A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | AA | AB | AC | AD | AE | AF | AG | AH | AI | AJ | AK | AL | AM | AN | AO | ||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | fire | Huisregels: - graag duidelijk onderscheid tussen geverifieerde gegevens en speculatieve - voel je vrij nieuwe kolommen met nieuwe info toe te voegen - informatie voedt oa https://zijndecovidappsalopensource.nl | ||||||||||||||||||||||||||||||||||||||||
2 | Praat mee op codefornl.slack.com #corona-apps kanaal; aanmelden via https://praatmee.codefor.nl/ | |||||||||||||||||||||||||||||||||||||||||
3 | Geïnitieerd door: Henri ter Hofte, source https://codefornl.slack.com/archives/C011R4NCFMJ/p1587132044409300 | |||||||||||||||||||||||||||||||||||||||||
4 | Naam App | Naam consortium | volgorde (tijdstip) pitch za 18-4 | Partner organisaties | Website | App-website | Mogelijke Android APK (pseudo open source ;) | Developer team | broncode app (&backend) | welke licentie heeft app & back-end | is dit een Open Source Software (OSS) licentie? | vermoedelijke technische oorsprong app | welke licentie? | is OSS licentie? | contact detectie | welke technische core (privacy & security) | technische core URL | welke licentie? | is OSS licentie? | issues (nog niet uitgesplitst) | Compatabiliteit met Google/Apple-framework | issue: verwerkt persoonsgegevens op een centrale plek | issue: elke gebruiker krijgt een vast, uniek gebruikersnummer dat de telefoon verlaat | Algemene opmerkingen tav. privacy/persoonsgegevens (waaronder ook MAC-addressen, traces van locatiegegevens vallen) | Offline strategie? | Toegankelijkheid (Visueel beperkt, minder validen, 17 miljoen mensen?) | Inzicht in contacten en mogelijkheid voor wissen van irrelevante contacten | Bescherming tegen Besmettingsbom? | Ondersteunt app mensen die meer dan 1 smartphone hebben voldoende goed? | Automatische Tests (Unit/Integratie) | UX | DPIA openbaar | Rest risico's beheersbaar (DPIA) | Beveiligingsplannen openbaar beschikbaar | Voldoet aan Grip op Secure Software Development met documentatie openbaar | Voldoet aan NEN-75xx-series - onderbouwing of certificering openbaar | Voldoet aan aan ISO-2700X series documentatie of certificering openbaar | Code audit beschikbaar? | Pentest rapportage beschikbaar? | Documentatie voldoen Baseline Informatie Beveiliging Overheid op tenminste niveau BBN2 | Verificatie van correcte toepassing van cryptografie | |
5 | Covid19-alert | Covid19-alert | 3 | Covid19-Alert VZW in oprichting, momenteel bekende betrokken organisaties zijn: Universiteit Antwerpen, Immotef, SmartAR, LUMC (Nell) | covid19-alert.eu | covid19-alert.eu | Backend lead: Kacper Roszczyna, https://github.com/kacper-roszczyna, https://www.linkedin.com/in/kacper-roszczyna-056107119, https://stackoverflow.com/users/6752443/kacper-roszczyna Initiator: Wouter van Hecke, https://www.linkedin.com/in/wouter-v-785a433/ UX: Tom Vanhooreweder, http://tomvanhooreweder.com UX: Simon de Smet https://github.com/simon-made Webdev: Jan Przybysz, https://github.com/john-pr Immotef: https://www.immotef.com/ | Android: https://github.com/covid19-alert/covid19-alert-android https://github.com/covid19-alert/covid19-alert-ios https://github.com/covid19-alert/covid19-alert-api | ik zie dat er inmiddels wat GPL3 licenties zijn toegevoegd, zie b.v https://github.com/covid19-alert/covid19-alert-api/commit/0bf748c8f850697b3da5ae375a2e034888199dee , nog niet in alle repos | https://github.com/noviggo/covid-19-alert (website only) | Bluetooth | - FB tracking pixel op de website zonder consent - Blockchain: for security, confidential(?), SSI(?), How about blockchain's ownership is of the majority, consensus. And what about common rules, i.e. smart contracts? - Wie levert (en betaalt) de rekencapaciteit om de encryptie uit te voeren? - Not-an-issue: audit door KPMG -Code is aanwezig voor het opslaan voor locatie coordinaten, lijkt niet aangeroepen te worden, misschien kan iemand dit verifiëren. Hoort er helemaal niet in thuis" https://github.com/covid19-alert/covid19-alert-android/blob/master/db/src/main/java/com/immotef/db/location/Location.kt https://github.com/covid19-alert/covid19-alert-android/blob/master/db/src/androidTest/java/com/immotef/db/location/LocationDaoTest.kt -Een meet wordt opgeslagen met timestamp. Als ze gedegen keyrotation doen hoeft dat helemaal niet, nu is een zogenaamd anonieme besmetting te herleiden naar een tijdstip: https://github.com/covid19-alert/covid19-alert-android/blob/master/meetrepository/src/main/java/com/immotef/meetrepository/MeetRepository.kt -Slaan ze een "Meet" nu ook op als CheckIsBeaconClose False returned??? https://github.com/covid19-alert/covid19-alert-android/blob/master/meetrepository/src/main/java/com/immotef/meetrepository/MeetRepository.kt#L45 - https://www.rtlnieuws.nl/tech/artikel/5095321/covid19-alert-datalek-crypto-digibyte-coronavirus-ministerie-app | [nklomp]Backend bevat uniek id per persoon; device ids. tijden en locatie in request/responses. Meetings bevatten directe link tussen ids. - iOS app deelt locatie (GPS) met Google Firebase (lijkt een tijdelijk foutje) - Code bevat database van andere app (bijna 200 volledige namen, e-mailadressen en versleutelde wachtwoorden), code inmiddels offline | Deze bevindingen hebben betrekking op de website (de enige code die nu op 18/04 beschikbaar is) Kleurcontrast te laag. Taal van de HTML is 'es' maar aria-labels zijn in het Engels. Hamburgerknop is geen interactief element. In de alt tekst moet naam van bedrijf terugkomen ipv 'logo'. Alle alt teksten kloppen niet. Content niet semantisch gecodeerd, o.a. lijsten zijn geen lijsten, koppen zijn geen koppen (zie ook popu-up). iFrame mist titel. FIeldset heeft geen label. Geen autocomplete op inputs waar het nodig is. Sluit knop van een modal is geen interactief element (geen toetsenbord en geen focus). | Backend/API bevat enkele regels voor testen. Niet serieus te nemen qua testen | |||||||||||||||||||||||||||
6 | DTACT-DIGI.ME-TNO Consortium | DTACT-DIGI.ME-TNO Consortium | 4 (10:22) | Dtact (DutchSec BV https://dutchsec.com/), digi.me, TNO | https://dtact.com https://digi.me | https://covid19.dtact.com https://developers.digi.me | https://developers.digi.me/reference-api | https://dutchsec.com/about/ FTE50, NL, Singapore https://digi.me/team/ FTE60, NL, UK, Bosnia, US, Australie, IJsland, Norwegen | Broncode komt dit weekend beschikbaar (bewering stream 17:12) Op 19/12 zeggen ze dat ze vanmorgen VWS gemaild hebben. Experts hebben tot op heden nog niks gezien, wel tijdens de sessie meermaals gevraagd om ook met experts te delen. Een gestelde vraag was: waarom wordt info niet op tijd met experts gedeeld? Dat is toch raar? | For proximity and other apps yes. Not for routing and consent enabling services. | Digi.me: https://github.com/digime Dutchsec: https://github.com/dutchsec | digi.me in-house | Proximity apps allen open source | Infrastructure MS Azure, cloud processing, federated analysis. Apps bluetooth PxD solutions | https://digi.me/downloads/download-security-presentation.pdf https://digi.me/downloads/Digi.me_Securing_Personal_Data_Executive_Briefing_12032019.pdf | developers.digi.me | n/a on infra; yes on proximity apps | Volgens mij check je zelf in op drukke locaties. Daarna krijg je alerts als daar iemand met vastgestelde covid is geweest. Maar niet op proximity tot die persoon. Gewoon, zoals de GGD het ook doet, als je op die plek was. Omvat zeer brede mogelijkheden voor data opslag/deling (reikwijdte breder dan nodig voor beoogd doel). Gebruiken Cloudflare (dus via VS/UK?) | Oordeel Autoriteit Persoonsgegevens over deze locatiegegevens? Doet er niet toe, want locatiedata verwerken niet compatibel met eis tender - waar Engelse ICO heeft certificaat uitgegeven | Oordeel Autoriteit Persoonsgegevens: een trace van locatieggevens is niet anoniem c.q. moet gezien worden als persoonsgegevens | ||||||||||||||||||||||
7 | Stopp Corona | Accenture B.V. | 1 | Accenture, KPN | accenture.com | https://apkpure.com/stopp-corona/at.roteskreuz.stopcorona | https://www.linkedin.com/in/alexandravdtuin/ | https://github.com/austrianredcross | Apache-2.0 | ja | https://participate.roteskreuz.at/stopp-corona/ verder zie kolom issues | Bluetooth, Ultrasound | http://p2pkit.io/developer/ and/or Google.Nearby | De optie met ultrasoon geluid of een anNee QR code lijkt me niet ideaal. Misschien als toegevoegde check, maar als primaire check niet. | Privacy implicaties van ultrasone afstandbepaling technologie (microfoon actief zorgt voor veel "bijvangst" qua geluid). Is deze oplossing propotioneel vs privacy implicaties? | Telefoonnummer, niet helder waar dit wordt opgeslagen (Volgens stream 13:37 enkel bij besmetting) Telnummer wordt bij besmetting (ter voorkoming van misbruik ) 30 dagen opgeslagen in Azure CosmosDB. Bron: DPIA pagina 26 | In opdracht van het Oostenrijkse Rode Kruis (Duitstalig) | Onbekend. Er staat wel iets over het ontwikkelproces in de DPIA: https://www.roteskreuz.at/fileadmin/user_upload/Bericht_Datenschutz-Folgenabschaetzung_OeRK_StopCoronaAppR1.1_RI_09-04-2020_V1.1_public.pdf#page=84 | ||||||||||||||||||||||||
8 | AlleenSamen | Capgemini B.V. | 2 | De optie met ultrasoon geluid of een anNee QR code lijkt me niet ideaal. Misschien als toegevoegde check, maar als primaire check niet. | capgemini.com | Jasper Hillebrand, https://www.linkedin.com/in/jasper-hillebrand-556400/ Stellen meerdere dingen voor, oa. datgene waar ze 2de plek tijdens HackTheCrisis.nl vorige week wonnen: https://coronacommunitycare.nl/en/initiatives/details/128/smart-quarantine-by-capgemini en doorbouwen op dit als een korte termijn mogelijkheid: https://erouska.cz https://erouska.cz/tym | https://github.com/covid19cz/erouska-android/wiki/Technical-documentation | geclaimd; verwijzing naar app in Tsjechie | https://erouska.cz/audit-kod | MIT | ja | Bluetooth | https://github.com/covid19cz/erouska-android https://github.com/covid19cz/erouska-ios https://github.com/covid19cz/erouska-firebase | https://github.com/covid19cz/erouska-android https://github.com/covid19cz/erouska-ios https://github.com/covid19cz/erouska-firebase | Privacy en open-source (of in ieder geval inzichtelijkheid van code) vind ik het belangrijkste. Dat betekend voor mij al vrij snel dat integratie met bestaande apps snel afvalt. | (Op basis van:: eRouška; aannames! is geen aanname) 1) Centrale database: Google Firebase (ie.niet in eigen beheer) 2) 'Firebase User ID' (FUID) als primaire identifier na registratie via telefoonnr 3) Protocol broadcast random tokens (BUID, Broadcasted User ID), deze worden gegenereerd door Firebase bij registratie en zijn uniek 4) Bij besmetting: uploadt alle gedetecteerde tokens (TUIDs, Transmitted User IDs) => Autoriteit beschikt bij besmetting over telefoonnummers van alle contacten => Autoriteit kan theoretisch passief alle broadcasts herleiden naar een persoonsgegeven (telefoonnummer) (Lijkt qua model dus op BlueTrace/'Sia Partners') - in de expertmeeting 18 april wisten ze geen antwoord te geven op wat de verschillen waren met opentrace, ze komen er 19 april op terug | Telefoonnummer, niet helder waar dit wordt opgeslagen (Volgens stream 13:37 enkel bij besmetting) | [eRouška] Autoriteit kan (theoretisch) passief TUID broadcasts herleiden naar een persoonsgegeven (telefoonnummer) [eRouška] Besmettingsrapportage heeft directe privacygevolgen voor derden | https://www.zoof-it.com/diverse | |||||||||||||||||||||||
9 | ITO app | ITO | 6 (10:35:00) | Privacy en open-source (of in ieder geval inzichtelijkheid van code) vind ik het belangrijkste. Dat betekend voor mij al vrij snel dat integratie met bestaande apps snel afvalt. | ito-app.org https://confluence.ito-app.org/ | ito-app.org | https://github.com/ito-org/react-native-app/releases/latest/download/app-release.apk | https://github.com/ito-org https://github.com/TCNCoalition | GPL-3.0 | https://github.com/ito-org/ | MIT | ja | Bluetooth | TCN | https://github.com/TCNCoalition/TCN andere repository: https://github.com/ito-org/react-native-app | MIT | Bluetooth zie ik ook als beste optie. Al vind ik de vragen over false positives en betrouwbaarheid erg interessant. Daar zouden ze inzicht in moeten geven (tests/kansberekening) en de gevoeligheid goed op moeten afstemmen. | - (nog) geen iOS app?! - Location Based? https://github.com/ito-org/api-download/blob/master/app/persistence/db.py#L16; - timestamp inkomende IDs te nauwkeurig gelogd? (https://tweakers.net/nieuws/166040/experts-corona-apps-kwamen-ondanks-negatief-advies-toch-door-selectie.html?showReaction=14246042#r_14246042) - Log.D die inkomende IDs logged, tweede lokatie waar timestamp wordt opgeslagen. - ito.db file bevat alle gegevens. Encryptie? Hoe voorkomt men dat mensen hun file verwijderen of actief modificeren? <-- waar denk je hiermee tegen te beschermen? File verwijderen kun je moeilijk voorkomen. Uitlezen en aanpassen kun je beduidend moeilijker maken. - is net alsof TCN te vroeg gestopt is - dus niet de laatste 2-3 maand van DP^3T/Google/Apple meegenomen heeft. En niet duidelijk waarom ze dit niet doen. - Design2 van DP^3T zou helpen - Working app? https://github.com/ito-org/react-native-ito-bluetooth/blob/master/ios/ItoBluetooth.m#L10 | Architectuur van TCN vertoont overeenkomsten, maar de implementatie is verre van compatibel Geen statement/plan mbt. het G/A-framework? | Decentraal, enigszins vergelijkbaar met DP^3T qua privacygaranties. Mist de latere verbeteringen die DP-3T aanbracht (zie ook DP-3T whitepaper section 4) Besmettingsrapportage heeft geen directe privacygevolgen voor derden. | Kleurcontrast te laag. Zie bijv. button 'Next' groene kleur, witte achtergrond op screen 'Home-Tour-1'. Knop op 'Home Positief' met rode achtergrond contrast te weining. 'Enter verfication code' is een placeholder in een input zonder label. Een label is nodig. Is de tekst in buttons uppercase met CSS of in HTML? Heeft een 'Refresh' knop tekstalternatief? Kun je die app ook in landscape bekijken/bedienen? | https://www.figma.com/proto/fcDmzECUHFCrem9NBrzZSv/Ito-App?node-id=225%3A245&viewport=994%2C417%2C0.3995259702205658&scaling=scale-down | ||||||||||||||||||||
10 | WelzijnNL | DEUS B.V. | 5 (10:28) | Bluetooth zie ik ook als beste optie. Al vind ik de vragen over false positives en betrouwbaarheid erg interessant. Daar zouden ze inzicht in moeten geven (tests/kansberekening) en de gevoeligheid goed op moeten afstemmen. | deus.ai | https://deus.ai/veelgestelde-vragen-welzijnl/ | https://github.com/DEUS-BV | Op LinkedIn is DEUS klein (5pers). Het lijkt sinds kort te bestaan. Een aantal DEUS mensen werken nog bij het grotere Smartify, dat is dus gelieerd (en de COO heeft een recent Accenture verleden, ook bij onderdeel MobGen, wat oa de betaalapp Tikkie maakte). De makers van de DP3T app (Ubique, en het ETH/EPFL geleide consortium) kent DEUS (nog) niet. Hoe kunnen ze elkaar niet kennen als Ubique commits doorvoerd op de code? 4 van de 5 contributors zijn van Ubique: https://github.com/DEUS-BV/covid19-backend/graphs/contributors, (A: Dat lijkt me de versiegeschiedenis van voor hun fork, feit dat ze dat erin hebben is juist goed, hopelijk mergen ze ook toekomstige commits in hun codebase en wellicht kan men upstream wijzigen van hen terug overnemen) | https://github.com/DEUS-BV/covid19-dp3t-ios https://github.com/DEUS-BV/covid19-dp3t-android https://github.com/DEUS-BV/covid19-backend de backend en app code is geforked van DP-3T, die bevat niet het protocol en BLE. Daarvoor gebruiken ze dus hoofdwaarschijnlijk de ongewijzigde SDK op https://github.com/DP-3T | MPL 2.0 | ja | Dit was de demo app van DP-3T: https://github.com/DP-3T/dp3t-app-android | MPL 2.0 | ja | Bluetooth | DP^3T | https://github.com/DP-3T | MPL 2.0 | waarschijnlijk wel (zie notitie) | -/- | Decentraal (mits strikt gehouden aan DP^3T) | Deze kleur #54BCA7 biedt niet voldoende contrast als achtergrond op knoppen en niet als tekstkleur. De grijze iconen in de footer zijn te licht. De nog lichtere iconen midden op elke scherm (#f8f8f8) voldoen helemaal niet. | ||||||||||||||||||||
11 | Samen Onder Controle | Sia Partners | 7 | Simpelheid van apps vind ik belangrijk P:de bluetooth know-how van DB-3T komt van het bedrijf 3db Access (en ETH/EPFL). | http://www.covid19.navigatingtheaftermath.sia-partners.com | https://github.com/samenondercontrole/ | https://github.com/opentrace-community | GPL-3.0 | ja | Bluetooth | OpenTrace | https://github.com/opentrace-community | GPL-3.0 | ja | initiele user registratie met centrale DB koppelt hard, aan een public identified (telefoon no) en vereist volledig vertrouwen in centrale DB (ook dat deze iet gaat smearen/stuffen/etc) 1) Vereist centrale registratie van telefoonnummers als identifier voor gebruikers 2) Bij een bevestigde besmetting zijn identifiers (telefoonnummers) van contacten bekend bij de autoriteit (zonder tussenkomst van de 'benadeelde') | Geheel incompatible | Telefoonnummer | unieke gebruikersnummer verlaat de telefoon? | Autoriteit kan (theoretisch) passief TempID broadcasts herleiden naar een persoonsgegeven (telefoonnummer). Besmettingsrapportage heeft directe privacygevolgen voor derden | https://www.zoof-it.com/diverse | ||||||||||||||||||||||
12 | PrivateTracer | PrivateTracer | 8 (zie notitie) | open communityproject, met o.a. LUMC, YES!Delft, Milvum, [vul aan svp] | https://www.privatetracer.org/ | https://gitlab.com/PrivateTracer | MIT | ja | eigen ontwikkeling | MIT | ja | Bluetooth | DP^3T (nieuwe versie) | https://gitlab.com/PrivateTracer/dp3t-rust | MIT | ja | nee |
Google Docs encountered an error. Please try reloading this page, or coming back to it in a few minutes.
To learn more about the Google Docs editors, please visit our help center.
We're sorry for the inconvenience.
- The Google Docs Team