Ekspertgruppe skal vurdere sikkerheten til smittesporingsapp
Som en del av arbeidet med sikkerheten rundt en ny app for smittesporing fra Folkehelseinstituttet, har Helse- og omsorgsdepartementet oppnevnt en uavhengig ekspertgruppe.
Gruppen får tilgang til kildekoden for gjennomgang og vurdering av eventuelle sårbarheter som må lukkes.
Regjeringen skriver at de håper at dette vil bidra til å øke kvaliteten og gjøre appen enda tryggere. Appen skal være frivillig å laste ned og bruke, og alle persondata blir slettet etter 30 dager.
For å sikre uavhengighet har departementet bedt IKT-Norge foreslå medlemmene i ekspertgruppen.
Medlemmene er fra akademia og næringsliv og gruppen ledes av Jeanine Lilleng, CTO og COO i MazeMap.
Strengere krav til personvern
Advokat Jon Wessel-Aas har tidligere uttalt til Dagens Perspektiv at den nye smittevernsappen til Folkehelseinstituttet (FHI) stiller ikke gode nok krav til personvern.
Flere teknologer og jurister har pekt på det de mener er manglende sikkerhet og krav til individets rettigheter til personvern i denne app-en. Det er spesielt to punkter som trekkes frem:
Et krav om at appens kildekode bør være åpen fordi det åpner for muligheten til omverdenen om å avsløre feil og mangler ved den.
At dataene som samles inn lagres hos den enkelte bruker og ikke sentralt hos myndighetene slik det nå er tenkt.
– Et minstekrav til en slik app bør være at kildekoden er åpen. Det gir ingen garantier for sikkerhet, men det gir omverdenen adgang til å se hvordan den fungerer, med mulighet til å påpeke feil og sikkerhetshull. Det skaper også tillit. Dette er et normalt krav til slike apper, sa høyesterettsadvokat Jon Wessel-Aas, som er en av Norges fremste advokater innen personvern til Dagens Perspektiv forrige uke.
Rette feil og sårbarheter
Ekspertgruppen skal i første omgang levere enn rapport om kildekoden og sikkerhet torsdag 9. april. Simula vil fortløpende rette opp eventuelle feil og sårbarheter som vil bli oppdaget i gjennomgangen.
Arbeidet med å utvikle applikasjonen er basert på forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19. Forskriften regulerer behandling av personopplysninger, herunder tilgang til og sletting av opplysninger, og informasjonssikkerhet.
Departementet understreker at sikkerhet har høyeste prioritet i utviklingen av appen.
Folkehelseinstituttet har løpende dialog med Datatilsynet gjennom utviklingsperioden. I tillegg har Simula eksterne leverandører spesialisert på sikkerhet som går gjennom både koden og løsningen.
Simula har selv foreslått en gjennomgang av kildekoden av en ekspertgruppe som nevnt over, og dette støttes av Folkehelseinstituttet.