Spolehlivost vyhodnocení rizikového kontaktu, tedy hodnověrnost informace, že uživatel upozorněný aplikací na rizikové setkání s nakaženou osobou s ní byl opravdu v rizikovém kontaktu, závisí na dvou hlavních skupinách faktorů:
- parametry prostředí, které jsou pro aplikaci „neviditelné“ (zda uživatelé aplikace při setkání mají roušky, stojí čelem nebo zády k sobě, jsou oddělení plexisklovou přepážkou, apod.)
- technické parametry spolehlivosti měření vzdálenosti na základě Bluetooth signálu u jednotlivých typů mobilních telefonů (ovlivňuje Apple/Google protokol, ale také stav baterie, umístění telefonu na těle uživatele, pohyb uživatele apod.)
Spolehlivost vyhodnocení tedy principiálně nemůže být stoprocentní. Vzhledem k anonymizovanému schématu řešení Apple/Google Exposure Notification navíc nelze identifikované rizikové kontakty prověřit jiným způsobem (nejsou známé informace kdo, s kým, kdy a kde se setkal).
V malém procentu případů proto může docházet jak k mylnému vyhodnocení rizikového kontaktu tam, kde skutečně rizikovým nebyl (falešné pozitivy), tak i k mylnému vyhodnocení kontaktu jako nerizikového tam, kde rizikovým ve skutečnosti byl (falešné negativy). Z pohledu jednotlivce se taková míra spolehlivosti může jevit jako nedostatečná (např. by zbytečně měli zůstávat doma). Z pohledu ochrany veřejného zdraví společnosti jako celku je však pro zastavení šíření nákazy kritické zejména informovat většinu rizikových kontaktů co nejdříve, nezáleží na malém procentu nepřesností.
Technické parametry spolehlivosti měření vzdálenosti záleží primárně na implementaci Exposure Notification API v operačních systémech Google a Apple na jednotlivých typech telefonů. Důležitým faktorem, který ovlivňuje přesnost měření, je počet prováděných měření v čase. Tento parametr zároveň negativně ovlivňuje spotřebu baterie a je tedy předmětem průběžně dolaďovaných kompromisů (v implementaci Google a Apple).
Dále lze spolehlivost ovlivnit nastavením parametrů procesu vyhodnocení rizikového kontaktu ze strany aplikace. Tým eRouška provedl interní testování spolehlivosti vyhodnocení a nastavení parametrů, porovnal jejich nastavení s nastavením publikovaným autory obdobných aplikací v dalších evropských zemích – Německu, Rakousku, Nizozemí a Švýcarsku. Na základě těchto testů a porovnání jsme zvolili počáteční sadu parametrů pro vyhodnocení rizikového kontaktu, které publikujeme na této stránce.
Tým eRouška bude pokračovat v testování nových verzí implementace Apple/Google API v operačních systémech, sledovat zkušenosti z provozu v ČR i ze zahraničních implementací a podle nich optimalizovat parametry vyhodnocení rizikového kontaktu. Zároveň budeme publikovat související informace na této stránce.
Poznámka: Informace na této stránce vychází z dokumentace a zkušeností s použitím Apple/Google Exposure Notification API. S novými verzemi implementace API může Apple a Google popisované chování měnit.
Vyhodnocení rizikového kontaktu
Aplikace, která využívá systém Apple/Google Exposure Notification (jako eRouška 2.0 – dále jen „Aplikace“), vysílá šifrované klíče pomocí technologie Bluetooth Low Energy (LE) a pomocí stejné technologie periodicky skenuje okolí a ukládá si detekované klíče vysílané Aplikací z jiných zařízení. K naskenovaným klíčům Aplikace ukládá sílu jejich signálu, dobu, po kterou kontakt s daným klíčem trval, a datum, kdy ke kontaktu došlo.
Pokud se uživatel Aplikace nakazí koronavirem, může po obdržení autorizačního kódu od hygienické služby odeslat náhodné klíče své Aplikace na server, ze kterého si je následně stáhnou všechna ostatní zařízení, na kterých je Aplikace nainstalovaná. Následně Aplikace na těchto zařízeních porovná, jestli jsou klíče zařízení nakaženého uložené mezi klíči, které naskenovala. Pokud ano, Aplikace vyhodnotí, jestli setkání s nakaženým bylo rizikové.
Za rizikové setkání aplikace eRouška považuje setkání s nakaženým uživatelem na vzdálenost kratší než 2 m po dobu delší než 7 minut.
Za účelem tohoto vyhodnocení Aplikace zkoumá zejména sílu signálu a dobu trvání setkání. Síla signálu se používá pro odhad vzdálenosti zařízení.
Apple a Google průběžně pracují na snížení dopadu těchto omezení a na maximalizaci přesnosti vyhodnocení. V červencovém měření nizozemské aplikace bylo např. zjištěno přes 20 % falešných pozitiv i přes 20 % případů falešných negativ. Obdobné hodnoty byly potvrzeny v červencových proof-of-concept testech týmy eRouška, obdobné hodnoty také publikuje tým německé aplikace Corona-Warn-App, vytvořené v červenci. Od té doby byly publikovány nové verze implementací API, které parametry měření zpřesňují. V Apple/Google API verze 1.6 bylo např. zapracováno porovnání síly signálu, který vysílají jednotlivá zařízení, a pro každé zařízení je stanovena korekce, která se vysílá v rámci šifrovaného identifikátoru a následně používá pro úpravu síly signálu zapsané detekujícím zařízením. Ve verzi iOS 13.6 byl zvýšen počet měření prováděných v čase.
Jako vstupní parametry pro spuštění aplikace eRouška jsme zvolili nastavení německé aplikace Corona-Warn-App, ale používáme novější verze API. Parametry nastavení a způsob jejich použití pro výpočet rizikovosti setkání jsou uvedené níže.
Způsob vyhodnocení
Systém Apple/Google Exposure Notification (“EN”) nabízí následující způsob pro výpočet rizikovosti setkání:
Stanovení nakažlivosti
Standardní epidemiologické šetření, které probíhá mezi pracovníkem KHS a nakaženým uživatelem Aplikace, je nezbytným předpokladem k využití Aplikace v rámci Chytré karantény. V rámci tohoto šetření je možné stanovit den prvních příznaků nakaženého. Pokud nakažený uživatel aplikace souhlasí s odesláním šifrovaných klíčů svého zařízení, pracovník KHS odešle na server rovněž informaci o datu prvních příznaků. Na serveru je potom toto datum připojeno ke klíčům ze zařízení nakaženého.
Na základě data prvních příznaků Aplikace definuje den, kdy lze obecně považovat nakaženého za nakažlivého. Podle současného nastavení je to o dva dny dříve, než se projevily první příznaky (tj. den předcházející dni, který předchází dni, kdy došlo k prvním příznakům).
Pouze setkání, ke kterým došlo ve dnech, kdy byl podle výše uvedeného nastavení nakažený nakažlivým, mohou být vyhodnocena jako riziková setkání.
Stanovení košů rizika
Cílem následujícího nastavení je maximálně se přiblížit žádoucímu stavu, kdy setkání, které proběhlo na vzdálenost kratší než 2 m po dobu alespoň 7 minut, je vyhodnocené jako rizikové, a setkání, kde tyto podmínky splněné nejsou, je vyhodnocené jako nerizikové.
Vývojáři Aplikace stanoví tři hodnoty útlumu signálu, a vytvoří tak čtyři rizikové koše. Útlum signálu (attenuation) je jednotka, kterou je možné měřit ze síly signálu. Čím vyšší hodnota útlumu, tím nižší síla signálu.
- Koš bezprostředního rizika pro hodnoty útlumu nižší, než je nejnižší z těchto tří hodnot
- Koš vysokého rizika pro hodnoty útlumu mezi nejnižší a střední hodnotou
- Koš středního rizika pro hodnoty útlumu mezi střední a nejvyšší hodnotou
- Koš nízkého rizika pro hodnoty útlumu vyšší, než je nejvyšší z těchto dvou hodnot
Vývojáři dále stanoví konstantu (0–250 %) pro každý koš. Doba setkání v minutách v každém koši se pak upraví konstantou daného koše.
Pro stávající nastavení jsme zvolili doporučené nastavení Apple a Google s důrazem na senzitivitu zveřejněné v prosinci 2020. To znamená, že čas strávený v rámci setkání v koši bezprostředního rizika je upraven konstantou 200 % (tj. vynásoben dvěma), čas v koši vysokého rizika má konstantu 100 % (bez dopadu), čas v koši středního rizika má konstantu 25 % a čas v koši nízkého rizika má konstantu 0 % (tj. není vůbec započítán).
Nakonec vývojáři aplikace stanoví hodnotu minimálního rizikového skóre (v minutách). Pokud je celkový čas setkání v minutách přepočtený za pomoci konstant vyšší nebo roven minimálnímu rizikovému skóre, setkání je vyhodnoceno jako rizikové a na zařízení se uživateli zobrazí související upozornění. Pokud je tento celkový přepočtený čas nižší, než je minimální rizikové skóre, setkání je vyhodnoceno jako nerizikové.