Corona Appathon mislukt voor het begon
Laatst geupdate op april 23, 2020 door redactie
Toen Aanbestedingsnieuws het bericht over de appathon postte, en dat doen we echt snel, hadden de ondernemers nog 4 uur om te reageren. Het stond al vast dat het in zo’n korte tijd wel mis moest gaan. Maar wat er nu mis gaat… GeenStijl heeft een eigen visie, de NOS ook en Tweakers ook. De zeven voorlopig winnende deelnemers waren Capgemini, Immotef, Accenture, DDT Consortium, Covid19Alert, SiaPartners, Deus en ITO. Nog tijdens het Appathon bleek een van de apps een databaselek te hebben waarmee namen,adressen en versleutelde wachtwoorden kunnen worden achterhaald.
Hun apps zijn te bewonderen via https://www.publiekebeproeving.nl/ Het proces was ogenschijnlijk heel transparant, de livestream van de Appathon is op Youtube geplaatst en ook terug te bekijken. Er was zelfs een doventolk. Helaas duurt het wel 8 uur, op een dag en dan 2 dagen wat een behoorlijk beroep doet op de mensen hun doorspoelvermogen. Inderdaad een publieke beproeving. Het is een hele reality soap, soms een beetje grappig, maar verder doodsaai. De Youtube clips naar de appathon hebben we hieronder geplakt.
“Het doel was ook niet om een winnende app aan te wijzen, maar om zeven partijen de kans te geven hun voorstel te presenteren en te verbeteren, staat in de verklaring”, bericht de NOS. Kansen geven? Is dat hetzelfde als vrijelijk hobbyen? Aanbestedingsnieuws gelooft daar niet zo in. De kans te geven, zo stond het ook niet in de tender zelf. Daar stond:
Het doel van deze uitnodiging is om voorstellen te krijgen voor: • Slimme digitale oplossingen, zoals bijvoorbeeld apps, die kunnen bijdragen aan bron- en contactopsporing, waarbij stringente eisen worden gesteld aan onder meer snelle beschikbaarheid, privacy en informatiebeveiliging • Slimme digitale oplossingen, zoals bijvoorbeeld apps, die kunnen bijdragen aan zelfmonitoring en begeleiding op afstand, waarbij stringente eisen worden gesteld aan onder meer snelle beschikbaarheid, privacy en informatiebeveiliging • Overige digitale oplossingen, zoals bijvoorbeeld apps, die kunnen bijdragen aan de transitiestrategie • Randvoorwaarden waaronder dergelijke digitale oplossingen kunnen worden ingezet (met betrekking tot techniek, inhoud, werking, implementatie, de privacy en informatieveiligheid).
Voorstellen dus. Geen kansen. De marktconsultatie moet een voorstel opleveren. Voor zowel slimme als minder slimme digitale oplossingen dus. Nou, de voorstellen voor Minder Slimme Oplossingen vielen als rijpe appelen van de boom. Zo was er de Accenture app die een digitale handshake introduceert, al je persoonlijke ontmoetingen registreert zodat je bij ontdekking van het virus al de digitale handshakes terug kunt halen.
Capgemini stelde iets vergelijkbaars voor maar via Bluetooth, en om dat dan direct aan de GGD te melden. ITO wilde ook via bluetooth al je ontmoetingen registreren, maar die dan direct terugkoppelen aan de personen die je besmet hebt. Zodat je na melding van je infectie aan je arts, de GGD en de app en dus ook de Makers, de CIA, de NSA, Daniël Verlaan, enz op de hoogte hebt gesteld van je medische situatie. Dat gebeurt wel met een anoniem nummer, zodat je niet weet door wie je om de hoek publiekelijk gelyncht wordt?
Waren de eerdergenoemde apps nog afhankelijk van een eigen verklaring van het ziektebeeld; bij SIA zijn de zorgprofessionals degene die je besmetting verklikken aan de app. Dat is natuurlijk wel heel doelmatig. Zo kunnen dokters realtime vanachter hun computer in de gaten houden waar patiënt A. loopt en aan wie hij welke ziekte verspreidt? Wie bedenkt dit? Leverancier Deus zag als enige dappere leverancier de track en trace van al je medische gegevens op voorhand ook niet zo zitten, blijkens het stenografisch verslag:
Als ik heel eerlijk ben, wil ik zelf ook niet dat ik in de gaten word gehouden, dat ik word getraced, dat er gegevens over mij bij de Rijksoverheid
terecht zouden kunnen komen. Daarom zijn wij op zoek gegaan naar een technologie die je kan vertellen of je in de beurt bent geweest van iemand die besmet was, zodat je je voorzorgsmaatregelen kan treffen, maar dit volledig anoniem doet
Heel doordacht klinkt alles rondom de appathon allemaal niet; maar je hoeft dat ook niet te verwachten aan de hand van het Tenderproces. Aanbestedingsnieuws publiceerde het bericht vrij direct na publicatie op TenderNed. Maar in de paar uur daarop heb je niet een doordacht voorstel klaar. Zie ook onze eerdere berichtgeving bij de publicatie van de tender/marktconsultatie: Marktconsultatie Corona app Het moet dus haast wel een onderhandse marktconsultatie zijn geweest. Waarbij de uitnodiging een weekend eerder is verstrekt dan de publicatie op TenderNed verscheen. De termijn eas dus ultrakort Toch zijn er meer dan 700 reacties ontvangen, volgens het Ministerie.
“Na de uitnodiging dit weekend zijn meer dan 700 reacties ontvangen waarvan 660 daadwerkelijk een voorstel bevatten.. Op dinsdag 14 april zijn al deze voorstellen doorlopen en administratief beoordeeld op onder meer volledigheid en gericht op de in de uitnodiging benoemde ondersteuning van het werk van de GGD. Hierna bleven 63 voorstellen over. Deze zijn vandaag beoordeeld door 67 experts op het terrein van epidemiologie, gezondheidszorg, privacy, informatiebeveiliging en ICT. Deze 7 deelnemers komen voort uit hun advies.”
Deskundigen waren zeer kritisch over de gedane voorstellen, berichtte de NOS in een ander artikel. “Geen van die vijf apps voldoet aan de kwaliteitseisen van het ministerie”, zegt Benjamin Broersma van de Open State Foundation. “Alle apps hebben ontwerpfouten.” Onder die deskundigen bleek ook de landsadvocaat. Bij geen van de apps wordt volledige anonimiteit gegarandeerd. Dat leidde tot amusant smalen van vele meevloggende IT’ers op Twitter. Niet alleen de privacydeskundigen maar iedereen die weleens een app heeft gebouwd of zijn medische gegevens niet wilde delen, blijkt kritisch.
Concluclusie privacy-analyse van de apps door de landsadvocaat: er was GEEN enkele app die voldeed aan de gestelde eisen. Bent u er nog bij? Geen enkele app voldoet. pic.twitter.com/uJhASar2PQ
— Loran Kloeze (@LoranKloeze) April 19, 2020
RTL4 ging helemaal los op het debunken van de Appathon met digitaal journalist Daniël Verlaan. Die ontdekte niet alleen het eerder genoemde beveiligingslek. Het beveiligingslek werd via de fork ook nog eens verspreid over de andere deelnemers aan de appathon. Het lek is aangegeven bij de Autoriteit Persoonsgegevens.
In de broncode van Covid19 Alert stond een database van een andere app die afkomstig is uit een ander project van een medewerker van ontwikkelaar Immotef. In deze database zijn ook gegevens van Nederlandse gebruikers van die app te vinden.
“Dit is gewoon ontzettend amateuristisch”, zegt een expert die anoniem wil blijven. Hij kijkt samen met andere techneuten naar de broncode van de corona-apps. “Er is zoveel mis met deze app, ik begrijp niet dat dit door de selectie heen is gekomen.”
Niet alleen de leveranciers kregen er dus van langs. Ook het Ministerie van VWS was niet vrij van blaam en kreeg een veelzeggende facepalm cadeau.
Op https://t.co/RoVX3Tf4Ol kun je stemmen op de zeven verschillende corona-apps.
Maar als je je cookies verwijdert of incognitomodus gebruikt, kun je oneindig stemmen— Joost Schellevis (@Schellevis) April 18, 2020
Alleen de Piraten Partij liet zich al deskundig uit over de Appathon:
Voorstellen voor corona apps die nu VWS nu overweegt
werden door meerdere groepen van experts expliciet afgekeurd, omdat ze niet voldoen aan de minimale criteria: https://t.co/ZTyAVgZuF6En dat is niet het enige probleem: https://t.co/JFYkXizHb4#appathon #CoronaApp pic.twitter.com/tUuCQAcRzO
— Piratenpartij (@Piratenpartij) April 18, 2020
Als je dan toch iets of iemand de schuld moet geven, offer dan de zondebok en niet je eigen eerstgeborene. Volgens ons ligt het uiteraard allemaal aan de aanbesteding. Wie bedacht dat ook alweer? Het is niet heel aanwijsbaar maar het is ergens bij de EU, dat kwam zo via een ad hoc beslissende jurisprudentiemolen en een basistekst die te herleiden is tot die van de Franse wetgever van drie eeuwen terug. Het is een en al chaos. Net als de Appathon. Dat laatste concluderen we niet zelf, dat is een parafrase van de opmerking van VWS Secretaris-Generaal Gerritsen, op cit. Daniel Verlaan. Dus dan zal het wel zo zijn:
Secretaris-Generaal Erik Gerritsen van @MinVWS laat weten: de #appathon was hectisch en er gaat heel veel niet goed.
Hij bedankt de deelnemers voor hun inzet. “Je moet het maar durven”, wijzend op alle kritiek op hun apps van experts. pic.twitter.com/whsGTbNZTq— Daniël Verlaan (@danielverlaan) April 19, 2020
En dan is die aanbesteding ook nog eens niet rechtmatig uitgevoerd. Zie daarover ook de analyse van de directeur van TenderSucces, Inge van Laarhoven over de rechtmatigheid van de aanbesteding c.q. marktconsultatie zelf. Een aanbesteding voor de bühne?
We gaan het fijne er nog wel van horen. Het Ministerie van VWS bericht op de site, dat het al vrij gauw een beslissing gaat nemen:
Het kabinet wil op dinsdag 21 april aanstaande een besluit nemen over de volgende stap ten aanzien van apps ter ondersteuning van het bron- en contactonderzoek van de GGD. Belangrijk bij deze afweging is dat de apps zinvol, veilig en vertrouwd ingezet kunnen worden om het coronavirus te bestrijden. Dat werd zojuist bekendgemaakt tijdens de ‘Appathon’ die dit weekend op het ministerie van VWS plaatsvond.
Voor wat betreft het oneindig kunnen stemmen als je de cookies verwijdert, doet het Ministerie van VWS of zijn neus bloedt. Capgemini en Accenture kwamen als winnaar uit de publiekspoll.
De apps werden uiteindelijk door experts op het gebied van onder andere epidemiologie, gebruiksvriendelijkheid, privacy, dataveiligheid en rechten beoordeeld. Ook het publiek heeft via publiekebeproeving.nl massaal (24.000 stemmen) hun mening gegeven.
Edit 20/4/20: Het belangrijkste wat toch wel mis is gegaan bij de voorbereiding van de appathon is dat de ondersteuning via apps, in het bijzonder een track and trace van besmettingen, niet doelmatig is aan het bestrijden van virale ziekten. Het levert immers alleen een monitoring van hoe de ziekte zich verspreidt. Beter is dat het zich niet verspreidt. Dan hoeft het ook niet gemonitord.
Zie:
http://www.aanbestedingsnieuws.nl/ernstige-twijfels-rechtmatigheid-aanbesteding-corona-apps/
https://www.geenstijl.nl/5153026/corona-appathon-loopt-uit-op-heerlijk-fiasco/
https://tweakers.net/nieuws/166072/database-van-corona-app-lekt-uit-tijdens-appathon.html
En de Marathon Apps.
[embedyt] https://www.youtube.com/watch?v=VvEcFsXoDps[/embedyt]
[embedyt] https://www.youtube.com/watch?v=VaPKs6SHouI[/embedyt] Red AN: die livestream is inmiddels verwijderd ivm een privacy claim. Iemand vertelde erin ook zijn telefoonnummer aan heel meestreamend Nerderland.