Folkehelseinstituttet (FHI), regjeringen og app-utvikler Simula for kritikk for ikke å ha prioritert hensynet til personvern i utviklingen av den nye appen som skal identifisere korona-smittede.

Foto

Terje Pedersen / NTB scanpix

Vil ha strengere krav til personvern i utviklingen av korona-app

Publisert: 1. april 2020 kl 14.01
Oppdatert: 1. april 2020 kl 19.13

Sist fredag uke gikk regjeringen ut med den nye forskriften for utviklingen av en ny app som skal spore hvordan smitten av Covid-19 sprer seg. Appen utvikles av det norske teknologiselskapet Simula på oppdrag fra Folkehelseinstituttet (FHI).

Ifølge forskriften skal appen kun skal brukes i den ekstraordinære situasjonen landet nå befinner seg i.

  • Informasjonen som samles inn og er tilgjengelig for myndighetene skal slettes etter 30 dager. Kun forskningsdata der individer ikke er identifisert lagres lenger.

  • Har du vært i nærheten av en person som er blitt smittet med Covid-19, får du et varsel i appen.

  • Håpet er at informasjonen som samles inn om smittemønstre sørger for en raskere nedtrapping av smittevernstiltakene som hittil er iverksatt.

  • Det er frivillig å bruke appen, men 60 prosent av befolkningen bør bruke den for at den skal fungere godt.

– Åpen kildekode bør være er et minstekrav

Flere teknologer og jurister har likevel pekt på det de mener er manglende sikkerhet og krav til individets rettigheter til personvern i denne app-en. Det er spesielt to punkter som trekkes frem:

  • Et krav om at appens kildekode bør være åpen fordi det åpner for muligheten til omverdenen om å avsløre feil og mangler ved den.

  • At dataene som samles inn lagres hos den enkelte bruker og ikke sentralt hos myndighetene slik det nå er tenkt.

– Et minstekrav til en slik app bør være at kildekoden er åpen. Det gir ingen garantier for sikkerhet, men det gir omverdenen adgang til å se hvordan den fungerer, med mulighet til å påpeke feil og sikkerhetshull. Det skaper også tillit. Dette er et normalt krav til slike apper, sier høyesterettsadvokat Jon Wessel-Aas, som er en av Norges fremste advokater innen personvern.

Saken fortsetter under annonsen

Foto

Jon Wessel-Aas reagerer på manglende krav til personvern i ny korona-app. Tidligere har han blant annet vært prosessfullmektig på vegne av Norsk Redaktørforening, Norsk Presseforbund og Norsk Journalistlag trådte inn som partshjelpere i saken Edward Snowden hadde anlagt mot den norske stat ved Justisdepartementet i 2016. Foto: Gorm Kallestad / NTB scanpix

At hvem som helst kan avsløre sikkerhetsbrister er en stor fordel, mener han. Det finnes flere eksempler på dette i praksis: Det sveitsiske postvesenet har ansvaret for å utvikle en løsning for digitale valg. Da de valgte å legge kildekoden åpen og offentlig i fjor, tok det bare et par dager før sikkerhetseksperter hadde oppdaget viktige feil i protokollene som skulle sørge for at de digitale stemmene ikke kunne manipuleres.

Må desentralisere data

Wessel-Aas reagerer dessuten på at personopplysningene lagres sentralt hos myndighetene. Ettersom appens formål først og fremst er å varsle enkeltindivider om smitte, er sentral lagring unødvendig, påpeker han.

– Tilsvarende smittevarsling kan oppnås selv om data lagres lokalt på den enkelte brukers terminal. Det krever bare en annen innretning på hvordan sporing og varsling gjennomføres, sier Wessel-Aas.

Det vil i praksis føre til at det kun er hver enkelt bruker som får tilgang til informasjonen om at de kan ha vært utsatt for smitte. Myndighetene må altså ha fysisk tilgang til app-brukernes telefon for å hente ut data om bevegelsesmønster og hvem som har vært i kontakt med hvem. I flere andre land har man tatt i bruk denne modellen: Wessel-Aas peker blant annet på Singapore som eksempel.

I Singapore har de lansert appen med navnet TraceTogether som kun bruker Bluetooth for å registrere avstand mellom brukere, og ingen data lagres sentralt hverken hos myndigheter eller andre aktører. Den norskproduserte appen utviklet av Simula har benyttet å bruke GPS i tillegg til Bluetooth – en løsning som muliggjør at dataen lagres sentralt.

Saken fortsetter under annonsen

Et minstekrav til en slik app bør være at kildekoden er åpen. Det skaper tillit.

Fristende makt

Wessel-Aas påpeker også at sentral lagring bygger opp under en viss risiko for det som på juristspråket heter «fomålsutglidning». Selv om myndighetene er klare på at dataene skal slettes etter 30 dager og at dette er en uttalt unntakssituasjon, finnes det eksempler på at det ikke alltid overholdes.

Personvernsaktivist og varsler Edwards Snowden rettet nylig oppmerksomhet mot den samme problemstillingen i en videodebatt han deltok i under en stor filmkonferanse i Danmark: «Når vi ser en kriselov bli innført har det med å bli hengende igjen. Krisesituasjonen utvides. Myndighetene blir vant til å ha makten og begynner å se fordelene ved det også etter at krisesituasjonen er over».

Lignende problemstillinger rundt «formålsutglidning» er noe Wessel-Aas har problematisert før, blant annet i forbindelse med bruken av DNA-registeret i farskapssaker.

– Denne saken burde ha vært ute på høring, slik at man kunne få slike og andre innspill fra omverdenen før forskriften og appen ble endelig utformet. Da kunne man kanskje få en app som folk faktisk kunne og ville bruke, til alles beste. Det er ikke for sent, sier Wessel-Aas.

Simula: – Bra at kritikerne stiller spørsmål

Saken fortsetter under annonsen

Viseadministrerende direktør Kyrre Lekve i Simula har forståelse for de kritiske innvendingene, men forteller at en av årsakene til at Simula i samråd med regjeringen og FHI har valgt en modell for sentral lagring handler om at de mange fordelene.

Foto

Kyrre Lekve i Simula mener valgene om lukket kildekode og sentral lagring er tatt med tilstrekkelige hensyn til personvern og sikkerhet forøvrig. Foto: Simula

I tillegg til å være en app for smittevarsling, er hensikten også at de innsamlede dataene kan bidra til epidemiforskning rundt hvordan Covid-19 sprer seg.

– Det er nyttig på både kort og lang sikt. La oss si at man for eksempel åpner barnehager og grunnskoler. Da kan man umiddelbart samle informasjon som viser om det blir flere eller færre nærkontaktmøter, altså at folk er mer sammen over lenger tid. Dersom man ser en dramatisk økning vil myndighetene kanskje tenke seg om på nytt og raskt se om de har sluppet opp for mye, sier Lekve.

Han legger til at det også er svært nyttig med slike data når det gjelder forskning på lang sikt.

Simula vil heller ikke åpne kildekoden, selv ikke i en begrenset tidsperiode. Vurderingen er at det på kort sikt vil svekke sikkerheten.

– Vi kommer ikke til å gå inn for en åpen kildekode på nåværende tidspunkt. Det er fordi vi prioriterer sikkerhet på kort sikt. Vi vet at en åpen kildekode, som inviterer til at folk der ute kan sjekke sikkerhetsbrister og varsle om hull, kan være veldig nyttig på lang sikt. Men akkurat nå vil vi ikke åpne kildekoden fordi det vil gi en fordel til aktører som kan være interessert i å skade oss, sier Lekve.

Saken fortsetter under annonsen

Teknologien bare skal brukes i denne situasjonen og til dette formålet. Det er viktig for oss

Hva tenker du om at teknologien kan brukes eller misbrukes i andre situasjoner? Hva er vitsen med å utvikle ny teknologi hvis den bare skal brukes i et begrenset tidsrom?

– Blant annet vil det jo gjør det mye raskere å tilby en sånn løsning på nytt. Men det har vært veldig tydelig både fra vår side og fra regjeringens side at denne teknologien bare skal brukes i denne situasjonen og til dette formålet. Det er viktig for oss. Vi vil ikke at politiet eller etterretningstjenesten skal styre disse dataene. Der er vi helt enig med de som har heist disse flaggene, sier han.

– Vi har nok ikke tenkt på alt, men vi følger dialogen fortløpende og vi tar også til oss kritikk. Jeg synes det er bra at folk stiller spørsmålstegn rundt sikkerhet og personvern.