer Bob wel of niet een melding moet krijgen staat nu nog niet vast en zou door de overheid ism RIVM etc bepaald moeten worden. In het voorstel van DP3-TP staan meer parameters waar men van af zou kunnen wijken, bv hoe vaak je een nieuwe ‘random’ nummer krijgt e.d. Dit zijn onderdelen die dus tijdens de implementatie van de app moet gaan bepalen.

* In dit artikel wordt ‘random’ gebruikt omdat het niet een echt willekeurig getal is maar iets wat berekend wordt door middel van aantal waarden (o.a. je dagelijkse sleutel). Omdat dit berekende waarden zijn kan de telefoon van Bob dezelfde berekening uitvoeren en controleren of de codes van Alice gezien zijn.

City Traffic methode

De methode van City Traffic om gegevens te anonimiseren blijft me toch bezig houden. Hoe ze precies van een MAC adres hun eigen hash maken die opgeslagen wordt in de database is me ondanks vele vragen nog steeds niet duidelijk. Om toch iets te kunnen doen doe ik hieronder wat aannames, als het ander is hoor ik graag van de specialisten hoe het dan wel moet ( of beter laat het zien in deze github code). Wat ik van ze begrijp doen ze het volgende :

  • Pseudo anonimiseren door hashen het MAC adres naar ‘op sha256 gebaseerde eigen methode’. Normaal geeft een sha256() een hex string van 64 tekens, dus ga ik hier van uit.
  • Nogmaals iets met de hash doen wat een resultaat geeft van 17 tekens. Ondanks meerdere malen te hebben gevraagd hoe/wat ze het terug brengen naar 17 teken heb ik geen idee wat ze precies doen. Voor nu ga ik van uit dat ze van de 64 tekens de eerst 17 tekens gebruiken.

Als ik van de hierboven gestelde methode uitga en ik ga voor 17.000.000 ‘adressen’ (ALLE inwoners van Nederland) de eerste 17 tekens van sha256 opslaan in een database, hoeveel dubbele hashes denk je dat ik dan heb? Ik heb het programma gemaakt die precies dit doet, het antwoord is dat ik 0 (!!) dubbele hashes heb. Dus als we deze methode vertalen naar de ‘City Trafic’ methode betekent dit dat het ‘dubbel hashen’ van getallen leuk is maar nog steeds 1 persoon is, en dus een persoonlijk gegeven. Als ik uitga van een stad van Enschede met 5000 bezoekers moet je het aantal karakters terugbrengen naar 4 of minder om een beetje te anonimiseren , (met 4 tekens 184 dubbele records (nog steeds te weinig naar mijn mening), met 5 krijgt men 8 dubbele records, met 6 is iedere record uniek).

Toby Kuiper heeft ook wat meer inhoudelijk naar deze getallen gekeken en komt tot de conclusie dat kans op een dubbel hash wel heel erg klein is (gelijk aan 1500000 x achter elkaar de staatsloterij winnen).

MOA en mijn site telmeniet.nl

Van de week heb ik een leuk gesprek gehad met de MOA (belangen vereniging marketing bureau) over mijn site ‘telmeniet.nl‘. In een per email gestuurde brief geven ze aan dat ik deze site heb geregistreerd na die van hun (klopt maar wat dan nog?) en dat deze site inbreuk zou maken op hun merk. In de eerste regel van mijn site geef ik aan dat het niet het officiële register is maar uitleg waarom dit naar mijn mening een slecht idee zou zijn. Ik doe me niet voor als MOA of het echte register, dus ik heb geen idee waar deze verwarring dan vandaan zou kunnen komen. De MOA directeur beschuldigde me van ‘fake nieuws’ en eiste min of meer dat ik mijn site aanpast naar mening van MOA (en Citty Trafic) dat ze niet aan wifi tracking doen maar wifi telling. Bovendien stelde hij dat onderzoek vrijgesteld was aan toestemming vooraf vragen (later per email gevraagd in welke wet dit dan precies staat, maar hier heb ik nog geen antwoord op gekregen). Wel even bij een onderzoeker op UT nagevraagd of zoiets bestaat, deze gaf aan dat de regels voor onderzoek eerder veel strikter is ipv vrijgesteld van privacy regels. Als het vrijgesteld zou zijn waarom heeft MOA dan een site voor het uitschrijven voor onderzoeken ?

Als je de site zelf bekijkt zijn er wel wat opmerkingen te maken :

  • Indien je inschrijft en je verstuurd de aanvraag krijg je een php foutmelding. Je weet dan niet of het wel/niet gelukt is (je krijgt dan wel een email om je inschrijving te bevestigen. Deze fout zit er al minstens 2 maanden in, dus is niet een tijdelijke fout.
  • Je bent verplicht je email (en telefoonnummer ?) achter te laten, ook als je geen herinneringen wilt ontvangen en dus email niet nodig is.
  • Zoals een deelnemer van TkkLab aangaf er wordt nergens aangegeven wat en hoe het wordt opgeslagen. Indien men het MAC adres zelf opslaat ontstaan hierdoor weer privacy risico’s (helemaal met combinatie van je email adres & telefoonnummer). Men zou dit kunnen voorkomen door het MAC adres te hashen, of zoals City Traffic het noemd “pseudo anonimiseren”.

Ik vraag me dus echt af of ze zelf wel naar de site hebben gekeken en of ze getest hebben of het werkt. Als je in de basis functionaliteit al dit soort fouten maakt kun je vraagtekens zetten bij de (kwaliteit) van de rest van de site.

Het zou heel vervelend voor de MOA zijn als mijn site hoger in de zoekresultaten van google staat als hun eigen site. Om dit te voorkomen wil ik je vragen om niet een link op je site/blog/etc te plaatsen naar telmeniet.nl

Toestemming gebruik biologisch restmateriaal

Van de week was ik bij het ziekenhuis in Enschede om bloed te laten afnemen. In de wachtkamer hing een tv scherm met een melding over privacy en eventuele mogelijkheid om bezwaar maken voor het gebruik van ‘restmateriaal’.

Normaal blijft er na onderzoek biologisch materiaal over, dit materiaal kan (geanonimiseerd) gebruikt kunnen worden voor wetenschappelijk onderzoek. Volgens het bedrijf Medlon (commercieel bedrijf die bloedonderzoeken voor het ziekenhuis uitvoert) is dit volgens de wet toegestaan. Je kunt via een folder wel hiertegen bezwaar maken, dan word je restmateriaal na onderzoek meteen vernietigd en niet gebruikt voor wetenschappelijk onderzoek.

De wetten die hiervoor van toepassing zijn Burgerlijk Wetboek 7, artikel 458 en 467. Voor de volledigheid citeer ik deze wetten hieronder (tekst in bold door mij toegevoegd) :

Artikel 458

  • 1) In afwijking van het bepaalde in artikel 457 lid 1 kunnen zonder toestemming van de patiënt ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander desgevraagd inlichtingen over de patiënt of inzage in de bescheiden, bedoeld in artikel 454, worden verstrekt indien:
    • a.het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of
    • b.het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen.
  • 2) Verstrekking overeenkomstig lid 1 is slechts mogelijk indien:
    • a.het onderzoek een algemeen belang dient,
    • b.het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en
    • c.voor zover de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
  • 3) Bij een verstrekking overeenkomstig lid 1 wordt daarvan aantekening gehouden in het dossier.

Artikel 467

  • 1) Van het lichaam afgescheiden anonieme stoffen en delen kunnen worden gebruikt voor medisch statistisch of ander medisch wetenschappelijk onderzoek voor zover de patiënt van wie het lichaamsmateriaal afkomstig is, geen bezwaar heeft gemaakt tegen zodanig onderzoek en het onderzoek met de vereiste zorgvuldigheid wordt verricht.
  • 2) Onder onderzoek met van het lichaam afgescheiden anonieme stoffen en delen wordt verstaan onderzoek waarbij is gewaarborgd dat het bij het onderzoek te gebruiken lichaamsmateriaal en de daaruit te verkrijgen gegevens niet tot de persoon herleidbaar zijn.

Ik ben geen jurist maar hieruit lees ik :

  • Artikel 467.1 “…geen bezwaar heeft gemaakt…” – dit is naar mijn mening de essentie waar het om draait, hoe weet je dat er geen bezwaar is. In mijn mening weet je dit alleen als je expliciet er om gevraagd wordt. Aannemen dat er geen bezwaar is tenzij je dit aangeeft lijk met de omgekeerde van wat wenselijk is.
  • Artikel 485.1.a “….toestemming in redelijkheid niet mogelijk….” bij een bloedonderzoek is het altijd wel mogelijk om toestemming te vragen, er is hier geen sprake van levensbedreigenden of spoed situatie. Wellicht dat hiervoor bestaande procedures moeten aangepast maar dat is dan niet een reden om dit te doen.

Samenvattend lijkt me dat je aan persoon / patiënt VOORAF toestemming zou moeten vragen om op restmateriaal wetenschappelijk onderzoek te doen. Nu wordt er van uitgegaan dat je geen bezwaar hebt tenzij je dit aangeeft, dus zeg maar de je opt-out moet doen terwijl je opt-in zou verwachten.

Persoonlijk vind ik het ook niet een prettig idee dat een commercieel bedrijf met je bloed (en eventuele ander biologisch materiaal) aan de haal kan gaan zonder dat vooraf helemaal duidelijk is wat er exact mee gebeurt. Dat het geanonimiseerd gebeurt is goed, maar er zijn genoeg onderzoeken bekend waarbij geanonimiseerd data toch weer naar individuen gekoppeld kan worden. Wellicht ben ik een doemdenker op dit vlak maar het zou zo kunnen zijn dat bv een zorg verzekerings bedrijf getipt wordt over iets waardoor je meer premie moet betalen of zelfs verzekering geweigerd word.

Ik ben geen jurist maar wie kan me aangeven of ik de wet zo goed interpreteer (of dat er inderdaad ruimte hiervoor is)?

Wat vind jij, kan restmateriaal standaard geanonimiseerd gebruikt worden door een commercieel bedrijf voor wetenschappelijk onderzoek?

Wifi Tracking in Hengelo

In Hengelo is men in april 2019 helaas ook gestart met wifi tracking, maar gelukkig is daar Groen Links die daar vragen over stelt. In antwoord van een van de vragen wordt door RCM / City Traffic aangegeven dat men in de hash geen hash collisions wil hebben, wat je als je de privacy wil beschermen juist wel zou willen hebben. Uit de brief

Bij pseudonimiseren kan hashing collision plaats vinden. Bureau RMC hasht op basis van SHA-256 (Secure Hash Algorithm 2). RMC gebruikt geen SHA-1, de reden hiervoor is dat ze hashing collision willen voorkomen. De statistische kans dat dit nu nog plaatsvindt is 1⁄2 tot de macht 62.

In ieder geval goed om te zien dat ook in Hengelo kritische vragen gesteld worden en ik heb gisteren kennis gemaakt met de ‘bezorgde burger’ die de raadsleden hierin assisteert.

Landelijk Wifi opt-out register

Op 2 Maart meld nu.nl dat de Wifi tracking bureau’s gebruik willen gaan maken van een landelijk opt-out register.

Dit lijkt een goede stap maar hierbij wordt volledig voorbij gegaan aan de oorspronkelijk probleem. Je moet volgens de AVG VOORAF toestemming vragen of je prive gegevens (zoals je MAC adres) wil delen met derden. Pas NA deze toestemming zou iemand getrackt mogen worden in de stad. In de praktijk is hiervoor geen techniek om dit voor wifi tracking mogelijk te maken, maar dat betekent niet dat je dan maar zonder deze toestemming mensen moet gaan tracken.

Een ander zwaarwegend punt is dat mensen zich onbespied moeten kunnen rondbewegen, met wifi tracking is die niet het geval. Dit is dan een zware inbreuk op je privacy waar niet te licht overheen gestapt moet worden.

Mijn bezwaren tegen opt-out register

Met een opt-out register moet de consument actie ondernemen als hij niet gevolgd wil worden in de stad. Al klinkt het ‘privacy vriendelijk’ hiermee komt de verantwoordelijkheid bij de consument te liggen in plaats van de wifi tracking bureau. Dit is het omkeren van de huidige wettelijke regels. In gesprekken die ik met CityTraffic heb gehad weet ik ook dat erg weinig mensen gebruik van maken van deze mogelijkheid (denk aan tientallen voor een stad zoals Enschede). Je moet namelijk je MAC adres op je telefoon opzoeken en deze ingeven in een site, dit is voor veel mensen toch wel een lastige opgave.

Naar mijn mening proberen de wifi bureau’s op deze manier hun illegale werkwijze te legaliseren. Ook met de opmerking dat gegevens nu geanonimiseerd zijn ben ik nog aan het onderzoeken, hiermee heb ik wel contact met Citytraffic maar de exacte technische details boven water krijgen gaat nog moeizaam. Op dit moment heb ik nog sterk de indruk dat dit vooral marketing praat is, niet iets wat cijfermatig of door wetenschappelijk onderzoek onderbouwd is.

Wil je meer over wifi tracking weten lees dan dossier wifi tracking