Simula har, sammen med FHI, fra starten prioritert sikkerhet og personvern svært høyt i utviklingen av appen.
Ulike varianter av dette sitatet finner vi mange intervjuer om Smittestopp. Politikere, helsebyråkrater og utviklerne forsikrer at sikkerhet og personvern er ivaretatt. Kontrasten til Smittestopp-havariet er oppsiktsvekkende. Hvordan kan dette forstås?
Personvern og Smittestopp
Den primære årsaken er en grunnleggende mangel på forståelse for personvern. Spørsmål og innsigelser om personvern besvares med utsagn om at sikkerheten er ivaretatt. Men personvern er noe annet - og mye mer - enn sikkerhet.
La oss se på årsakene til at Datatilsynet la ned forbud mot behandling av personopplysninger i Smittestopp
Forholdsmessighet og nytteverdi
Datatilsynet mente at FHI ikke hadde dokumentert appens nytteverdi. Forholdsmessighetsprinsippet sier at nytteverdien må være større enn ulempene ved inngrepet. Hvis man ikke vet nytteverdien, kan man heller ikke forsvare personverninngrepet.
Her kan det se ut som FHI og Simula hadde blind tro på at Smittestopp kunne stoppe pandemien. I flere sammenhenger refererer de til Oxford-rapporten, som hevder:
A contact-tracing app that builds a memory of proximity contacts and immediately notifies contacts of positive cases can achieve epidemic control if used by enough people.
Vi kan kjenne igjen denne overoptimismen fra et intervju med Olav Lysne i mai:
En vitenskapelig artikkel i Oxford viste at om vi klarer å finne fram til 60 prosent av smittebærerne, og få dem i karantene, er det nok til å holde smittetallet nede, sier Lysne og fortsetter:
- Om vi klarer det, kan vi gå tilbake til å ha fotballkamper, gå på festivaler og gi hverandre klemmer igjen. Appen vil være med og redusere, sier Lysne.
Vi kan imidlertid konkludere med at mobil kontaktsporing langt ifra har vært en gamechanger i noen land. Rotårsaken er at smittespredning og Bluetooth-nærkontakter er vesensforskjellig, som mange innvendte helt fra starten.
Forskrift, frivillighet og formål
Smittestopp var hjemlet i egen forskrift. Mona Naomi Lintvedt skriver i en kommentar om Smittestopp 2 at myndighetene bør ha hjemmel for slike tiltak: "Hjemmel gir forutsigbarhet og åpenhet for borgerne, og det vil være mulig å kontrollere underveis at appen faktisk er utformet i tråd med regelverket og at FHI utøver sin myndighet i tråd med hjemler de er gitt. Og ikke minst kan det sikre den legitimitet og tillit dette tiltaket sårt trenger dersom det skal ha effekt".
Datatilsynet bemerket at "I og med at behandlingen gjennom Smittestopp er hjemlet i forskrift, kan endring av formålet også skje ved forskriftsendring, og det er verdt å merke seg at forskriften ble vedtatt uten å bli sendt på høring".
Et sentralt poeng var at bruken av appen måtte være frivillig, og det gjentas i mange sammenhenger i argumentasjonen fra FHI. Imidlertid kan man innvende om bruken reelt sett er frivillig når Statsmininsteren oppfordrer til å laste ned Smittestopp "hvis vi skal få hverdagen og friheten tilbake". Selv opplevde jeg pålegg om bruk av Smittestopp i den lokale håndballklubben, en dyrepark og flere kafeer. Dessuten var det åpenbart at Simula ikke hadde fått med seg at bruk av appen var frivillig, da de beskyldte kritikerne for å være ubarmhjertige egoister som satte eget personvern framfor andres helse.
Smittestopp hadde to uttalte formål: Kontaktsporing samt overvåkning på befolkningsnivå for å bidra til å følge smitteutbredelse og vurdere effekt av smitteverntiltak. Datatilsynet bemerket at formålene også omfattet analysearbeid og forskning. I tillegg var det problematisk at befolkningen ikke kunne velge mellom ulike formål, eksempelvis bare bidra til kontaktsporing. FHI hadde forøvrig fått råd om å hente inn delt samtykke for Smittestopp før lansering fra De nasjonale forskningsetiske komiteene. Stortinget vedtok også å be FHI å dele opp i to ulike samtykker i tumultene rundt havariet.
Dataminimering og innebygd personvern
Innebygd personvern er et sentralt krav i personopplysningsloven og betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Åpenhet er et nøkkelord i regelverket og det er også avgjørende når man bygger personvern inn i programvaren.
Simula valgte å holde kildekoden lukket, begrunnet i "å tilgjengeliggjøre kildekoden fører ikke til økt personvern". Dette er direkte feil. Et viktig prinsipp i innebygd personvern er at behandlingen for de registrerte fremstår som åpen og rimelig.
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere innsamlingsformålet. Datatilsynet påpekte at innsamling av lokasjonsdata ikke var nødvendig for smittesporing og varsling, og dermed et brudd med dataminimeringsprinsippet. I tillegg var det tvilsomt om sentral innsamling av data var nødvendig gitt at det fantes desentraliserte tilnærminger der data ble lagret på mobilene.
Det er også interessant å lese vurderingene fra FHIs personvernombud til DPIAen for Smittestopp. Her diskuteres dataminimering i kontekst av å slette data når de ikke lenger er i bruk. Imidlertid betyr dataminimering primært å unngå å samle inn mer info enn nødvendig til formålet i utgangspunktet.
Masseovervåkning og anonymisering
Smittestopp ville blitt den mest inngripende og omfattende masseovervåkningen av Norges befolkning gjennom tidene. Det er problematisk av mange grunner. I tillegg til risikoen for tyveri og lekkasje, var også formålsutglidning heftig diskutert. Data som finnes vil bli brukt. Nedkjølingseffekten er også en konsekvens, ved at befolkningen endrer adferd under overvåkning og begrenser privat og offentlig meningsbryting. På sikt er den mest alvorlige konsekvensen at vi ville endret toleransegrensen for når og hvorfor overvåkning var nødvendig. Det er ironisk at Simulas Kyrre Lekve anerkjenner at masseovervåkningen er problematisk, men svarer ved å peke på sikkerhet samt oppfordre befolkningen til å stole på myndighetene: "Det er veldig mange land jeg mener ikke bør ta i bruk den norske løsningen...".
Et svar fra Simulas Smittestopp Q&A sier mye om hvordan de tenkte rundt masseinnsamlingen av data. Simula bagatelliserer innsamlingen ved å framstille det som behandlingen starter først ved bruk. Dette er hårreisende lesing:
Blir jeg sporet hele tiden?
Nei. Programmet søker bare etter tilfeller av nærkontakt etter at en bruker er testet og bekreftet smittet. Den følger ikke individers bevegelser og heller ikke hvor de befinner seg. Den finner bare tilfeller der en bruker har vært mindre enn 2 meters avstand for mer enn 15 min fra en konstatert smittet bruker. Telefonnumrene til telefonene som har vært i nærkontakt vil brukes av helsemyndighetene til å sende ut varsling.
Som en forutsetning for analyseløsningen skulle innsamlede data anonymiseres. Det første problemet var at FHI begynte å samle inn data før analyseløsningen var på plass. Store mengder personopplysninger ble fortløpende samlet inn, uten at FHI hadde praktisk mulighet til å gjøre bruk av dataene. Datatilsynet fant dette særlig kritikkverdig. Den andre problemstillingen, som man aldri fikk svar på, er om det faktisk er mulig å anonymisere dette datasettet. NRK viste i denne perioden hvor enkelt det var å identifisere enkeltindivider ved å analysere lokasjonsdata. Sist men ikke minst fremsto det som uklart om FHI forsto personvernsforskjellen mellom pseudonymisering og anonymisering, og at pseudonymiserte personopplysninger fremdeles er personopplysninger.
Personvern != sikkerhet
Smittestopp hadde altså en rekke personvernsproblemer. Sikkerhet er ikke relevant for brorparten av dem. Eksempelvis kan nytteverdien umulig bli bedre på grunn av sikkerhet. Problemene med forskrift, frivillighet og formål avhjelpes heller ikke med sikkerhet. Tilsvarende kan ikke dataminimering eller innebygd personvern løses kun ved å forbedre sikkerheten.
Når det er sagt, er det riktig at personvern forutsetter god sikkerhet og beskyttelse av personopplysningene som behandles. Autentisering, tilgangskontroll, innsynslogging og kryptering er viktige sikkerhetstiltak som brukes for å sikre dataene. Men selv om sikkerhet er en viktig del av personvern, er det bare en begrenset del. Sikkerhet kan bare på spesifikke områder kompensere for noen av personvernsvakhetene beskrevet ovenfor.
Smittestopp hadde forøvrig også en rekke rene sikkerhetssårbarheter og -svakheter:
- Permanente, enhets-spesifikke identifikatorer mellom enhetene, som åpnet for å kunne utlede andres identitet eller smittestatus. På tross av at dette var en kjent feil, valgte FHI å lansere appen til hele befolkningen.
- Manuelt oppsett av skyløsningen i Azure. Åpner for menneskelige feil ved endring og vedlikehold, infrastrukturen kan ikke gjenskapes, vanskelig å gjøre en sikkerhetsanalyse.
- Bruk av en preview-feature i Azure IoT-Hub som leverandøren selv sier man ikke skal bruke til å prosessere personopplysninger.
- Bruk av SMS for varsling medførte en risiko for svindel og forfalskning.
- Dårlig kodekvalitet som gjør det vanskelig å vedlikeholde, forstå og feilsøke.
- Manglende automatiserte tester.
- API nøkler og passord i kildekoden og Git-historikken.
Funnene indikerer manglende sikkerhetskompetanse og -kultur. Dette er fullstendig uakseptabelt når man skal passe på sensitive data om store deler av befolkningen. En løsning som er hasteutviklet vil dessuten være mer utsatt for feil og sårbarheter enn løsninger som har hatt bedre tid til sikring og vært i bruk lenge. Det er nærmest parodisk når Simula hevder at "Appen er akkurat like sikker som andre tjenester".
Skrikende behov for personvernkompetanse
Det er underlig og skremmende å lese at personvern har vært prioritert svært høyt i utviklingen av Smittestopp. Selv med tydelige tilbakemeldinger fra Datatilsynet, Amnesty, EUs personvernsråd, ekspertgruppen samt eksperter på teknologi og personvern, fortsatte Helseministeren og FHI å si at de var uenige i Datatilsynets vurdering. Simula prøvde å redde stumpene ved å hevde at Smittestopp havarerte fordi inngrepet ikke lenger var forholdsmessig når smittetallene hadde blitt så lave. Som vi har sett ovenfor var Smittestopp ulovlig av mange grunner.
Det er forsåvidt greit å være uenig i Datatilsynets vedtak. Men da er man sannsyligvis uenig i selve Personopplysningsloven. FHI valgte forøvrig ikke å klage på vedtaket fra Datatilsynet.
Smittestopp har avslørt et skrikende behov om bedre personvernkompetanse i offentlig forvaltning. Sentrale politikere og beslutningstakere er ute av stand til å innse sin manglende kunnskap, mens de ignorerer faglig kritikk uten engang å forstå den.
Personvern er obligatorisk
Smittestopp har vist at manglende forståelse og respekt for personvern kan velte en løsning. Behandling av personopplysninger starter ved innsamling, ikke ved bruk. Personopplysningsloven krever at den som behandler personopplysningene dokumenterer forholdsmessighet, nødvendighet og nytteverdi.
Sikkerhet er viktig i personvernsammenheng, og det krever tid og kompetanse å lage sikre løsninger. Men sikkerhet kan ikke kompensere for de ulike kravene og praksisene som loven pålegger. Tilliten til en løsning krever åpenhet, kritisk drøfting av tiltak, at man er villig til å erkjenne feil og viser at man lærer av dem. Sist men ikke minst: Personvern dreier seg om hva Personopplysningsloven sier, ikke om hva man synes.
Smittestopps prislapp på 45 millioner er et røverkjøp hvis den har ført til økt kunnskap og forståelse for personvern i offentlig forvaltning og i befolkningen generelt.
Relevante lenker anbefalt av forfatteren
Uffda. En feil har oppstått, og vi klarer ikke å hente lenken!
Uffda. En feil har oppstått, og vi klarer ikke å hente lenken!
Uffda. En feil har oppstått, og vi klarer ikke å hente lenken!
Uffda. En feil har oppstått, og vi klarer ikke å hente lenken!