Experts trekken zich terug uit Europese corona-app PEPP-PT
Een reeks technologen en wetenschappers hebben zich teruggetrokken uit het Europese consortium dat een privacyvriendelijke corona-app moest bouwen. Ze zijn bezorgd zijn over de standaarden waarop de app zich gaat baseren. Die zouden niet zo open en transparant zijn als eerst gecommuniceerd.
Het klonk allemaal bijzonder goed, twee weken geleden. Toen werd de Pan-European Privacy Preserving Proximity Tracing app (PEPP-PT in het kort) gelanceerd. Het project moest een antwoord bieden op een groeiende vraag naar 'contact tracing' apps, waarbij mensen op de hoogte worden gebracht wanneer ze in contact zijn gekomen met iemand die positief heeft getest op covid-19. De insteek van het project was om een privacyvriendelijke app te bouwen, die de GDPR privacyregels niet overtreedt.
De app werkte volgens zijn website op vrijwillige basis en zou ook gebruik maken van open standaarden, gebaseerd op het zogeheten DP-3T oftewel Decentralized Privacy-Preserving Proximity Tracing protocol. Zoals de naam aangeeft, is dat een mechanisme om contacten tussen mensen te verzamelen, zonder dat er al te gortig met de privacy wordt omgesprongen. (Voor de extreem technische uitleg en discussies kan je hier terecht). Die DP-3T is ook het protocol dat aan de basis ligt van de contact tracing tools die Apple en Google ze vorige week aankondigden.
Teruggekrabbeld
Om maar te zeggen dat een hoop mensen die momenteel aan contact tracing werken, DP-3T zien als de academische standaard voor dit soort protocols. Maar niet, zo blijkt nu, PEPP-PT. In een rapport meldt onderzoeker Nadim Kobeissi dat het project, hoewel het origineel op zijn website sprak over het gebruik van het protocol, die verwijzing naar DP-3T ondertussen heeft weggehaald. PEPP-PT zou bij nader inzien de voorkeur geven aan een gesloten systeem, met een gecentraliseerde database. De code van zo'n gesloten systeem kan niet worden gecontroleerd, en de hele 'centrale databank' levert ook gevaar op voor hacking en misbruik door de beheerder daarvan. De vrees bij onderzoekers is dan ook dat dit nieuwe systeem mogelijk minder veilig, en minder privacy-vriendelijk, dan de DP-3T standaard.
Waarom PEPP-PT van protocol is veranderd, is niet duidelijk. Wel blijkt ondertussen dat het project Europese academici en technologen zorgen baart. Onder meer professoren Kenneth Patterson en Michael Veale uitten hun kritiek op het gebrek aan materiaal dat er door de app is uitgegeven. De specificaties zijn tot nu toe niet vrijgegeven, en kunnen dus ook niet worden gecontroleerd.
I’m really confused about what the @PeppPt approach to COVID-19 contact tracing really is. No details on their website, no public spec, dead twitter account, and now it seems they’ve dropped #DP3T 1/2
— kennyog (@kennyog) April 16, 2020
Reports that PEPP-PT now stand #DP3T up at meetings are true. Reports that PEPP-PT do not include #DP3T partners in communications are true.
— Michael Veale (@mikarv) April 16, 2020
PEPP-PT is now only a centralised protocol, internally called PNTK, which ppl will not trust. Perhaps it stands for "People Need To Know".
Slechts enkele weken na de aankondiging distantieert nu dus een reeks originele leden van het consortium zich van het project. Volgens Kobeissi is de enige achter het project nu ene Hans-Christian Boos, een man die mogelijk het project heeft opgezet als een manier om snel donoren en geld te verzamelen, zonder met een eigenlijk product te komen.
In samenwerking met Datanews
