Corona QR-codes: Made in China

Ed Sander*

Corona QR-codes behoren tot die zaken die anderhalf jaar geleden nog werden bestempeld als ‘echt iets voor een autoritaire staat als China’. Ze zijn hier inmiddels ook normaal aan het worden. Ze geven ons na lange tijd een stuk bewegingsvrijheid terug zoals ze dat in China al binnen een maand deden en zoals ze, nu er weer een wat grotere uitbraak is in China, opnieuw worden ingezet om het virus de pas af te snijden. Ed Sander van ChinaTalk schreef er drie doorwrochte artikelen over, zonder kritische vragen uit de weg te gaan. ChinaSquare kreeg toestemming om ze over te nemen. We hebben ze gebundeld tot één dossier.

Corona CR-codes
QRcodemaking, afbeelding door Wilfried Pohnke

Sinds kort kunnen we in Nederland gebruik maken van de CoronaCheck-app. Met deze app is het mogelijk aan te tonen, dat je recent negatief getest bent op het virus.

CoronaCheck

Binnenkort kun je er tevens mee bewijzen, dat je volledig gevaccineerd bent, of eerder besmet bent geweest. Gegevens over vaccinaties kun je dan na inloggen met DigiID laden vanuit de RIVM- of GGD-databases. Is een van deze situaties van toepassing, dan wordt er een QR-code gegenereerd bestaande uit een soort akkoordverklaring en een beperkte hoeveelheid persoonsgegevens zoals je initialen, geboortedag en -maand. Met deze QR-code zou het vervolgens mogelijk worden om toegang te krijgen tot evenementen, horecalocaties, musea, etc.. Je zou er vanaf juli binnen de Europese Unie ook eenvoudiger mee de grens over moeten kunnen (alhoewel landen nog wel additionele maatregelen, zoals testen en quarantaines kunnen instellen).

De scanner

Naast de CoronaCheck-app is er ook een CoronaCheck Scanner. Deze app stelt een gebruiker in staat om een QR-code uit de CoronaCheck-app te scannen. De scan resulteert vervolgens in een groen of een rood scherm. Groen betekent, dat de persoon achter de QR-code voldoet aan de bovengenoemde eisen. De persoonsgegevens worden dan getoond, waarna de scannende persoon deze kan controleren aan de hand van het identiteitsbewijs om zo te verifiëren dat de QR-code en het ID-bewijs bij dezelfde persoon horen. Voldoet men niet aan de vereisten, dan kleurt het scherm rood en is een groot kruis zichtbaar. Voor velen zal dit de eerste keer zijn, dat ze te maken krijgen met coronagerelateerde QR-codes, maar in China wordt een soortgelijk principe al toegepast sinds februari 2020.

Voorbeeld QR-Code en ontwerp schermen (bron: NL Ministerie van Volksgezondheid)

China’s Health Code

Vorig jaar schreef ik uitgebreid over de Health Code-app die China, met de hulp van haar internetbedrijven, in februari 2020 razendsnel introduceerde na de corona-uitbraak in Wuhan in januari. Gebruikers moesten telefoonnummer, naam en identiteitskaartnummer invoeren en opgeven waar ze de afgelopen tijd geweest waren (reishistorie), wat hun temperatuur was en of ze COVID-19-symptomen hadden. Op basis van deze reis- en gezondheidsinformatie genereerde de app een QR-code met een bepaalde kleur. Bij groen kon men gaan en staan waar men wilde, bij geel moest men 7 dagen in zelfquarantaine en bij rood zelfs 14 dagen. Volgens de autoriteiten werd de kleur bepaald door 3 factoren: de reishistorie, de tijd dat de gebruiker in een risicogebied geweest is en de relatie met potentieel besmette personen. Waar die informatie precies vandaan kwam bleef (en blijft) echter vaag.

Na eenmaal geregistreerd te zijn werd gebruikers gevraagd om op verschillende plekken hun QR-code te tonen. Zo zagen supermarkten, woongemeenschappen, scholen, openbaar vervoer, restaurants, openbare gebouwen, winkelcentra en bedrijven de kleur van de QR-code en kon op basis daarvan eventueel de toegang worden geweigerd. Naast het tonen van hun gekleurde QR-code werd burgers in sommige steden ook gevraagd een QR-code te scannen alvorens een voertuig (taxi, metro of bus) te betreden. Soms was dat niet verplicht en de toegang werd dan niet ontzegd, dus veel passagiers scanden niet.

De bewegingsvrijheid werd ernstig beperkt als je in de app geen groene QR-code kon laten zien. Dat wat er bekend is over de werking van de app suggereert een tamelijk low-tech product. De overheid was waarschijnlijk liever safe than sorry en ontnam burgers bij het minste of geringste risico hun groene QR-code. Liever een deel van de mensen onterecht opzadelen met één of twee weken verplichte quarantaine dan een besmet persoon te laten ontglippen. De apps hebben met hun grote-stappen-snel-thuis-aanpak echter ongetwijfeld bijgedragen aan het snelle indammen van het virus in China.

Contact tracing

Daar waar China binnen een maand haar Health Code-apps had gelanceerd verliep de introductie van contact tracking -apps in Europese landen een stuk trager. In Nederland konden we in april 2020 meekijken met een nogal beschamende ‘corona appathon’. Het zou daarna nog maanden duren voor de uiteindelijke app in oktober daadwerkelijk te downloaden was. Terwijl we in Nederland aan het polderen waren over de bescherming van privacy was in China dankzij die Health Codes het gewone leven na 3 maanden grotendeels teruggekeerd.

Gebruik van de uiteindelijke CoronaMelder is in Nederland vrijwillig. In China was de Health Code theoretisch ook niet verplicht, maar kon je eigenlijk nergens komen als je de Health Code-app niet gebruikte. Veel Chinezen wonen in zogenaamde xiao qu; een woongemeenschap met een muur eromheen en een of meerdere poorten met een bewaker erbij. Zonder groene QR-code kwam je überhaupt niet langs zo’n bewaker.

Toch was de acceptatiegraad onder Chinese burgers hoog. Onderzoek van Genia Kostka en Sabrina Habich-Sobiegalla van de Vrije Universiteit van Berlijn in juni 2020 wees uit dat 80% van de Chinese respondenten (zeer) positief tegenover contact tracing-apps stond, terwijl dat in Duitsland en de Verenigde Staten respectievelijk 41% en 39% was. Het onderzoek wees uit dat Chinezen vooral wantrouwig waren over wat de internetbedrijven met hun data deden, terwijl er in Duitsland en de V.S. meer zorgen bestonden over gebruik van persoonsgegevens door de overheid. Dit bevestigde wat ik eerder beschreef en wat wellicht contra-intuïtief is: Chinezen zijn meer vertrouwd met en hebben meer vertrouwen in dataverzameling door de overheid. Een opmerkelijk ander detail uit het onderzoek was, dat 21% van de Amerikanen, 13% van de Duitsers en slechts 3% van de Chinezen geloofden dat de COVID-19-epidemie een complot was.

Voor de duidelijkheid, de Health Code-app is eigenlijk geen echte contact tracing-app. In tegenstelling tot veel andere apps als ‘onze’ CoronaMelder meet de app niet met behulp van bluetooth of een andere technologie of je bij een besmette persoon in de buurt bent geweest. Het is meer een risico-evaluatie-systeem, dat daarmee meer lijkt op de CoronaCheck-app dan de CoronaMelder-app.

Voorbeelden van digitale (links) en hard-copy Health Certificate for International Travelers (Afbeeldingen: Ministry of Foreign Affairs of the People’s Republic of China)

QR-codes voor meer vrijheden

De introductie van de Chinese Health Code ging in het westen gepaard met verhalen over enge data-mining door een overheid die alles in de gaten houdt. Op basis van wat we weten over de werking van de apps lijken deze bijna beschamend eenvoudig (meer daarover in een volgend artikel). Na initieel geklaag in de pers, dat zo’n Health Code weer zo’n typisch Chinese surveillance tool was zagen we steeds vaker initiatieven in het westen die er toch wel erg veel op leken.

In mei 2020 ontwikkelde een Nederlandse ondernemer, ongetwijfeld geïnspireerd door China’s Health Code, een Checkgesprek-app die ook een kleurcode geeft bij bezoek aan bijvoorbeeld de horeca. Een MKB-er die dit commerciële product afneemt krijgt een eigen QR-code die hij kan opplakken bij de ingang. Klanten dienen deze te scannen, de vragen over hun gezondheid die een chatbot hen stelt te beantwoorden en minimaal één persoonsgegeven in te voeren (door de overheid verplicht sinds augustus 2020). Dat gaat zelfs verder dan in China…

Na het bezoek moet er opnieuw een QR-code worden gescand om uit te checken. De app zou het sinds juni 2020 verplichte triagegesprek bij horeca en contactberoepen moeten vereenvoudigen. Ik vraag me persoonlijk echter af, of het proces echt zoveel gemakkelijker wordt. Ik kan me voorstellen, dat men niet weet hoe een QR-code gescand moet worden en dat er discussies over privacy ontstaan. Persoonsgegevens die we in een overheidsapp schijnbaar niet wilden delen worden hiermee namelijk wel opgeslagen in de database van de aanbieder van Checkgesprek, samen met de gegevens van het bezoek (locatie en tijd). Zo kan er later eventueel contact opgenomen worden als er tegelijkertijd een besmet persoon op die locatie aanwezig bleek te zijn. Net als de gemiddelde Chinees heb ik persoonlijk meer moeite met het feit dat een commerciële partij die data beheert.

Enthousiaste omhelzing?

Ik heb geen idee of de app veel gebruikt is; er is na de persberichten tijdens de introductie weinig meer over geschreven. Volgens Google Trends wordt er na die periode van persaandacht überhaupt niet veel meer gezocht op de term ‘checkgesprek’. Overigens was Checkgesprek.nl niet de enige aanbieder van een dergelijke app; ook Checkgesprek-horeca.nl kwam met iets soortgelijks.

Er zijn ook landen waar men best bereid is dit soort apps op grote schaal te gebruiken als dat een stuk vrijheid teruggeeft. Zo vertelde Nu.nl in een korte reportage recent over de corona-aanpak in Australië. Mede vanwege het strenge ingrijpen van de overheid, dat gericht is op het uitbannen van het virus – in tegenstelling tot het beperken van de maximale druk op de zorg – en het feit dat het een eiland betreft, is de omvang van de crisis daar beperkt gebleven. Australiërs kunnen redelijk vrij gaan en staan waar ze willen, maar gebruiken daarvoor wel een app met QR-codes. Ook hier lijkt deze een stuk verder te gaan dan de Chinese Health Code. Australiërs moeten namelijk overal waar ze komen inchecken door in de NHS COVID-19-app de QR-codes van de betreffende locaties te scannen. Zo kan de National Health Sservice te allen tijde traceren waar mensen zijn. Volgens de Nederlanders die Nu.nl in de reportage te woord staan vindt iedereen dat prima en maakt men zich niet zoveel zorgen om de privacy. Net als de Health Code geven de Australische QR-code-apps risicoloze burgers veel vrijheid en men mag zelfs thuis feestjes houden, zolang gasten maar inchecken met de eigen QR-code van de gastheer of -vrouw.

Binnenkort in een democratie bij u in de buurt

Tijdens een G-20-bijeenkomst in november 2020 opperde Xi Jinping het idee van een internationale QR-code. In maart introduceerde China het International Travel Health Certificate (ITHC) voor uitreizende Chinezen. Het systeem bevat informatie over COVID-19-testen, vaccinaties en testen op antilichamen. Gebruikers voeren hun paspoortnummer in in een WeChat mini program van de overheid. Verificatie van identiteit vindt bij registratie plaats d.m.v. gezichtsherkenning. Alle informatie is versleuteld in de QR-code die relevante autoriteiten van de gastlanden kunnen uitlezen.

Begin van dit jaar rapporteerde de Wall Street Journal, dat verschillende luchthavens en luchtvaartmaatschappijen ook waren gestart met experimentele apps die kunnen verifiëren of de passagiers COVID-19-vrij zijn. Ook The New York Times publiceerde in april een artikel over verschillende ‘vaccinatiepaspoorten’, waaronder de CoronaCheck van Nederland.

Zaken die anderhalf jaar geleden, al dan niet terecht, nog werden bestempeld als ‘echt iets voor een autoritaire staat als China’ zijn hier inmiddels ook normaal aan het worden. Daar waar kort na de uitbraak van corona in China met opgeheven vingertje werd gereageerd op inzet van drones bij het  waarschuwen van de bevolking zagen we dit een paar maanden later ook gebeuren op stranden in Nederland en België. En zo raken we nu ook gewend aan QR-codes en groene en rode schermpjes als methode om te bewijzen dat we geen risico vormen voor onze medemens. Ze geven ons na lange tijd een stuk bewegingsvrijheid terug zoals ze dat in China al binnen een maand deden. Wat maakte datzelfde idee anderhalf jaar geleden dan eigenlijk zo onacceptabel?

Wordt vervolgd

Dat gezegd hebbende blijft het natuurlijk de vraag hoe die gekleurde QR-codes in China nu precies tot stand kwamen. Welke data werd daarvoor gebruikt? Wat gebeurt er nu met die data? En hoe hebben de apps zich sindsdien ontwikkeld? Die vragen probeer ik te beantwoorden in het volgende artikel.

Corona QR-codes: welke data gebruikt China’s Health Code?

In Nederland beschikken we inmiddels over de CoronaCheck-app, waarmee een QR-code voor binnenlandse toegang tot evenementen en internationaal reizen gegenereerd kan worden. Zoals ik in een eerder artikel beschreef had China in februari 2020 al iets vergelijkbaars met zijn Health Code-apps. Tijdens de piek van de coronacrisis in China bepaalde de kleur van de Health Code, een door een app gegenereerde QR-code, of je kon gaan en staan waar je wilde (groen), of je 7 dagen verplicht (!) in quarantaine moest (geel) of dat je 14 dagen binnen moest blijven (rood).

Maar daar waar wij precies weten welke data in de CoronaCheck-app worden gebruikt is dat bij de Health Code altijd schimmig gebleven. MIT Technology Review verzamelde in mei 2020 een database met 49 verschillende COVID-19 tracing-apps. Over de Health Code-app schreef MIT: “Er is heel weinig openbare informatie beschikbaar over hoe de Chinese technologie werkt.” Inmiddels zijn we een jaar verder en probeer ik in dit artikel te achterhalen welke data werden en worden gebruikt ten behoeve van de Health Code.

Honderden varianten

Het is niet eenvoudig de Health Code-apps te doorgronden. Niet alleen zijn er honderden regionale varianten en hebben individuele steden vaak een eigen app, de specificaties veranderen ook continu en apps maken gebruik van verschillende soorten data.

De South China Morning Post beschreef vorig jaar hoe steden verschillende methoden voor contactonderzoek gebruikten. Sommige apps vereisten het delen van GPS-gegevens, die, zoals we zullen zien, accurater zijn dan data van GSM-masten via telecomproviders. Of die GPS-gegevens ook daadwerkelijk uitgelezen werden en welke steden het betrof meldt SMCP echter niet. Andere apps namen genoegen met de locatie, reishistorie en lichaamstemperatuur die gebruikers (dagelijks) zelf invoerden. Hoe de verzamelde data werden geïnterpreteerd kon ook verschillen.

Een bezoek aan een risicogebied als Wuhan, bepaald aan de hand van telecom- en transportdata, en gegevens van de woongemeenschap waarin men leeft werden in 2020 klaarblijkelijk automatisch vertaald naar code geel of rood. De Shanghai Health Code gaf volgens een analyse uit juni 2020 bijvoorbeeld een rode code aan mensen die:

  • arriveren uit risicolanden of –gebieden, of deze langer dan 4 uur hebben bezocht
  • onder medische behandeling staan
  • vermoedelijk besmet waren
  • nog waren opgenomen in het ziekenhuis

Contact met besmette personen werd, net als bij het GGD-contactonderzoek bij ons, uitgevoerd door overheidspersoneel en niet vastgesteld met behulp van bluetooth- of GPS-tracking.

Regulering

Rond het moment van de lancering van de eerste Health Code-apps in februari 2020 kwam de Cyberspace Administration of China (CAC), die in het land het internet en de cyberveiligheid reguleert, al heel snel met instructies om dataverzameling ter preventie van de pandemie te beperken tot het absolute minimum. Dit gebeurde mede naar aanleiding van een aantal ernstige datalekken. Zo circuleerden er in WeChat-chatgroepen lijsten met de gegevens van besmette personen.

Ook zou data alleen verzameld mogen worden om de mobiliteit van burgers weer op gang te brengen en daarbij omslachtige gezondheidscontroles (b.v. temperatuurmetingen) overbodig te maken. Bedrijven die Health Code-apps ontwikkelden zouden transparant moeten zijn over wanneer de gebruiker een rode, gele of groene code krijgt en ervoor moeten zorgen dat de data na de uitbraak verwijderd zouden worden. De vraag is echter in hoeverre lokale overheden zich aan deze instructies houden. De aandrang om goed voor de dag te komen bij de centrale overheid is soms sterker dan de wil om regels strikt op te volgen.

Een analyse van Wanshu Cong op de website van Frontiers beschrijft hoe de centrale overheid, bij gebrek aan passende wetgeving, een aantal richtlijnen heeft opgesteld voor de Health Code-apps. Nadat zowel Tencent en Alibaba – de ontwikkelaars van de eerste en meest gebruikte Health Code-apps – in maart en april 2020 beiden hun eigen standaard hadden opgesteld, werkten beide techbedrijven samen met de Chinese National Standardization Administration aan het opstellen van een serie nationale standaarden die op 29 april 2020 verschenen.

De standaard voor dataverzameling t.b.v. Health Code-apps beschreef 4 soorten data die verzameld konden worden:

  • Persoonlijke gegevens: naam, geslacht, nationaliteit, ID-type en -nummer, gebied van registratie van huishouden (‘hukou’), huisadres, telefoonnummer, gezondheidsgeschiedenis;
  • Persoonlijke gezondheidsinformatie: lichaamstemperatuur, actuele symptomen, informatie over wonen en verblijven in risicogebieden, contact met mensen uit risicogebieden, tijdstip van gezondheidsverklaring en overige informatie;
  • Reisgeschiedenis: locaties waar de persoon in de afgelopen 14-30 dagen heeft gewoond en voor een bepaalde tijd is verbleven, inclusief huidige locatie- en reisinformatie;
  • Informatie over gezondheidscertificering: beoordeling van de huidige gezondheid door betrokken instanties, inclusief beoordeling van gezondheidsrisico’s, tijdstip en redenen voor de beoordeling, testresultaten, details van instellingen voor gezondheidstests, testtijd en gegevensbronnen.

Hoewel deze standaarden een adviserend en geen verplicht karakter hebben verwijzen ze voor wat betreft privacy wel naar bestaande regelgeving zoals de Cybersecurity Law. De wetgeving in China loopt wat achter de feiten en snelle ontwikkelingen aan. De invoering van een burgerlijk wetboek (Civil Code) en de komst van een wet bescherming persoonsgegevens (zie dit recente artikel) brengen echter verbeteringen in het wettelijke kader voor privacybescherming.

Centralisering

In mei 2020 publiceerde de centrale overheid adviezen voor COVID-19-bestrijding. In artikel 16 is in de vertaling van China Law Translate te lezen hoe overheidsorganen gestimuleerd worden om gezamenlijk gebruik te maken van ‘National Unified Government Services Platform Health Information’. Door gebruik van een centrale uitwisseling tussen verschillende lokale databases zouden steden elkaars Health Codes-apps makkelijker kunnen accepteren in plaats van gebruik van de eigen Health Code-app af te dwingen.

Het centrale platform bevat verwijzingen naar data over:

  • Bevestigde en vermoede besmettingen
  • Contactonderzoek
  • Uitslagen van medische testen
  • Data over koorts
  • Locatiedata op basis van telecomgegevens (hierover later meer)
  • Transportdata (b.v. reizen met treinen en vliegtuigen)
  • Data van grenscontroles
  • Data van lokale woongemeenschapbureaus en sociale gelegenheden
  • Temperatuurmeting van diverse checkpoints
  • Informatie gedeeld door gebruikers
  • Andere gerelateerde epidemische informatie

Sommige data komen uit een combinatie van bronnen. Zo worden reisgegevens deels zelf opgegeven en zijn ze deels afkomstig uit centrale databases, zoals die van treinkaartjes en vliegtickets, die in China beide gebonden zijn aan vaste stoelnummers.

In een artikel op lexatlas-c19.org, een wereldwijd academisch project, dat juridische reacties op COVID-19 in kaart brengt, analyseerde Dr. June Wang van de Western Sydney University de databronnen van de Health Code-apps. Data waren volgens haar onder andere afkomstig uit burgerluchtvaart, spoorwegen, snelwegen, elektronische tolheffing, lokale bussystemen en telecommunicatie-exploitanten. Opmerkelijk genoeg noemt ze ook betalingsgegevens in het bezit van banken en andere financiële instellingen als bron.

To scan or to be scanned, that’s the question

Veel van wat we weten is dus gebaseerd op vastgelegde standaarden die veelal een adviserend karakter hebben. Maar dat zegt niet noodzakelijk iets over de data die daadwerkelijk door lokale overheden verzameld en gebruikt worden.

Lange tijd heb ik mij afgevraagd in hoeverre er nauwkeurige locatiedata worden vastgelegd via de Health Code-apps zelf. In de media verschenen schijnbaar tegenstrijdige berichten. In sommige plaatsen zou men QR-codes van locaties moeten scannen, terwijl men elders zijn persoonlijke QR-code uit de Health Code-app moest laten scannen. Volgens andere geluiden hoefde alleen de huidige status van de Health Code getoond te worden, zonder dat er gescand wordt. Dit lijkt misschien een arbitrair detail, maar zegt veel over de mogelijke werking van een app.

Laat ik voor degenen die er minder bekend mee zijn even uitleggen hoe het scannen van QR-codes werkt. Bij de invoering van mobiel betalen met QR-codes in China stelde men vaak de vraag ‘ni sao wo ma’ (scan jij mij?) of ‘wo sao ni ma’ (scan ik jou?). Je kon dan ofwel:

a) jouw persoonlijke QR-Code, die je opvroegtin een app, laten scannen door een ander

of

b) met een QR-codescanner (b.v in WeChat) een andere QR-code, van een persoon of organisatie, scannen. Dat kon een vaste QR-code op een bordje of printje zijn of een QR-code gegenereerd in een app.

Scant iemand jouw QR-code (a) dan kan de informatie opgeslagen in die QR-code (b.v. jouw identiteit) worden overgedragen aan de scannende partij. De data worden door het scannende apparaat doorgestuurd naar een centrale server. Daarbij kunnen eventueel additionele data (b.v. locatie) centraal worden opgeslagen doordat deze vastgelegd is in de gegenereerde QR-code of worden meegezonden door het scannende device (op basis van GPS).

Scan jij zelf de vaste of gegenereerde QR-code (b) dan stuur jij daarmee de data uit die QR-code door naar een centrale server. De locatiegegevens zullen dan waarschijnlijk, al dan niet indirect, opgeslagen zijn in de QR-code. Voorbeeld: aan de hand van een ID-nummer van een restaurant kan de data verrijkt worden met het exacte adres.

Wordt er niets gescand, bijvoorbeeld als je alleen een QR-code genereert in de Health Code-app en deze toont zonder dat hij door een ander gescand wordt, dan wordt de combinatie van de informatie over de scanner, de gescande en de locatie dus niet per definitie doorgezonden. Echter… theoretisch kan een app of mini program in WeChat en AliPay nog steeds de GPS-gegevens doorsturen naar een centrale server als de Health Code-app geopend wordt voor het genereren van de QR-code.

Kortom, in alle mogelijke scenario’s van gebruik van de Health Code-apps is het theoretisch mogelijk dat de locatie van de gebruiker wordt geregistreerd. Of dit ook daadwerkelijk (in elke variant) gebeurt is echter de vraag. De standaarden zeggen niets over GPS of bluetooth, wat echter niet betekent dat die door lokale overheden niet worden gebruikt.

Locatiedata

Omdat ik vanwege de inreisbeperkingen zelf niet naar China kon vroeg ik David Cohen, hoofdredacteur van Technode, vorig jaar hoe het precies zat met dat scannen. Hij vertelde me dat je in Hangzhou’s oorspronkelijke systeem een QR-code kon scannen om je Health Code op te vragen, ofwel de app zelf (het mini program) op te starten. Dat is een zeer gangbare methodiek; om een mini program snel op te starten scan je een QR-code die je in ‘de offline wereld’ tegenkomt. Je kon echter ook gewoon het bijbehorende mini program in WeChat of Alipay starten zonder iets te scannen. Dit komt overeen met wat een relatie uit Hangzhou mij vorig jaar vertelde.

Al in het begin van de coronacrisis in China werden data van telecombedrijven ingezet om aan te kunnen tonen in welke steden men de voorgaande weken geweest was. Uiteindelijk kwamen de telecombedrijven met een service waarmee iemand zijn reishistorie kon opvragen en zo kon bewijzen niet in een risicogebied geweest te zijn. Daarnaast hebben overheidsfunctionarissen in Beijing bevestigd dat data van de telecomproviders worden gebruikt om te traceren waar iemand binnen de stad is geweest.

Na de uitbraak van een coronacluster op de Xinfadi-groothandelsmarkt in Beijing in juni 2020 werkte de overheid samen met telecomproviders om te identificeren wie er in de buurt van de Xinfadi-markt was geweest. Die personen kon men dan een tekstbericht sturen. Deze data bleken niet altijd even bruikbaar. Personen die met de metro of auto langs Xinfadi waren gereisd, zonder die daadwerkelijk te bezoeken, kregen volgens een krantenartikel het bericht ook toegezonden. David Cohen’s interpretatie was dat locatiedata (destijds) beperkt zinvol en/of grofmazig waren. Grove locaties waren beschikbaar op basis van aangeroepen zendmasten, maar fijnmazige positiebepaling op basis van GPS ontbrak.

Over de situatie op dit moment vertelde David me: ”Een maand na de Xinfadi-uitbraak voegde Beijing een nieuwe functionaliteit toe waarmee je QR-codes van locaties kon scannen. Dit genereerde dan een check-informulier. Zo hoefden winkeliers geen data meer op papier vast te leggen. Maar de handhaving liet te wensen over. Een kleine kebabzaak kon er gebruik van maken, terwijl een grote markt even verderop dat niet deed”. Dit lijkt op het systeem dat in Australië gebruikt wordt en in het vorige artikel besproken is.

“Deze functie werd echter niet veel gebruikt tot de uitbraken rond Chinees Nieuwjaar dit jaar”, voegt David toe. “Op dat moment begonnen de meeste plaatsen en taxi’s/ride-hailing-chauffeurs er enkele maanden lang op aan te dringen, dat mensen hun QR-codes moesten scannen”. TechNode rapporteerde dat de regels niet eenduidig waren; in Beijing diende men in maart 2021 locaties te scannen, maar in de meeste andere steden was dat niet nodig. 

David: ”De laatste tijd heb ik, ondanks de uitbraken in Guangdong, Liaoning en Anhui, niet veel verandering gezien in de vraag om te scannen en zelfs nauwelijks in controles van mijn Health Code. Ik was gisteren in Sanlitun, dat vroeger erg streng was in het controleren van Health Codes, en hoewel de controleposten er nog zijn, denk ik niet dat ze bemand waren, laat staan dat ze mensen tegenhielden”.

Omdat Xi’an, de stad waar ik zelf ook enkele jaren gewoond heb, bekend staat als een van de steden met de meest strikte coronaregels vroeg ik mijn vriend Leo naar de stand van zaken aldaar.

“Toen het vorig jaar allemaal begon moest je je Health Code tonen, maar die werd voor zover ik me kan herinneren nooit gescand. Ze controleerden alleen of je kleur groen was. Later in 2020 veranderde de situatie en moesten we QR-codes scannen bij vrijwel elke publieke locatie of in elk openbaar vervoersmiddel. Elke locatie heeft zijn eigen QR-code. Zo hebben bussen aan de buitenkant, bij de deur, en ook in de bus zelf een QR-code. De buschauffeur controleert of je hebt gescand. Toen m’n 5G een keer niet werkte kon ik niet scannen. Ik heb toen even met de chauffeur moeten praten om de bus in te mogen. Als je bij de metro niet kunt scannen worden je gegevens genoteerd.”

“Op het moment vragen de meeste locaties, zoals winkelcentra, je echter niet meer de QR-code te scannen. Sommige locaties (b.v. Walmart) echter nog wel. Ook is het nog nodig om de metrostations en de bus in te komen. De meeste steden lijken daar al mee gestopt te zijn, maar in Xi’an is dat al zo sinds het begin van de uitbraak.”

Corona QR-codes: wildgroei aan functionaliteiten van China’s Health Code-apps

In de twee voorgaande artikelen hebben we gezien hoe in China de Health Code werd ingezet om mensen met een laag besmettingsrisico via een QR-code en kleur meer bewegingsvrijheid te geven, net als ‘onze’ CoronaCheck dat doet. In februari 2021 bracht de Cyberspace Administration of China een rapport uit over het internetgebruik in het land in 2020. Volgens het rapport is de Health Code-app vorig jaar 40 miljard keer gebruikt. Dat is gemiddeld zo’n 40 keer per mobiel-internetgebruiker.

Ook lazen we, dat er vergeleken met deze laatste app wel heel veel data wordt verzameld in de veelheid aan Chinese Health Code-apps van lokale overheden. Nu mag die data theoretisch enkel gebruikt worden voor de doeleinden waarvoor de Health Code ontwikkeld is, maar de vraag is, of dat in de praktijk ook zo is en wat de toekomst gaat brengen.

De Health Code heeft z’n nut in China bewezen, maar dat wil niet zeggen dat men er geen bedenkingen bij heeft. In dit laatste artikel kijken we naar enkele mogelijk zorgwekkende ontwikkelingen en initiatieven.

Should I stay or should I go?

Een analyse van Wanshu Cong op de website van Frontiers beschrijft hoe verschillende Chinese geleerden van mening zijn dat de Health Code als middel voor het beheersen van de epidemie uiteindelijk niet meer nodig zal zijn. De apps zouden dan stopgezet dienen te worden en alle data zou verwijderd moeten worden. Maar velen zien ook de mogelijkheid om de tool na de epidemie uit te breiden voor andere overheidsdoelen en openbare dienstverlening en daarmee de levensduur te verlengen. Een van de argumenten hiervoor is dat het zonde zou zijn de investeringen in het opzetten van de Health Code niet verder te benutten.

Het waren de lokale overheden die het initiatief namen voor de invoering van de Health Codes; de centrale overheid kwam slechts met een kader van voorwaarden en later met instructies voor standaardisatie (zie het tweede artikel). Dit paste in het plaatje van de centrale overheid die lokale overheden aanspoorde om gebruik te maken van digitale technologieën en big data bij het opsporen en indammen van het virus.

In maart 2020 begon de centrale overheid met het stimuleren van uitwisselbaarheid van regionale en lokale Health Codes. Dit bleek verre van succesvol. De echte problemen waren niet van technische aard, maar de bereidheid van lokale overheden om data met elkaar te delen was te beperkt. Regio’s die al succesvol een eigen Health Code hadden ingevoerd hadden weinig zin om over te stappen op een nationale Health Code. De Health Code is daardoor geen centraal beheerd en nationaal uniform systeem. In plaats daarvan is het een wirwar van verschillende apps gebleven. In december 2020 kwam de centrale overheid daarom met verdere instructies die zouden moeten bijdragen aan een universele Health Code voor heel China.

De overheid gaf in eerste instantie weinig sturing aan welke digitale hulpmiddelen onder welke omstandigheden en op welke manier gebruikt konden worden. Dit heeft in sommige gevallen geleid tot een aanzienlijke wildgroei aan verschillende Health Code-apps, maar ook aan verschillen in functionaliteit. Zo koppelde de overheid in Hangzhou de Health Code al snel aan digitale pasjes voor gezondheidszorg en sociale zekerheid. In Hangzhou kan men daarnaast vanuit de Health Code-app een gezondheidscertificaat genereren die verplicht is bij beroepen in restaurants, hotels, zwembaden, voedselproductie, schoonheidssalons en bij het werken met kinderen. De Health Code-app van Hangzhou stelde gebruikers bovendien in staat om een afspraak te maken met een arts en via een chat of hotline psychische ondersteuning te vragen.

In de provincie Hebei kon de Health Code in mei 2020 gebruikt worden als metrokaart en als identiteitsbewijs voor toegang tot fabrieken. Ook in Guangzhou kon de Health Code gebruikt worden als identiteitsbewijs en gezondheidsverklaring en diende men zich niet alleen met de eigen naam (‘real-name registration’), maar ook met gezichtsherkenning te registreren.

Ook Shanghai ging voor een uitbreiding van de functionaliteit van zijn lokale Health Code (de ‘Suishen Code’) en is deze net als Guangzhou gaan inzetten als identiteitsbewijs. De Health Code kan ook gebruikt worden bij het bezoeken van openbare zwembaden en theaters, voor het lenen van boeken in de bibliotheek, betalen in het openbaar vervoer en het maken van een afspraak en betalen in een ziekenhuis. In Shanghai werd de Health Code daarnaast gekoppeld aan diverse publieke diensten en ziektekostenverzekeringen.

The New York Times deed in mei 2020 verslag van diverse andere merkwaardige ideeën van lokale overheden om Health Code-apps in te zetten. Zo kon je in Xining, in de provincie Qinghai, met de Health Code bijvoorbeeld kortingscoupons verkrijgen die de lokale economie moesten stimuleren.

Overenthousiast

Dat buitensporig gebruik van de Health Code zorgwekkend kan zijn bleek, toen een overheidsfunctionaris uit Hangzhou een proefballonnetje opliet. In mei 2020 opperde hij het idee om de Health Code van Hangzhou te normaliseren en ook in te zetten voor het monitoren van andere medische gegevens en levensstijl. Vergelijkbaar met een aantal lokale pilots van het sociaalkredietsysteem (die bij ons vaak worden aangezien voor een nationaal systeem) zou de gebruiker plus- en minpunten krijgen op basis van gedrag: 5 pluspunten als je 15.000 stappen loopt en 1 pluspunt als je tenminste 7,5 uur slaapt. 1,5 Minpunt voor het drinken van 200 milliliter baijiu (China’s nationale sterke drank met 50-60% alcohol), 3 minpunten voor het roken van 5 sigaretten. De eindscore zou vervolgens vertaald worden naar een kleur op een schaal. Het idee leverde veel kritiek op en is sindsdien in de ijskast verdwenen. Het was sowieso maar de vraag hoe men aan al die data zou zijn gekomen…

Een ander overenthousiast initiatief was dat van Xi’an’s Jiaotong University. Die school ontwikkelde vorig jaar een hele eigen Health Code-app om de bewegingen van studenten op de campus te reguleren. De school kon namelijk geen data uit de reguliere Health Code-apps ontsluiten en vreesde een uitbraak wanneer geïnfecteerde studenten terug zouden keren naar de campus. Opmerkelijk genoeg werd die ‘eigen app’ door verschillende faciliteiten op de campus niet gebruikt en ontwikkelden enkelen van hen zelfs weer hun eigen apps! En handige studenten ontwikkelden dan weer apps om Health Codes na te maken zodat ze de campus mochten verlaten…

Gold member

In de provincie Shandong kondigde de overheid in maart aan, dat het door middel van een gouden rand rondom een groene QR-code en een icoontje van een schild zichtbaar zou maken of iemand volledig gevaccineerd was. Het zou vooral jonge mensen, die gewend zijn aan ‘achievements’ in video games, moeten aanzetten zich te laten vaccineren. Met het beperkte aantal besmettingen in China wordt er echter zelden nog gevraagd de QR-code te tonen en is dus twijfelachtig of deze aanpak veel nut zal hebben. Toch liet Leo, mijn vriend uit Xi’an, me weten dat ook hij inmiddels de ‘gold member’-status heeft behaald.

Uit deze verschillende voorbeelden is volgens de analyse van Wanshu Cong te zien hoe lokale overheden het momentum van de digitalisatie van de Health Code aangrijpen om meer van hun diensten op een efficiëntere en persoonlijkere wijze uit te kunnen voeren. Dit gaat echter gepaard met een nog grotere controle over de bevolking en individuen. Het treedt bovendien ver buiten de grenzen die de centrale overheid bepaalde voor de Health Code: het faciliteren van verplaatsingen en burgers ontlasten van omslachtige gezondheidscontroles.

Grootste zorg

Maar misschien is buitensporig gebruik van data uit de Health Code door de overheid niet eens het grootste probleem. Beveiliging is een groter zorgenkind. Slecht beveiligde databases en ICT-systemen van lokale overheden vormen in China een groot risico.

In december bleek dat je met een ID-nummer en naam elke Health Code en bijbehorende selfie (die een gebruiker moet maken ter identificatie) kon opzoeken. Deze functionaliteit was oorspronkelijk bedoeld om de Health Code van mensen die zelf geen smartphone hebben te kunnen raadplegen. Alledaagse foto’s en Health Code-statussen van verschillende Chinese beroemdheden circuleerden op het internet en werden daar zelfs verkocht. Het probleem werd uiteindelijk verholpen door een extra verificatiestap in te bouwen, waarbij een gezichtsscan van de betreffende persoon moet worden gemaakt.

En het zijn niet alleen databases van lokale overheden. In mei 2020 werden uit een nationale database 640.000 records met coronavirusdata uit 230 steden gelekt naar Foreign Policy. In het vorige artikel lazen we overigens dat er geen centrale nationale database bestaat voor de Health Code, enkel een soort catalogus met verwijzingen naar regionale databases. China werkt echter wel aan een centraal systeem met burgergegevens genaamd Yitihua, waar de Health Code op termijn onderdeel van uit zou kunnen maken (voor meer informatie, zie dit artikel van Technode).

Robin Li, de CEO van Baidu, die zich eerder onsterfelijk maakte door te beweren dat Chinese burgers hun privacy graag inruilen voor gemak, heeft zich inmiddels ontpopt als voorvechter van bescherming van persoonsgegevens in de Health Code. Li is van mening dat er opt-out mogelijkheden moeten zijn en dat verzameling, opslag en gebruik van gegevens tijdens een pandemie streng gereguleerd dienen te worden.

Conclusie

Terugkijkend op de Health Code van China kunnen we zeggen, dat deze een belangrijke bijdrage heeft geleverd aan het onder controle krijgen en houden van COVID-19 in China. Gezien het doel om de samenleving te openen voor degenen zonder risico is de inzet van de Health Code begrijpelijk en enigszins vergelijkbaar met onze CoronaCheck, alhoewel de impact van de Health Code veel groter was. De strategie van China was dan ook een andere dan in de meeste landen. Waar in Nederland wordt gestuurd op basis van aantal IC-bedden en daarmee de medische capaciteit voor behandeling van reeds ernstig zieke personen, is de aanpak van China altijd gericht geweest op het volledig uitroeien van het virus. Daar was meer data bij nodig om risico’s van individuen te kunnen inschatten en het heeft, zoals ik vorig jaar schreef, niet alleen geleid tot openstellen van de samenleving, maar ook tot ernstige vrijheidsbeperkingen.

De CoronaMelder die in Nederland wordt gebruikt waarschuwt je als je langere tijd een bluetoothconnectie hebt gehad met een positief getest persoon. De Health Code maakt op basis van allerlei verschillende data een inschatting van de kans dat je besmet bent en geeft je bij verhoogd risico een gele of rode kleur met bijbehorende beperking van je bewegingsvrijheid. Geen van beide systemen is perfect.

De CoronaMelder is afhankelijk van het aantal personen dat de app gebruikt; als een besmet persoon de app niet gebruikt en jij wel ontvang je geen waarschuwing, ook al ben je door die persoon besmet. Maar de CoronaMelder beperkt je bewegingsvrijheid niet. De Health Code zal er op zijn beurt met z’n kansberekening vaak naast zitten en dat heeft direct invloed op de vrijheid van de gebruiker. Maar de kans dat een besmet persoon niet geïdentificeerd wordt is weer veel kleiner, omdat vrijwel iedereen de app noodgedwongen gebruikt om in het dagelijks leven bepaalde dingen te kunnen doen. Anders gezegd; de bluetooth contact tracing-apps zullen veel besmettingen missen, terwijl de Health Code veel personen onterecht als risico zal bestempelen.

Gezien de strategie die China gekozen heeft zal men gedacht hebben, dat het doel de middelen heiligde. Maar zoals Wanshu Cong aangeeft in de analyse op de website van Frontier is het lastig de effectiviteit van de Health Code te bepalen als de algoritmes en beslismodellen een ‘black box’ zijn (overigens denk ik persoonlijk dat die beslismodellen waarschijnlijk zeer eenvoudig zijn en meer gebaseerd op ouderwetse voorspellingsmodellen dan algoritmes).

In diverse richtlijnen van de overheid is vastgelegd dat niet meer data verzameld dienen te worden dan strikt noodzakelijk, dat deze alleen voor de beoogde doelstellingen gebruikt mogen worden en uiteindelijk ook verwijderd dienen te worden. In hoeverre dit laatste ook daadwerkelijk zal gebeuren en de (lokale) overheid de data niet voor andere doeleinden zal gebruiken blijft een groot vraagteken. Enkele overenthousiaste initiatieven en proefballonnetjes van lokale overheden doen het ergste vrezen. Het is te hopen, dat de nieuwe wet bescherming persoonsgegevens die later dit jaar wordt ingevoerd in China, sterk lijkt op de Europese GDPR en ook van toepassing is op overheidsorganen, de burger zal beschermen tegen oneigenlijk gebruik van de data achter de Health Code.

De bovenstaande artikelen verschenen op de blog van ChinaTalk: https://www.chinatalk.nl/made-in-china-corona-qr-codes/ , en vervolgens op ChinaSquare: https://www.chinasquare.be/corona-qr-codes-welke-data-gebruikt-chinas-health-code/ en https://www.chinasquare.be/corona-qr-codes-wildgroei-aan-functionaliteiten-van-chinas-health-code-apps/

Ze lijken weer brandend actueel in China en dat blijven ze bij ons.


* Ed Sander is mede-oprichter van ChinaTalk, een organisatie gespecialiseerd in kennisoverdracht over China en met name over e-commerce, cultuurverschillen en digitale innovatie in China. Hij verzorgt over die thema’s lezingen, gastcolleges en trainingen.

Een reactie achterlaten

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *