60%, dat percentage is gaan circuleren: minimaal 60% van de Nederlanders moet de COVID-19 tracking app gaan gebruiken, wil de app effectief zijn. Dat is ongeveer hetzelfde percentage Nederlanders dat Facebook gebruikt. Gegeven het feit dat het Facebook járen heeft gekost om zover te komen is dat behoorlijk ambitieus. Maar zelfs als dat ambitieuze percentage wordt bereikt, moeten we ons wel realiseren dat dan een ruime meerderheid (ruwweg twee derde) van de personen die in de buurt van een besmette persoon is geweest, niet wordt gewaarschuwd.
Er is veel publiciteit en discussie over het kabinetsplan een tracking app in te zetten om het COVID-19 virus (‘corona’) te helpen terugdringen. Die discussie gaat vooral over beveiliging en de bescherming van persoonsgegevens; veel mensen maken zich zorgen dat zo’n app een te grote inbreuk zal maken op hun persoonlijke levenssfeer. Ook klinkt de waarschuwing dat de snelheid waarmee de overheid de ontwikkeling ter hand neemt, slecht is voor de kwaliteit en de effectiviteit van de oplossing.
Die aandacht voor privacy is begrijpelijk, noodzakelijk, en kent vele facetten. Wij willen er daarvan hier één belichten, en dat is de effectiviteit van zo’n tracking app. Die effectiviteit is essentieel, want als de app niet doet waarvoor hij bedoeld is, is iedere inbreuk op privacy er een teveel en is de oplossing per definitie disproportioneel. Een eenvoudige redenering laat zien dat die effectiviteit niet vanzelfsprekend is: als 60% van de Nederlanders de app gebruikt wordt ruwweg twee derde van de personen die door een positief getest persoon zijn besmet niet bereikt. We lichten dat toe. Het is een fundamentele vraag: wanneer is een corona-app effectief? Welbeschouwd moet het antwoord op die vraag geformuleerd worden in termen van bereik, het aantal personen dat de app gebruikt. De app is erop gericht dat gebruikers worden gewaarschuwd als ze in de buurt van een als besmet aangemerkte persoon zijn geweest. Ze worden geacht vervolgens maatregelen te nemen om op hun beurt zo min mogelijk anderen te besmetten. Om dat te bereiken is uiteraard een randvoorwaarde dat de app goed functioneert. Maar cruciaal is dat veel mensen de app gebruiken. Hoeveel is ‘veel’? “Zestig procent” werd als een soort minimale installed base genoemd. Dat zou betekenen dat ongeveer 10 miljoen Nederlandse burgers de app moeten gebruiken, en dit aantal moet in korte tijd worden bereikt. Ter vergelijking: ook Facebook heeft ongeveer 10 miljoen gebruikers in Nederland (en heeft daar járen over gedaan). Als de overheid niet overgaat tot een verplichting is een dergelijke penetratie van de markt best ambitieus te noemen.
Maar stel dat het lukt, en 60% van de Nederlanders gebruikt de app. Om effectief te zijn moeten zowel de besmette persoon als de persoon in directe nabijheid de app gebruiken. De kans daarop is bij een installed base van 60% gelijk aan 0,6 x 0,6 = 0,36. Dat is slechts iets meer dan een kans van een op drie.
Onze redenering is omwille van de eenvoud sterk gesimplificeerd, maar het gaat ons om de grote lijn. Ons pleidooi met deze rudimentaire kansberekening is dat besluitvormers een onderbouwde, kwantitatieve schatting moeten maken van de verwachte effectiviteit van de app. Die effectiviteit moeten ze vervolgens afzetten tegen de impact die het middel heeft op de persoonlijke levenssfeer van de gebruikers. Zo’n afweging is volledig in de geest van algemeen aanvaarde privacybeginselen, die met de AVG ook in de wet zijn verankerd.
De eventuele introductie van de app kan dan ook niet zonder een deugdelijke Data Protection Impact Assessment (DPIA), zoals bedoeld in de privacywet (de Algemene verordening gegevensbescherming, AVG). Zeer recent benadrukte ook de European Data Protection Board, waarin ook de Nederlandse Autoriteit Persoonsgegevens vertegenwoordigd is, de noodzaak zo’n impact assessment bij ontwerp en ontwikkeling van een tracking app. Een proportionaliteitsafweging op basis van verwachte effectiviteit zoals door ons bepleit zien wij als een onmisbaar onderdeel van een DPIA.
