Alleen met mensvriendelijkheid en hoge eisen slaagt de corona-app

Een corona-app moet voldoen aan hoge ethische en technische normen. Met privacy hoog in het vaandel, stellen Leon Dohmen, Liesbeth Ruoff en Joan Baaijens, bestuurders bij onderdelen van de Koninklijke Nederlandse Vereniging van Informatieprofessionals. 

Met de ‘intelligente lockdown’ werd digitalisering een onmisbare schakel voor de vitale sectoren van samenleving en economie. Online boodschappen bestellen, thuiswerken, beeldbellen door zorgverleners en familie van ouderen, docenten die via teleconferentie lesgeven. De hele sociaal-economische structuur is heringericht en dit schept grote verantwoordelijkheid.

Het aanvankelijk positieve beeld van digitalisering kantelde al snel met de aankondiging van een corona-app. Er was kritiek op de korte aanbestedingsperiode na de oproep aan bedrijven om mee te denken over zo’n app. Vervolgens verliep het selectieproces chaotisch, te snel en onvoldoende transparant. De kritiek groeide: het doel is niet duidelijk, de privacy niet gewaarborgd, een bedreiging voor de nationale veiligheid, ontwerpfouten en ook nog een datalek bij een geselecteerde app.

Ethisch bewustzijn
Volgens ons kan en moet het anders met de ontwikkeling en bouw van digitaliseringsproducten. Daarom stellen we een leidraad voor hoe te komen tot een mensvriendelijke corona-app met voldoende bescherming van de privacy. In de eerste plaats wordt zo’n mensvriendelijke app alleen afgedwongen met een beleid dat kiest voor ‘legitieme’ en open standaarden en normen. Er is een algemene standaard (ISO 27001) die zich richt op informatieveiligheid, en een norm (NEN 7510) specifiek voor informatiebeveiliging in de zorg. Ook voor het ontwikkelen van software bestaat een norm (ISO 25010) die beschrijft aan welke kwaliteitskenmerken het product moet voldoen. Dit drietal biedt transparante aanknopingspunten voor het beschermen van onder andere privacy bij de ontwikkeling en bouw van de corona-app.

Ten tweede, bij een ontwikkelproces hoort wat ons betreft ook een te vertrouwen ontwikkelteam. Ontwikkelaars en programmeurs die behalve vakinhoudelijke competenties een hoog ontwikkeld ethisch bewustzijn hebben. En die kritisch zijn richting hun leidinggevenden en opdrachtgevers wanneer de mensvriendelijkheid bij de app in het geding is. Ook voor deze competenties – vakinhoudelijk, ethiek en privacy – is een Europese standaard, beschreven in het European e-Competence Framework.

Belangrijk is het vertalen van de standaarden naar architectuurprincipes. Deze beperken ontwerpvrijheid en beschrijven aan welke noodzakelijke, mensvriendelijke eigenschappen processen, informatie, applicaties en infrastructuur moeten voldoen.

Onherleidbaar maken
Een principe zoals privacy by design of privacy by default stelt eisen aan ontwerp en bouw als persoonlijke gegevens worden gebruikt. Tal van verordeningen, zowel in Nederland als in Europees verband, bieden houvast om persoonsgegevens in de corona- app te minimaliseren, scheiden, abstraheren en onherleidbaar te maken. Daarnaast stimuleren zij om gebruikers te informeren en controle te geven over verwerking van hun gegevens.

Tot slot: voordat de corona-app ter beschikking komt voor gebruik, moet deze uitvoerig worden getest op basis van acceptatiecriteria. Deze zijn afgeleid van de standaarden en architectuurprincipes. En is de app geslaagd voor het ‘examen’ van mensvriendelijkheid, geef hem dan een keurmerk en herkeuring na elke wijziging. Het keurmerk beoogt expliciet de mensvriendelijkheid van de app te waarborgen.

Het ontwikkelen van een mensvriendelijke corona-app vergt een vorm van maatschappelijk verantwoorde en transparante leidraad en uitvoering. Open standaarden, architectuurprincipes, acceptatiecriteria en het toekennen van een keurmerk zijn hierbij onmisbaar. Pas dan kunnen mensen er vertrouwen in krijgen en de app gebruiken om het virus te beteugelen.

Leon Dohmen en Liesbeth Ruoff en Joan Baaijens

Bron: Trouw, 6 mei 2020, bekijk deze link