Nieuws

Denemarken houdt broncode Coronavirustraceringsapp geheim

op:

Net als veel andere Europese landen probeert ook Denemarken Sars-CoV-2 infecties op te sporen met een traceringsapp op mobiele telefoons. De app is echter tegen het advies van gezondheidsorganisaties in en ondanks positieve voorbeelden in andere landen propriëtair en dus niet gepubliceerd onder een Vrije Software (of 'Open Source')-licensie.

Smittestop, de officiele traceringsapp van de Deense regering, zou de traditionelere manieren om het Coronavirus te bestrijden moeten aanvullen met contacttracering. Maar in plaats van het publiceren van de broncode van de app onder een Vrije Softwarelicentie en daarmee het publiek en de wetenschappelijke gemeenschap in staat te stellen om te inspecteren, te verifiëren, te verbeteren en ermee te experimenteren, wordt de broncode van de app geheimgehouden.

Dit gaat direct in tegen de meest recente aanbevelingen van de WHO en het eHealth-netwerk van de Europese Commissie (EC). In het betreffende document stelt de WHO specifiek dat:

"Er zou volledige transparantie moeten zijn over de wijze waarop de toepassingen en applicatieprogrammeerinterfaces (API's) werken en de publicatie van open source en open toegangscodes. Individuele personen zouden ook moeten worden voorzien van zinvolle informatie over het bestaan van geautomatiseerde besluitvorming en hoe risicovoorspellingen worden gedaan, inclusief de wijze waarop het algoritmisch model is ontwikkeld en de gegevens werden gebruikt om het model te trainen. Verder moet er informatie zijn over het nut van het model en inzicht in het soort fouten dat een dergelijk model kan maken."

Als de Deense regering de broncode gepubliceerd had onder een Vrije Softwarelicentie dan zou een dergelijke transparantie aan het publiek zijn verstrekt en zouden wetenschappers en IT-deskundigen in staat zouden zijn geweest om er samen naar te kijken en de foutmarges van de app te verbeteren, wat mogelijk kan helpen om meer infectieketens te onderbreken.

Logo van het Smittestop traceringslogo

Op de homepage van de app legt de Deense regering uit dat de broncode niet wordt gepubliceerd vanwege het risico van "veiligheidlekken" en om het publiek te beschermen tegen kwaadwillige actoren. IT-beveiliging ontstaat echter niet door de onwetendheid van aanvallers over het aan te vallen systeem maar door een goed en goed bekeken veiligheidsontwerp (lees ook p.22 in onze expertpublicatie). Deze beslissing maakt de app minder veilig; niet meer. Bovendien is het onwaarschijnlijk dat er veiligheidsinbreuken plaats zullen vinden aangezien de app gedecentraliseerd is verbonden met nemID, de officiële Deense digitale handtekening.

Zulke valse veiligheidsoverwegingen hebben de regeringen van Duitsland, Oostenrijk, Italië en Groot Brittannië niet tegengehouden bij het naleven van de eisen van de WHO en de EC inzake transparantie en het publiceren van hun contacttraceringsapps onder een Vrije Softwarelicentie. In feite benoemden Duitsland, Oostenrijk en Italië allen veiligheid als een van de de belangrijkste punten in het voordeel van de publicatie van de broncode.

De Free Software Foundation Europe (FSFE) dringt er met klem bij de Deense regering op aan om deze situatie onmiddellijk recht te zetten en haar "Smittestop"-app onder een Vrije Softwarelicentie te publiceren en de broncode volledig beschikbaar voor het publiek te stellen.