Overheden moeten evenwicht zoeken tussen economie redden en privacy beschermen
Coronacrisis bedreigt privacy in Afrika: ‘De bestaande hightech oplossingen werken niet voor ons’
Data staan centraal in de wereldwijde aanpak van het coronavirus: van het gebruik van telecomdata tot apps om contacten op te sporen. Maar dat brengt controverse over privacy met zich mee, ook in Afrika. Zwakke regulering maakt dat continent extra kwetsbaar voor lekken en massa-surveillance. Al komen er ook privacygevoelige alternatieven op.
Telecomdata gebruiken om te traceren waar een coronapatiënt precies geweest is, zouden Zuid-Afrika kunnen helpen om de economie te redden. Maar
Aram Bartoll (CC BY-SA 4.0, bewerkte foto) / © Gie Goris
Persoonlijke data zijn voor veel overheden onmisbaar om uit de coronacrisis te raken. Overheden willen traceren met wie besmette personen contact hadden en de verspreiding van het virus op die manier beperken. Afrikaanse landen hebben daar dankzij ebola al meer ervaring mee, maar het gebrek aan regulering vormt een stevige bedreiging voor de privacy van hun burgers.
Data staan centraal in de wereldwijde aanpak van het nieuwe coronavirus: van het gebruik van telecomdata tot apps die onze contacten moeten traceren. Maar dat brengt controverse over de privacy met zich mee, ook in Afrika. Zwakke regulering maakt dat continent extra kwetsbaar voor lekken en voor massa-surveillance. Maar ook privacygevoelige alternatieven komen op.
Bij ons richtten ministers van Volksgezondheid Maggie De Block (Open Vld) en van Telecommunicatie Philippe De Backer (Open Vld) een taskforce Data & Technology against Corona op, al in maart van dit jaar. Het doel? De bewegingspatronen van Belgen inschatten met telecomdata en zo dus kijken hoe die de lockdownmaatregelen opvolgden.
Zelfs onze Belgische aanpak kleurt Afrikaans. Leden van de Belgische taskforce deden ervaring op in West-Afrika tijdens de ebola-uitbraak.
Dat, samen met een roep om een app die onze contacten traceert, zorgde al snel voor kritiek. De pandemie zou onze overheden ertoe aanzetten om onze privacy te veel te schaden.
Ebola
Die hele controverse speelt ook in Afrika. Data gebruiken om ziekten te bestrijden gaat daar al verder terug dan COVID-19. Al tijdens de ebola-uitbraak van 2013 tot 2016 gebruikten overheden en internationale spelers er telecomdata en zogenaamde contact tracing apps of contactopsporings-apps. En nu kijken verschillende Afrikaanse landen zoals Zuid-Afrika, Ghana en Ethiopië opnieuw naar dit soort technieken.
Beide technieken werden ingezet tijdens de ebola-uitbraak van in West-Afrika. Een team van de Harvard School of Public Health en de Zweedse non-profitorganisatie Flowminder gebruikte toen bijvoorbeeld data van mobiele telefoons om te kijken hoe mensen zich voortbewogen. Zo wilden ze inschatten waar de ziekte in de toekomst zou opduiken. Er werd ook opgespoord, zowel manueel als via apps, met wie ebolapatiënten contact hadden.
Die ervaring wordt vandaag gebruikt om het nieuwe coronavirus te bestrijden. Liberia zet zijn ervaring van contactopsporing tijdens ebola nu in om COVID-19 te beperken. Het land werkt samen met het VN-Bevolkingsfonds UNFPA en de Wereldgezondheidsorganisatie (WHO). Honderden lokale contactopspoorders werden aangeworven om de autoriteiten te helpen in de zwaarst getroffen regio’s. Zij moeten iedereen opsporen die in contact kwam met besmette personen en verdachte gevallen aansporen om zich te laten testen.
Maar zelfs onze Belgische aanpak kleurt Afrikaans. Het technische team van de Data & Technology against Corona Taskforce steunt hevig op ervaringen opgedaan in Afrika. Het consultancybedrijf Dalberg Data Insights en ondernemer Sébastien Deletaille, beiden leden van de taskforce, werkten met telecomdata tijdens de ebola-uitbraak in West-Afrika.
Afrika was een proeftuin voor deze technieken, die we nu naar het Globale Noorden importeren. De controverse over privacy komt daarom ook niet als een verrassing. Tijdens de ebola-uitbraak zouden private telecomdata zijn gebruikt, gegevens zoals de locatie van eigenaars van mobiele telefoons, zonder goede regels over privacy. Daarnaast zou de effectiviteit van dit soort tracking weinig bewezen zijn.
Sean Martin McDonald van de Canadese denktank Center for International Governance Innovation schreef er in 2016 al een paper over: Ebola, a Big Data Disaster. ‘Er bestaat geen twijfel over dat ebola niet de laatste ramp op het vlak van big data zal zijn’, schreef hij daarin.
Zwakke regulering
Dat scenario herhaalt zich vandaag met COVID-19. De coronapandemie speelt zich in Afrika af tegen een achtergrond van zwakke regelgeving voor privacy, stelt jurist Ephraim Kenyanito. Hij werkt rond media, technologie en telecommunicatie, voor onder andere de Britse mensenrechtenorganisatie Article19 en de internationale ngo Access Now.
‘In Afrika zijn er 24 landen met wetten over databeveiliging, van de in totaal 54 landen op het continent’, stelt Kenyanito. ‘In essentie heeft de helft van de Afrikaanse landen dus geen privacywetten. En van de 24 landen mét wetten hebben er maar 10 een effectieve regulator, een gegevensbeschermingsautoriteit. De meerderheid van hen heeft dus geen manier om die wetten te doen controleren.’
‘Politici keuren liever wetten goed die een tastbaar resultaat bieden. Discussies over data, technologie en privacy zijn moeilijker.’
De regelgevende context voor data en privacy in Afrika is zwak. Er zijn natuurlijk wel pogingen om de situatie te verbeteren. De Afrikaanse Unie probeerde bijvoorbeeld een eigen alternatief te maken voor de Europese GDPR, de Algemene Verordening voor Gegevensbescherming die de Europese Unie in 2016 invoerde. Maar slechts 5 van de 55 leden van de Afrikaanse Unie ratificeerden dat akkoord, de African Union Convention on Cyber Security and Personal Data.
Sommige landen die traceerapps uittesten, zoals Ghana en Zuid-Afrika, hebben wel wetten én regulatoren, maar hun kennis over het onderwerp schiet soms tekort. ‘Er is een gebrek aan inzicht in hoe belangrijk dit onderwerp is’, stelt Kenyanito. ‘Heel wat landen en politici leggen prioriteit bij andere problemen, zoals ontwikkeling. Er zijn gewoon problemen die urgenter zijn. Het lijkt politici zinvoller om wetten goed te keuren die een tastbaar resultaat bieden voor burgers. Complexe discussies zoals die over data, technologie en privacy zijn moeilijker te voeren.’
Europese overheden besteden evengoed meer aandacht aan onderwerpen als economie dan aan privacy. Maar lekken en schandalen zetten hen al wel aan om strengere wetgevingen zoals GDPR in te voeren.
De beperkte aandacht in Afrika zorgde al voor problemen, verduidelijkt Kenyanito. In 2017 kwam bijvoorbeeld uit dat de persoonlijke gegevens van maar liefst 30 miljoen Zuid-Afrikaanse burgers circuleerden op het internet. Het ging om een bestand van 27 gigabyte dat de namen, identiteitsnummers, inkomensgegevens, gender, arbeidsachtergrond, telefoonnummers en zelfs thuisadressen bevatte van de halve Zuid-Afrikaanse bevolking. Een vastgoedbedrijf bleek de bron van dat datalek te zijn.
COVID-19 vormt een stevige bedreiging voor de privacy in Afrika, gezien veel Afrikaanse wetten over de materie nog niet overal in het continent doorgedrongen zijn. ‘Sommige landen die vandaag beginnen met apps om contacten op te sporen kennen helemaal geen mechanismen die soelaas bieden wanneer er iets fout gaat’, stelt Kenyanito.
Een contactopspoorder in Kamian, een dorp in Guinee, in 2014. West-Afrikaanse landen deden al ervaring met contactopsporing op tijdens de ebola-uitbraak van 2013 tot 2016.
CDC Global (CC BY 2.0)
Covi-ID en de economische catastrofe
Maar contacten opsporen en privacy zijn niet noodzakelijk tegengestelde dingen. Dat beweert Co-Pierre Georg, professor verbonden aan de Universiteit van Kaapstad in Zuid-Afrika en expert op het gebied van financiële technologie en blockchaintechnologie.
‘Zuid-Afrika balanceert op de rand van een catastrofe’, verduidelijkt hij de situatie in het land. ‘We zitten door corona in een erg strikte lockdown (maatregel waarbij mensen moeten binnenblijven, red.). En dat in een land dat al voor de pandemie een werkloosheidsgraad van 25 à 30 procent had. De officiële verwachting is nu dat de werkloosheid boven de 50 procent zal uitstijgen.’
Georg wijst op de dringende nood om de Zuid-Afrikaanse economie terug op te starten. ‘Het aantal gevallen van COVID-19 is gelukkig relatief beperkt gebleven. De voornaamste impact van de coronacrisis zie je vandaag niet in het gezondheidssysteem, maar in de economie. We verwachten dat ons bruto binnenlands product (bbp) met 16 procent zal krimpen. Onze kredietwaardigheid zit al in junk-status, en we vragen geld aan het Internationaal Monetair Fonds (IMF).’
Zuid-Afrika moet er zo snel mogelijk erin slagen om te heropenen, stelt Georg, omwille van de verzwakte economie. ‘We kunnen de bevolking niet binnenhouden. Als we mensen niet terug aan het werk krijgen, dan zullen ze verhongeren en in opstand komen. Er is geen ademruimte.’
Daarom wordt er nu gewerkt aan een alternatief om de economie te heropenen, op een manier die de privacy respecteert en die tegelijk ook geschikt is voor Zuid-Afrika: Covi-ID. ‘De bestaande manieren van contacten opsporen werken niet in een ontwikkelingsland’, stelt Georg. ‘Neem bijvoorbeeld het contactopsporingssysteem van Google and Apple: dat gebruikt de Bluetooth-technologie. Bijna de helft van de telefoons in Zuid-Afrika heeft simpelweg geen Bluetooth, omdat het geen smartphones zijn. De bestaande hightech oplossingen werken niet voor ons. En dan hebben we het nog niet over hoe die apps privacy garanderen.’
De kern van het alternatieve Covi-ID-systeem is een QR-code. Die krijgen gebruikers als ze een account aanmaakten, en ze kunnen de code afprinten of digitaal meenemen. Elke keer wanneer je dan een kantoor, winkel of afgesloten ruimte betreedt, scant een zogenaamde verifieer-app die QR-code.
De app slaat je locatiegegevens niet op in een centrale database, maar wel versleuteld op een blockchain-systeem. Als je dan ziek wordt, geef je die besmetting vrijwillig aan. Menselijke contactopspoorders contacteren vervolgens de personen die zich op hetzelfde moment op dezelfde plek bevonden als jij. Daartussen zitten nog een aantal checks in verband met de privacy. Die steunen op het Safe Paths-platform van het Amerikaanse Massachusetts Institute of Technology (MIT) dat sterkt de nadruk legt op privacy.
‘Het voordeel van dit manuele proces is dat het rekening houdt met culturele gevoeligheden’, stelt Georg. ‘Moest je gewoon een melding krijgen op je smartphone, en je zit bijvoorbeeld in een taxi, dan ziet de chauffeur dat mogelijk. En dan ben je in gevaar. In het beste geval gooien ze je gewoon uit de taxi, in het slechtste geval doen ze je kwaad. Automatische meldingen zijn erg moeilijk in een context waar het stigma van besmet zijn een groot probleem is.’
Werkgevers die data verzamelen
Ondertussen aarzelt de Zuid-Afrikaanse overheid nog met het toepassen van een app zoals Covi-ID. Die moet concurreren met een hele reeks alternatieve systemen. ‘Het wordt een markt’, stelt Georg.
‘Mogelijk richt de bestrijding van COVID-19 meer aandacht op privacybescherming en de omgang met data. ‘
‘Nieuwe regels stellen nu dat werkgevers hun werknemers moeten waarschuwen als er een uitbraak van corona is. Werkgevers beginnen dus allerhande informatie te verzamelen, zoals je temperatuur wanneer je aankomt. Ze laten je enquêtes invullen of vragen zelfs om je geolokalisatiedata (gegevens die verduidelijken waar je je je precies bevindt, red.).’
‘Dit is erg gevaarlijk,’ waarschuwt Georg, ‘want werkgevers verzamelen zo enorm veel persoonlijke gegevens. Ze zetten systemen voor massa-surveillance op, op een erg gefragmenteerde manier. En dat is dom, want je zit in een situatie waar contactopsporing niet echt werkt net omdat de hele aanpak gefragmenteerd is. Maar tegelijkertijd zit iedereen op een hoop vaak erg gevoelige data.’
‘Het is een kans en een dreiging’, stelt Kenyanito. ‘Mogelijk richt de bestrijding van COVID-19 meer aandacht op privacybescherming en de omgang met data. Maar tegelijk ligt de nadruk vandaag vooral op de meer tastbare beleidsaspecten zoals gezondheid. Tegelijk zien we misschien een daling van de budgetten, die naar de opbouw van regulatoren had kunnen gaan. De gevolgen voor privacy in Afrika zijn dus onzeker.’