Mag je overheden het beheer van een sociaal netwerk op basis van smartphonegegevens toevertrouwen? De experts van de KU Leuven vinden van niet en stappen uit het techconsortium PEPP-PT, dat een Europese standaard voor corona-apps hoopt uit te werken.
Wat is PEPP-PT? Het begin deze maand opgerichte Europese technologieplatform PEPP-PT (kort voor Pan-European Privacy Preserving Proximity Tracing) wil een Europese standaard ontwikkelen voor privacyvriendelijke corona-apps. Er heerste aanvankelijk groot enthousiasme rond het project. Meer dan honderd instellingen uit acht landen nemen deel.
Waar geen discussie over is. Alle onderzoekers zijn ervan overtuigd dat corona-apps een cruciaal hulpmiddel zullen zijn bij de afbouw van de lockdownmaatregelen in Europa. Zulke apps waarschuwen de smartphonegebruiker op basis van bluetooth-signalen als hij of zij in contact kwam met een virusdrager. Dat zulke apps aan alle Europese privacyregels moeten voldoen, is ook een algemeen gedeeld standpunt.
De tweespalt: centraal of decentraal? Cosic, het cybersecurity- en cryptografiecentrum van de KU Leuven, pleit voor een gedecentraliseerde informatie-uitwisseling, waarbij een corona-app draait zonder centrale server voor persoonsgegevens. Andere deelnemers zien echter wél heil zien in zo’n centralisatie. De Leuvense onderzoekers zien geen compromis meer mogelijk en trekken zich terug uit het project. Leuven geeft ‘ernstige bezorgdheden op het vlak van governance en transparantie’ als reden aan. Het ‘decentrale’ kamp vreest dat de voorstanders van een gecentraliseerde aanpak het PEPP-PT-project in die richting aan het duwen zijn.
Big Brother of efficiënt management? De Leuvense exit krijgt applaus van onder meer onderzoekers in Zwitserland. Bij de gecentraliseerde aanpak worden de bluetooth-gegevens bijgehouden op een server, bijvoorbeeld van een overheid. De tegenstanders vrezen de creatie van een Big Brother, een overheid die het doen en laten van zijn burgers in kaart kan brengen. Chris Boos, de Duitse gangmaker van PEPP-PT, begrijpt de heisa niet. Hij is alvast voor zijn thuisland Duitsland voorstander van een gecentraliseerde aanpak met een server. Dat biedt volgens hem het voordeel van een betere monitoring van de pandemie.
Boos, in het dagelijks leven de CEO van de start-up Arago, zegt dat beide systemen naast elkaar kunnen bestaan en met elkaar verbonden kunnen worden. ‘De discussie wordt religieus gevoerd. Onbegrijpelijk’, zegt hij in de Duitse pers. ‘Ik ben geen vertegenwoordiger van welke oplossing dan ook. Ik denk dat we beide moeten aanbieden en van land tot land moeten kijken wat daar het beste werkt.’
Hoe gaat het nu verder? Het vertrek van de Belgen is een aderlating voor PEPP-PT, want de Leuvense hoogleraar Bart Preneel geldt als een internationale autoriteit op het vlak van cryptografische technieken voor beveiligingssoftware. Op de website van PEPP-PT is het logo van de KU Leuven meteen verwijderd, wat een definitieve breuk suggereert. Het interuniversitair onderzoekscentrum Imec, dat ook Leuven als thuisbasis heeft, staat wel nog in de lijst van deelnemers.
Het onderzoekscentrum Cosic beklemtoont dat het wel blijft deelnemen aan de internationale projecten rond gedecentraliseerde trackingsystemen. Dat heet DP-3T, wat staat voor Decentralized Privacy-Preserving Proximity Tracing. Dat protocol ligt ook aan de basis van het gezamenlijke project dat Apple en Google, samen goed voor vrijwel de hele smartphonemarkt, aankondigden. De scheuring binnen PEPP-PT leidt dus mogelijk tot twee Europese standaarden, een gecentraliseerde en een gedecentraliseerde.
Lees ook:
