Nyhet / 21.04.2020

Folkehelseinstituttets (FHIs) app «Smittestopp» og personvernreglene

Skrevet av Andreas Gard Meyer & Kari Gimmingsrud

FHI lanserte den 16. april 2020 sin smittevernapplikasjon for befolkningen – «Smittestopp». Appen har høstet kritikk fra ulike aktører i Norge, men myndighetene oppfordrer alle til å laste den ned.

Folkehelseinstituttets (FHIs) app «Smittestopp» samler kontinuerlig inn posisjonsdata fra brukere via GPS og Wi-Fi, og benytter Bluetooth for å kartlegge nærkontakt med påvist smittede personer. Formålet er å automatisere og forenkle smittesporing, som i dag foregår manuelt. Samtidig skal aggregerte data brukes til forskningsformål og for å vurdere effekten av smitteverntiltakene.

I denne artikkelen ser vi på enkelte problemstillinger som har kommet frem under debatten om applikasjonen de siste ukene, i lys av personvernreglene.

Nødvendig versus ubegrunnet

Personvernforordningen stiller krav om at det ikke skal behandles personopplysninger utover det som er nødvendig for å oppnå et eller flere definerte formål. FHIs uttalte formål med Smittestopp er for det første å varsle brukere dersom de har vært i nærheten av smittede, og for det andre å analysere hvordan grupper beveger seg i samfunnet, for å vurdere effekten av regjeringens tiltak mot koronaviruset.

For å oppnå dette innhenter smittevernappen posisjonsdata og avstand til andre brukere av applikasjonen i nærheten hvert minutt, og sender dette til en sentral database hver time.[1] I praksis vil derfor FHI ha informasjon om brukerens plassering til enhver tid, uavhengig av om vedkommende er smittet eller har vært i kontakt med smittede.

Det kan spørres om slik masseinnhenting av opplysninger er i samsvar med kravet til dataminimering. I et brev til EU-kommisjonen har EDPB (rådgivende personvernorgan) uttalt at smittesporingsapper ikke krever posisjonssporing av individuelle brukere, og at slik sporing vil bryte dataminimeringsprinsippet.[2] En alternativ løsning kan f.eks. være å begrense datainnsamlingen til positive treff med registrerte smittede. Apple og Google planlegger å lansere en mindre inngripende smittesporingsløsning basert på Bluetooth, men denne løsningen er ikke ventet lansert før i midten av mai.[3]

Samtidig er det viktig å understreke at FHIs formål ikke bare knytter seg til smittesporing. Applikasjonen skal etter forskriften[4] også bidra til å følge smitteutbredelse og vurdere effekt av smitteverntiltak ved overvåking på befolkningsnivå. Slike analyser er trolig ikke gjennomførbare uten mer detaljerte sammenstillinger av enkeltpersoners bevegelsesmønster, men at risikoen for misbruk øker ved detaljert posisjonslogging kan ikke være tvilsomt.

FHI har til NRK uttalt den 16. april 2020 at bruk av lokasjonsdata anses som et nødvendig supplement til Bluetooth blant annet for å validere data før utsending av varsler (for å hindre falske varsler) og spore nærkontakter som man ikke finner ved Bluetooth.

Spørsmålet er om de positive effektene av ønsket forskning overveier ulempene for befolkningen som bruker appen. Mange har fremhevet at omfattende posisjonssporing kan medføre at enkelte kvier seg for å ta løsningen i bruk, og dermed redusere nytten av appen. I skrivende stund har 1,2 millioner nordmenn lastet ned appen.[5]

Sentral versus lokal lagring

Noe av kritikken mot smittevernappen går på at brukernes posisjonsdata og distansen til andre brukere av appen lagres i en sentral skyløsning levert av Microsoft Azure. Blant annet trekkes det frem at andre smittevernapper (herunder løsningen under utvikling av Google og Apple, samt en app som brukes i Singapore) kun sporer nærkontakt med Bluetooth, og lagrer informasjon lokalt på mobiltelefonen frem til smitte bekreftes. Flere hevder dette er tilstrekkelig for å gjennomføre smittesporing og varsling.

Utviklerne bak Smittestopp har på sin side fremhevet at Bluetooth-baserte applikasjoner må være i forgrunnen for å regelmessig kunne sende og motta signaler fra andre brukere på Apple-telefoner. Dette kan føre til at det oppstår blindsoner i smittesporingen, som begrenser nytten av applikasjon.[6] Også her er det et poeng at FHIs forskningsformål kanskje ikke vil kunne gjennomføres ved desentraliserte løsninger, men hvilke alternative muligheter som har vært vurdert er i liten grad offentliggjort. I FHIs vurdering av personvernkonsekvenser (DPIA) er det – foruten analyseformålet – lagt vekt på at sentral lagring og sammenstilling gir høyere nøyaktighet og raskere varsling av positive smittetreff.

EDPB har lagt til grunn at både sentraliserte og lokale løsninger er gyldige alternativer, men understreker at en desentralisert løsning i større grad er i tråd med dataminimeringsprinsippet.[7]

Personopplysning versus anonymisert data

Terskelen for at datasett regnes som personopplysninger er lav. Enkelt forklart gjelder personvernregelverket dersom det finnes midler en behandlingsansvarlig kan ta i bruk for å identifisere personer utfra gitte opplysninger.

Det er derfor ikke tvilsomt at opplysninger i smittevernappen vil omfattes av personvernregelverket. Opplysningene vil riktignok knyttes til en sky-ID når de lastes opp i skyen, som ikke nødvendigvis sier noe om enkeltpersonen opplysningene tilhører. Men ID’en er etter det vi forstår bundet til brukerens telefonnummer, hvilket klart kan benyttes til identifikasjon (dataene er pseudonymiserte, ikke anonymiserte).[8] I den grad datasett om smitte eller kontakt med smittede lagres, vil opplysningene også regnes som helsedata som er underlagt strengere bestemmelser.

En ekspertgruppe har konkludert med at appens bruk av permanente og enhetsspesifikke identifikatorer mellom brukere potensielt åpner for å utlede andres identitet eller smittestatus.[9] En slik situasjon vil i praksis regnes som en uautorisert tilgjengeliggjøring av persondata, potensielt av sensitiv natur. Ekspertgruppen anbefalte FHI å implementere tidsbegrensede identifikatorer, men utfra FHIs DPIA er det ikke klart om dette ble implementert.[10]

I tillegg er det en utfordring at appens varslingssystem potensielt også kan identifisere og dermed utlevere informasjon om enkeltpersoners helse (at han/hun er smittet av covid-19). I personvernerklæringen – som alle brukerne må akseptere – fremgår det at FHI ikke kan utelukke at andre kan forstå at du er blitt smittet.[11]

Vi vet foreløpig lite om hvordan viderebruk av appdata til forskning og analyse vil fungere i praksis, men FHI har lagt til grunn at bare anonymisert data vil hentes ut til slike formål.[12] Av FHIs DPIA fremgår det at anonymiseringsprosessen ikke er ferdigstilt på nåværende tidspunkt.[13] Her er det imidlertid grunn til å være oppmerksom på at posisjonsdata i seg selv kan avsløre hvem personen er uten andre identifiserende faktorer, f.eks. ved at posisjonen hvor en person oppholder seg mest sannsynligvis er personens hjem. Om det i det hele tatt er mulig å sikre full anonymisering av datasettet for forskningsformål, må vurderes nærmere.

Hvem har tilgang til opplysningene?

Formålene med appen vil begrense hvem som kan få tilgang til opplysningene som samles inn. Det fremgår av appens personvernerklæringen[14] at personopplysningene kun vil behandles av FHI, men appens vurdering av personvernkonsekvenser er lite konkret hva gjelder sikkerhetsmekanismer for å sikre tilgang basert på tjenstlig behov.

Forskrift om digital smittesporing åpner for at personopplysninger kan behandles for andre formål hvis det følger av lov eller etter samtykke fra den registrerte. Det er presisert at personopplysningene ikke kan benyttes for å kontrollere om enkeltpersoner overholder råd eller pålegg. Helseopplysninger eller lokasjonsdata kan heller ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere selv om den registrerte samtykker. Personopplysningene kan ikke utnyttes kommersielt.

Etter personvernforordningen vil det være ytterligere begrensninger på muligheten til å bruke opplysningene til andre/nye formål, blant annet krav om samtykke eller lovgrunnlag som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn. Disse reglene går foran hva som eventuelt følger av norsk lov og forskrift. Friheten til å fastsette formål ved lov er ikke ubegrenset.

Åpen versus lukket kildekode

FHI har besluttet at kildekoden bak smittevernappen ikke skal gjøres offentlig tilgjengelig. Flere reagerer på at dette svekker åpenhetsprinsippet, og muligheten for å avdekke sikkerhetshull i applikasjonen. Slike sikkerhetshull kan i tillegg til uautorisert tilgang, føre til falske negative eller positive treff. EDPB anbefaler på sin side offentlig tilgjengelig kildekode, «for the widest possible scrutiny by the scientific community».

Simula hevder derimot at åpen kildekode vil kunne misbrukes av ondsinnede aktører, og at positive effekter av åpen kildekode først merkes etter lang tid.[15] FHI gjennomførte i stedet en testing av applikasjonen av en uavhengig ekspertgruppe. Vi har tidligere i artikkelen vist til deres foreløpige rapport, som avdekket sikkerhetsmessige utfordringer ved appen. Den endelige rapporten er ventet i nær fremtid. I følge FHI har flere av de anbefalte tiltakene i rapporten blitt innført[16].

Frivillighet versus tvang

Noe de aller fleste synes å være enige om er at det skal være frivillig å ta appen i bruk. Dette er også en forutsetning i hjemmelsgrunnlaget for smittevernapplikasjonen. Samtidig understreker EDPB i sitt brev til EU-kommisjonen at maksimal effekt bare vil oppnås hvis størst mulig andel av befolkning benytter smittevernappen. For å sikre dette må befolkningen ha tillit til myndighetene, noe som bl.a. kan oppnås ved å overholde personvernprinsippene og være åpen med behandlingen av opplysningene. At 1,2 millioner nordmenn har lastet ned appen i skrivende stund kan tyde på at FHIs mål om at 50% av befolkningen laster ned appen er oppnåelig.

Hva skjer videre?

Appen ble lansert den 16. april 2020. Nærmere forståelse og erfaring med appen vil vi få i løpet av de neste ukene. Datatilsynet har uttalt at tilsynet forventer å få klager på appen og vil følge med på den.[17] Mer informasjon vil etter hvert tilgjengeliggjøres på Datatilsynets sider www.datatilsynet.no.

[1] Utvikler Simula om smittevernappen
[2] EDPBs brev til EU-kommisjonen s. 2
[3] https://www.nrk.no/norge/google-og-apple-vil-ha-myndigheter-med-pa-smittesporing-uten-overvaking-1.14982492
[4] Forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19 (FOR-2020-03-27-475)
[5] https://www.nrk.no/tromsogfinnmark/far-ikke-bruke-smitteapp-1.14987585
[6] Utvikler Simula om smittevernappen
[7] EDPBs brev til EU-kommisjonen s. 3
[8] Foreløpig rapport fra ekspertgruppe, s. 3.
[9] Foreløpig rapport fra ekspertgruppe, s. 4.
[10] FHIs vurdering av personvernkonsekvenser
[11] https://www.fhi.no/sv/smittsomme-sykdommer/corona/bruk-av-smittestopp/#personvernerklaering pkt. 2
[12] https://www.fhi.no/nyheter/2020/appen-smittestopp-skal-bli-trygg-i-bruk/
[13] FHIs vurdering av personvernkonsekvenser, s. 7.
[14] https://www.fhi.no/sv/smittsomme-sykdommer/corona/bruk-av-smittestopp/#personvernerklaering
[15] https://www.simula.no/news/digital-smittesporing-apen-kildekode
[16] FHI 14. april 2020 https://www.fhi.no/nyheter/2020/flere-tiltak-innfort-i-app-losning/
[17] Artikkel NRKbeta 16. april 2020

Young hipster using a mobile phone