5. Slik utfordrer Smittestopp kildevernet og personvernet

-

Kan avdekke kildekontakt

Dersom en person som har installert appen, får bekreftet koronasmitte, vil alle andre som har appen få et varsel dersom de har vært i nær kontakt, for eksempel tettere enn to meter på denne personen i mer enn 15 minutter i løpet av den siste tiden. Dersom en journalist som blir smittet har hatt et fortrolig møte med en kilde vil vedkommende bli identifisert og kontaktet av myndighetene. Hvis en journalist har kildemøte med en fortrolig kilde, og en tredjeperson i umiddelbar nærhet av disse viser seg å være smittet, kan myndigheter også gjennom påfølgende smittekartlegging sannsynliggjøre en kontakt mellom kilde og journalist gjennom «overskuddsinformasjon».

Fra myndighetene har det vært påpekt at man da – hvis man kommer i en situasjon med fortrolig kildekontakt – enkelt kan slå av lokasjonen på appen. Men det vil kunne oppstå situasjoner der man først i etterkant vil forstå hvor sensitiv informasjon man fikk fra kilden.

Fare for nedkjølende effekt

Det er også naturlig å være oppmerksom på at nettopp det at det skapes usikkerhet rundt at myndighetene vil kunne ha tilgang til kildesensitiv informasjon, vil kunne ha en nedkjølende effekt på medienes tilgang på kilder. Medienes omdømme er helt avhengig av at publikum skal være overbevist om at de kan kontakte og kommunisere med en journalist uten å risikere bli overvåket av myndighetene eller å bli avslørt som kilde.

Utviklet på rekordtid

Smittesporingsappen er utviklet på svært kort tid, med en type teknologi som forbindes med regimer og samfunn vi ikke liker å bli assosiert med. Dette er påpekt av flere instanser, også den nedsatte ekspertgruppen i deres foreløpige rapport. «Denne lukkede hurtigtogsbehandlingen er en svært dårlig start for myndighetenes nye virkemiddel i kampen mot coronaviruset», skrev Dagbladet på lederplass 31. mars

Innsamling og lagring av data i bulk

Enhver form for innsamling av person- og lokasjonsdata i bulk, uten forhåndsvurdering og uten et klart formål knyttet til den enkelte innsamling utgjør et potensielt personvern- og kildevernproblem. Når denne typen informasjon blir lagret i så stort omfang øker det attraksjonsverdien for dem som har andre hensikter enn det som er poenget med innsamlingen.

Personvernrådet i EU mener smittesporingsapper som samler inn posisjonsdata opererer i strid med prinsippet om dataminimering. Dataminimering innebærer å velge den fremgangsmåten som er minst mulig inngripende, og som bare samler inn akkurat de persondataene som behøves for å oppfylle et formål. Les mer her. Programutvikler Patricia Aas fra it-selskap, Turtlesec, med spesielt fokus på personvern og sikkerhet, uttaler til Dagens Næringsliv 14. april: Det er attraktivt for en statlig aktør å ha fullstendig oversikt over alle bevegelsene til den norske befolkning.

Sentral lagring av data

At FHIs løsning forutsetter at alle sporingsdataene som appen samler løpende på den enkeltes telefon skal overføres til og lagres sentralt, på en server som myndighetene kontrollerer, er ett grunnleggende problem som er reist både av jurister og teknologer – blant annet av advokat Jon Wessel-Aas i en kronikk i VG 2. april. Det finnes andre alternativer enn sentral lagring av data. Sør-Korea har benyttet en app i sitt smittesporings-arbeid der alle personlige geo, og identifiserende data blir liggende i telefonen. De sensitive opplysningene deles verken med operatør, app-eier eller myndighetene.

Det samme gjelder initiativet fra Apple og Google som ble kjent i begynnelsen av april. Den nye løsningen til IT-gigantene baserer seg utelukkende på Bluetooth, og den innsamlede informasjonen lagres stort sett kun på brukerens egen telefon, noe som blir vurdert som en mindre personvernsinngripende løsning. Les mer her.

Den norske løsningen er langt mer invaderende, fordi den en gang pr time flytter dataene fra telefonen til et sentralt lager med den risikoen dette kan innebære. Slik forklarte FHI-direktør Camilla Stoltenberg valget av en sentral løsning under lanseringen av Smittestopp-appen 16. april:   - Grunnen til at vi har valgt en sentral løsning, er at det åpner for muligheten til å følge utviklingen av pandemien gjennom bevegelsesmønstre i befolkningen. Uten denne sentrale lagringen ville ikke dette vært mulig. Med sentrallagringen blir kontaktsporingen i tillegg mer nøyaktig og vi kan raskere varsle personer som har vært i nærkontakt med en som har vært smittet.

Innsamling til flere formål

FHI har bestemt at appen skal ha et tilleggsformål: Foruten å drive smittesporing, skal den også brukes til å måle effekten av samfunnstiltak, gjennom at man studerer og forsker på de aggregerte dataene på befolkningsnivå. Anonymiserte data fra appen om hvordan folk beveger seg, og hvor mange de møter vil bli brukt i arbeidet med å utforme effektive smitteverntiltak. Informasjonen vil bli analysert for å få vite mer om hvorvidt folk og grupper holder avstand til hverandre, omfanget av nærkontakter og om de smittede får flere nærkontakter når restriksjonene lettes. Data fra appen vil også bli brukt til forbedring av modellene som beregner den videre utviklingen av utbruddet.

I møte med FHI 23. april, fikk NR opplyst at løsningen for anonymisering av dataene ikke er klar ennå. Selv om man fjerner informasjon om telefonnumre og ID-en den enkelte bruker har i systemet, vil nøyaktige lokasjonsdata i mange tilfeller langt på vei kunne fortelle hvem dette er. FHI er oppmerksom på denne utfordringen og har erfaring fra anonymisering av pasienter med smittsomme sykdommer i datasett. På spørsmål om dette opplyser de at det jobbes med løsninger som flytter lokasjoner eller aggregerer data på en måte som gjør at det ikke er mulig å identifisere enkeltpersoner i etterkant. Dette er svært viktig for å sikre kildevernet.

Programutvikler Patricia Aas har også problematisert dette. Til Dagens Næringsliv 14. april påpeker hun at det man vanligvis designer for sikkerhetsmessig, er å lagre akkurat så mye informasjon du trenger for den oppgaven du skal utføre. I smitteappen er det annerledes, mener hun:

Her blander man sammen to forskjellige ting: På én side vil man spore opp folk du har vært sammen med, i tilfelle du har vært smittsom. Det er én ting. Problemet er at man blander det sammen med forskning om hvordan folk beveger seg. Det er to helt forskjellige ting.

Også ekspertgruppen som har vurdert appen har kommentert dette: «Ved å gi brukere en mulighet til å bruke appen til kun smittesporing, vil gjerne brukere oppleve større kontroll på egen data», heter det i ekspertgruppens foreløpige rapport.

Folkehelseinstituttet har signalisert at de i senere versjoner vil vurdere om tillatelse for de ulike formålene (kartlegging av bevegelsesmønster og smittevarsling) kan deles opp, og om lokaliseringsdata eventuelt kan erstattes av blåtannteknologi. 

Fare for formålsutglidning og lekkasjer

I forskriftens § 4 heter det at «personopplysninger i sporingssystemet kan bare behandles for formålene som nevnt i § 1, med mindre annet følger av lov eller etter samtykke fra den registrerte. Personopplysningene kan ikke benyttes for å kontrollere om enkeltpersoner overholder råd eller pålegg. Helseopplysninger eller lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere selv om den registrerte samtykker. Personopplysningene kan ikke utnyttes kommersielt.»

Flere uavhengige eksperter mener likevel at muligheten er stor for en formålsutglidning i en gitt situasjon er stor, eksempelvis i forbindelse med en alvorlig kriminell handling, og at dette kan åpne for at alle opplysningene i appen blir brukt til noe helt annen enn det opprinnelige formålet. Advokat Jon Wessel-Aas trakk fram den såkalte DNA-kjennelsen som et eksempel på formålsutglidning. I medieorganisasjonene vet vi også at det fort kan bli press på de som sitter på dataene og forsøk på å etablere formelle unntakshjemler som likevel vil innebære en formålsutglidning.

Også Norges institusjon for menneskerettigheter (NIM) påpeker i et brev til FHI og Helse- og omsorgsdepartementet 17. april at det synes «noe uklart» hva som er behovet for formuleringen «med mindre annet følgerav lov eller etter samtykke fra den registrerte» i forskriftens § 4.  NIM anbefaler «at et eventuelt tiltenkt bruksområde, det vil si andre lovhjemler som skal kunne danne grunnlag for tilgang til opplysningene, i så fall tydeliggjøres i forskriften.»

Manglende åpenhet om kildekoden

Folkehelseinstituttet og Simula er blitt kritisert av mange for ikke å offentliggjøre kildekoden for appen. Dagbladet skriver på lederplass 31. mars«Åpen kildekode regnes som standard for å sikre åpenhet, og gir mulighet for kompetente miljøer til å påpeke hull og mangler». Og legger til at «lydighet i et land som Norge oppnår du bare ved å vise åpenhet og gi gode forklaringer.»

Teknologiskribent Sigve Indregard problematiserte dette i Agenda Magasin 30. mars:  «Det eneste som kan sikre tilliten til en app som dette, er at all informasjon om infrastruktur og all kildekode kan bli gjennomgått av borgerne. Alt annet vil gi inntrykk av at det er noe å skjule».

Simula forklarer manglende åpenhet om kildekoden slik: Hensynet til sikkerhet og personvern tilsier at det for øyeblikket ikke er klokt å dele kildekoden til appen åpent. Les mer her

Fare for hacking og svindel

Den type personopplysninger som appen Smittestopp samler inn er meget attraktive å få tilgang på. Det at hver telefon får sin unike ID i systemet gjør det enklere for hackere å følge enkeltbrukere.

Kort tid etter lansering av appen hadde datautvikler Hallvard Nygård laget et eget sporingsprogram til sin mobiltelefon som lytter etter signalene som Smittestopp-appen sender til andre telefoner i nærheten. Det utgjør en potensiell sikkerhetsrisiko for regjeringsmedlemmene, som nesten alle lastet ned appen umiddelbart. VG omtalte saken 19. april. Ifølge FHI jobbes det med en løsning slik at appen sender med ulike id-er slik at dette ikke lenger vil være en aktuell problemstilling. Det tok 10 minutter for NRK å sette opp et system som sender ut falske sms-varsel fra Smittestopp, ifølge en artikkel publisert 20. april.

 

Les mer om Smittestopp og personvern her:

Datatilsynet følger utviklingen av Smittestopp-appen nøye. De har gitt veiledning til både Folkehelseinstituttet og Helse- og omsorgsdepartementet i utviklingsarbeidet, slik at appen i størst mulig grad skal harmonere med prinsippene i personvernforordningen. 27. april ble det klart at Datatilsynet starter kontroll av Smittestopp-appen.

– Vi har fått inn flere henvendelser som viser at det er mange spørsmål om appen. Det ser vi også i det offentlige ordskiftet. Spørsmål om formål, hva dataene faktisk skal brukes til, nytteverdi og tekniske innretninger er gjengangere. Det er store forventninger til hva Datatilsynet nå skal gjøre, uttalte direktør Bjørn Erik Thon.

Her er Datatilsynets spørsmål og svar-sider om korona, der flere spørsmål om Smittevern-appen besvares. Datatilsynet er positive til at det brukes apper og annen type teknologi for å bekjempe pandemien – og i siste instans bidra til å redde liv, men har samtidig understreket at alle personverninngripende tiltak må være nødvendige, egnede og forholdsmessige.

Også Norges institusjon for menneskerettigheter (NIM) har fulgt utviklingen av Smittestopp-appen med stor interesse. I et brev til Helse- og omsorgsdepartementet og Folkehelseinstituttet fra 17. april understreker de at et hovedperspektiv fra deres side er at appen formodentlig vil kunne bidra til at andre inngrep i beskyttede menneskerettigheter, begrenses. Men samtidig minner de om at «det til enhver tid må foretas vurderinger av om tiltaket ivaretar minste inngreps prinsipp, og ikke minst omringes av gode rettsikkerhetsmekanismer.»

EU-kommisjonen har utarbeidet en verktøykasse med felles veiledning om smittesporingsapper. Sterke personverngarantier er imidlertid en forutsetning, sa kommisæren for det indre marked, Thierry Breton, da han lanserte verktøykassen 17. april.

Eksperter innen personvern-teknologi og kryptografi fra hele verden gått sammen om et opprop mot inngripende smittesporingssystemer som rulles ut i flere land. Over 280 eksperter fra sentrale forskningsmiljøer innen feltet i 26 land har signert. – Vi er bekymret for at noen av «løsningene» for krisen kan muliggjøre et omfang av overvåking av samfunnet som man aldri før har sett, skriver de i oppropet, omtalt av NRK 20. april.

Tilbake til hovedsiden til veilederen