Innsikt

Smittestopp ble smitteflopp. #3 Har personvern overlevd koronakrise?

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
Smittesporingsappen Smittestopp ble rullet ut av helsemyndighetene våren 2020 og stoppet kort etter. Personvernet har så langt ikke tapt i kampen om effekitv smittesporing. Juridika Innsikt ser nærmere på personvern under korona. Foto: Istockphoto.
Lesetid ca. 18 minutter

– Personlig mener jeg at hvis vi skal få hverdagen og friheten tilbake, så må flest mulig laste ned denne appen, uttalte statsminister Erna Solberg under pressekonferansen da Smittestopp-appen ble lansert 16. april i fjor. To måneder senere konkluderte Amnesty med at den norske Smittestopp-appen var en av de mest inngripende smittesporingsappene i verden og Datatilsynet stoppet Smittestopp 1.

Til slutt måtte vi søke hjelp fra tech-gigantene Google og Apple for å lage Smittestopp 2. Hvorfor floppet Smittestopp-appens første forsøk og er egentlig den nye Smittestopp-appen noe bedre?Vaksinepass, koronasertifikat, Smittestopp, grensekontroll, plikt til å rapportere helsedata og sjokkdigitalisering på alle fronter som gjør at alt og alles liv er blitt radikalt mer digitale. EUs ferske personvernforordning (GDPR), verdens strengeste personvernlov, har for første gang opplevd en ordentlig utfordring som fikk personvernekspertene til å spørre seg hvordan personvernet kom til å stå seg i en krisetid. I en ny serie tar Juridika Innsikt for seg hvordan krisehåndtering og sjokkdigitalisering har påvirket personvernretten. Denne gangen ser vi på appen Smittestopp.

To måneder senere konkluderte Amnesty med at den norske Smittestopp-appen var en av de mest inngripende smittesporingsappene i verden

I all hast rullet norske helsemyndigheter våren 2020 ut en norsk app som kunne spore smitte, hvis brukerne delte sine data. Appen ble møtt av en flom av kritikk, selv om den ble lastet ned i stort monn. Den første versjonen fikk bare leve i to måneder før den ble vraket og til slutt avviklet. Amnesty mente altså at den satte brukernes personvern og sikkerhet i fare, og Datatilsynet forbød den i praksis i juni. I denne artikkelen spør vi: Hva gikk galt med denne lovpriste appen som skulle være et effektivt hjelpemiddel for å slå ned smitten og for å åpne opp samfunnet igjen? Er den nye Smittestopp-appen noe bedre? Og har personvernet bestått eller strøket på koronatesten 2020-2021?

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
Foto: Istockphoto.

Den digitale innsatsen i en pandemi

Smittesporing er et viktig virkemiddel i bekjempelse av en pandemi og en sentral del av den norske covid-19-strategien for å holde pandemien under kontroll. Når vi lever i et samfunn der 95 prosent av befolkningen over 16 år har en smarttelefon, har digital smittesporing gjennom telefonen et stort potensial for å bidra til strategien.

– Personlig mener jeg at hvis vi skal få hverdagen og friheten tilbake, så må flest mulig laste ned denne appen

Statsminister Erna Solberg under pressekonferansen 16. april 2020

Men på den annen side har man Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 som beskytter retten til privatliv. Dette omfatter også retten til å bevege seg fritt og å ha fri korrespondanse med andre mennesker. Å overvåke disse bevegelsene gjennom en digital sporingsapp vil utgjøre et inngrep i denne retten. Derfor må det være forholdsmessig, nødvendig og ha et legitimt formål for å aksepteres. Registrering og lagring av slik informasjon åpner opp for et stort overvåkningspotensial, og slik behandling av personopplysninger må videre også være i tråd med personvernreglene som oppstilles i personvernforordningen (GDPR).

Førsteamanuensis og personvern- og GDPR-ekspert ved Universitetet i Bergens Pandemisenter, Malgorzata Cyndecka, understreker likevel at retten til privatliv må balanseres mot andre rettigheter.

– Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet, men det er på ingen måte en absolutt rettighet. Den må ses i lys av andre rettigheter og den må jo hele tiden balanseres mot andre rettigheter, verdier og interesser, uttaler hun.

– Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet, men det er på ingen måte en absolutt rettighet. Den må ses i lys av andre rettigheter og den må jo hele tiden balanseres mot andre

Malgorzata Cyndecka, GDPR-ekspert ved Universitetet i Bergens Pandemisenter

Man må dermed et stykke på vei kunne akseptere en byttehandel hvor man gir bort noe frihet for å få noe trygghet. Personvernrådet uttalte tidlig i pandemien at personvernregelverket ikke skal være til hinder for en effektiv bekjempelse av koronaviruset. Rådet fremhevet at moderne teknologier kan og bør brukes i bekjempelsen av pandemien. Det ble imidlertid understreket at man likevel må sikre de registrertes grunnleggende rettigheter og sikre tilstrekkelig beskyttelse av de registrertes personopplysninger.

– Uttalelsen viste at personvernregelverket er dynamisk og gir vide rammer, men at man likevel ikke kan sette personvernet helt til side selv i en unntakstilstand, skrev advokat og direktør i PwC Cecilie Rønnevik i en kommentar på Juridika Innsikt våren 2020.

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
Faksimile fra ekspertkommentaren, våren 2020.

Konklusjonen for den norske Smittestopp var hard. Amnesty utpekte Bahrains «BeAware Bahrain», Kuwaits «Shlonik» og Norges «Smittestopp» som de mest de inngripende og farlige smittesporingsappene i verden.

Den første Smittestopp-appen

Flere land rullet på kort tid ut diverse digitale smittesporingsløsninger. Myndighetene i mange land kom tidlig med egenutviklede løsninger, slik som den britiske «NHS Covid-19» og den tyske «Corona-Warn». Norges Helse- og omsorgsdepartementet satte i gang et arbeid der FHI og Simula Research Laboratory utviklet en egen digital smittesporingsløsning med grunnlag i forskrift av 27. mars 2020 om digital smittesporing og epidemikontroll. Forskriften var hjemlet i smittevernloven. 16. april ble appen lansert og allerede to dager etter lanseringen kunne FHI opplyse at 1 218 000 personer, rundt 23 % av befolkningen, hadde lastet ned appen.

I forkant av lanseringen ble appen møtt med stor kritikk av flere i fagmiljøer. Advokat og personvernekspert Jon Wessel-Aas advarte tidlig mot appen og anbefalte ingen å laste den ned slik den var på det tidspunktet.

Appen fikk imidlertid støtte av andre jurister, blant annet Wiersholm-partner Rune Opdahl og direktør Adele Mestad og seniorrådgiver Alf Butenschøn Skre i Norges institusjon for menneskerettigheter (NIM). Mange pekte på at appen var inngripende, men at alternativet var mye verre. Den måtte derfor aksepteres i den kritiske situasjonen vi befant oss i.

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
Fra v. over: Adele Mestad, Cecilie Rønnevik, Bjørn Erik Thon og Tore Tennøe. Foto: NIM, PWC, Datatilsynet og Teknologirådet.

Slakten av Smittestopp 1

Helse- og omsorgsdepartementet satte ned en ekspertgruppe som skulle gå igjennom kildekoden til appen. Ekspertgruppen konkluderte i mai 2020 med at verken sikkerhet eller personvern var forsvarlig ivaretatt på det tidspunktet. Datatilsynet uttalte i mellomtiden, i april 2020, at de hadde opprettet en kontrollsak av appen.

I juni 2020 gransket den internasjonale rettighetsorganisasjonen Amnesty International verdens smittesporingsapper. Konklusjonen for den norske Smittestopp var hard. Amnesty utpekte Bahrains «BeAware Bahrain», Kuwaits «Shlonik» og Norges «Smittestopp» som de mest de inngripende og farlige smittesporingsappene i verden. Appen satt personvern og sikkerhet for brukerne i fare.

Claudio Guarnieri, sjef for Amnesty Internationals sikkerhetslaboratorium, kalte Smittestopp «en grov overkjøring av personvernet, med svært inngripende overvåking som går langt utover det som er forsvarlig i arbeidet med å stoppe koronasmitten», og uttalte at den burde stanses umiddelbart.

I juni vedtok Datatilsynet midlertidig forbud mot å behandle personopplysninger i den første Smittestopp-appen. Datatilsynet mente at Smittestopp ikke kunne anses som et forholdsmessig inngrep i brukernes personvernrettigheter.

Inngripende teknologi

Direktør i Datatilsynet, Bjørn Erik Thon, trekker frem at det første Datatilsynet reagerte på var at de brukte for inngripende teknologi for å smittespore. Dette stred mot prinsippet om dataminimering. Dataminimeringsprinsippet innebærer et prinsipp om at behandlingen av personopplysningene skal «være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for», jf. GDPR art. 5 nr. 1 bokstav c. Det skal ikke registreres mer informasjon enn det som er nødvendig og det må vurderes om formålet kan oppnås ved å samle inn færre personopplysninger.

– [Dataminimering] handler om at man ikke skal bruke mer inngripende teknologi enn det som er nødvendig for å oppnå formålet, forklarer han.

GPS inngripende, men Bluetooth forsvarlig

I smittesporingen brukte den første Smittestopp-appen både Bluetooth og GPS til å spore nærkontakter.

Direktør i Teknologirådet, Tore Tennøe, forklarer:

– Du kan skille mellom bruk av GPS og bruk av Bluetooth. GPS sporer hvor folk er, mens Bluetooth er bare kommunikasjon mellom telefoner. GPS sporer altså lokasjon og Bluetooth gjør det ikke.

Når man bruker slik teknologi som samler privat informasjon om hvor du befinner deg eller hvem du er i nærheten av oppstår det et spørsmål om dataminimering.

– Hvor mye data trenger du egentlig og er det proporsjonalt? spør Tennøe.

Datatilsynets Thon uttaler at teknologien man brukte i den første Smittestopp-appen var svært inngripende.

– Bruk av blåtann (Bluetooth, red.) er ganske udramatisk, i hvert fall i denne sammenheng. Det viser jo bare at du og jeg har vært i nærheten av hverandre, det har en slags nærhetsmåler kan du si. Mens GPS viser jo hvor vi har vært og det er mye mer alvorlig, forklarer han.

Datatilsynet påpekte at FHI ikke hadde godtgjort at det var nødvendig å bruke posisjonsdata fra GPS i kontaktsporingsarbeidet.

Sentral lagring av data

Et sentralt problem var sentral lagring. Smittestopp-appen lagret data i et sentralt dataregister i 30 dager som statsforetaket Norsk Helsenett og statseide Simula hadde tilgang til.

– Ideen var sikker lagring i regi av helsemyndighetene for å kunne planlegge bedre og kartlegge utviklingen av pandemien, påpeker Tennøe.

Den sentrale lagringen ble imidlertid kritisert av flere eksperter. Cyndecka mener det var helt unødvendig med sentral lagring.

– Det er jo lettere å være etterpåklok. Vi må ta hensyn til hva Simula visste på det tidspunktet, men det viste seg i ettertid at det ikke var nødvendig med denne typen teknologi, sier hun.

Flere mindre problemer fulgte også i kjølvannet av appen: Teknologirådet påpekte at det var uklart hvorvidt man kunne videreselge data fra appen, og Cyndecka mente den lukkede kildekoden hindret offentlig innsyn og kontroll med hvordan appen fungerte.

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
IKKE NOK: Det var ikke nok at Erna Solberg gikk god for Smittestopp. Amnesty International dømte den nord og ned og Datatilsynet stoppet den. I dag har bare 1 av 5 appen på sin telefon. Faksimiler fra VG og TV2, 2020.

Gapte over mye, spurte om lite

Datatilsynet reagerte videre på at Smittestopp-appen var en slags «maksimumsløsning». Den hadde ikke ett, men tre ulike formål for å samle personopplysninger: Spore smitte og modellere befolkningsbevegelser, samt et uttalt formål om å forske for fremtidige pandemier. Men brukerne av appen kunne bare svare ja eller nei til alle samtidig.

– Det var i strid med det som i personvernforordningen heter formålsprinsippet; man skal ha klare og mest mulig begrensede formål, forklarer Thon.

Ordlyden i GDPR artikkel 5 første ledd bokstav b er at formålene må være «spesifikke, uttrykkelig angitte og berettigede». Formålet med behandlingen av personopplysningene er sentralt for å vurdere de rettslige rammene for databehandlingen og om databehandlingen er nødvendig. Derfor må formålet være så konkret som mulig angitt.

– Et informert samtykke burde vært et samtykke for hvert formål, hvilke effekter som ønskes oppnådd og hvordan dataene skulle brukes, sier Teknologirådets Tennøe.

– Første versjon gapte over veldig mye og spurte om veldig lite, konkluderer han.

Skrotingen av den første appen

Under to måneder etter at appen ble lansert, varslet Datatilsynet midlertidig forbud mot behandling av personopplysninger i appen. Tilsynet skrev, da første koronabølge var slått ned, at det ikke var et «forholdsmessig inngrep i personvernet i dagens situasjon, ut fra løsningene som er valgt i appen, oppslutningen om Smittestopp og smittesituasjonen i Norge».

– Jeg tror at alle er enige om at det å ha en app som overvåker hvor folk er, er en form for overvåkning, selv om det ikke var politiovervåkning. Hvis man skal tillate så mye overvåkning, må man se på hva man kan oppnå ved det. Og i hvert fall på det tidspunktet var jo smittetrykket veldig lavt. Det var jo så å si ikke noe smitte i samfunnet i det hele tatt. Da mente vi dette samlet sett var et altfor stort inngrep i personvernet i forhold til hva man vant, uttaler Datatilsynets Thon.

– Betyr det at den ikke ville blitt stoppet nå?

– Nei. Selv i dagens situasjon, med mutasjonsvirus og økende spredning, ville nok ikke den første appen blitt akseptert. Man brukte GPS for å spore nærkontakter. Det skal nok mye til for at vi hadde godtatt det, sier Thon.

Også Personvernrådet sa tidlig i nedstengingen at selv om man kan og bør bruke teknologi til å bekjempe pandemien, bør man ikke bruke GPS for å spore nærkontakter.

– Jeg synes det er helt betimelig å spørre: Hvorfor lagde de egentlig en løsning som var ulovlig når de meget godt kjente til kravene personvernmyndighetene i Europa stiller til å bruke GPS? spør en skeptisk Thon.

Selv i dagens situasjon, med mutasjonsvirus og økende spredning, ville nok ikke den første appen blitt akseptert. Man brukte GPS for å spore nærkontakter. Det skal nok mye til for at vi hadde godtatt det

Bjørn Erik Thon, Datatilsynet

Den nye Smittestopp-appen

Først 21. desember 2020 ble den nye Smittestopp-appen (heretter Smittestopp 2.0) lansert. Smittestopp 2.0 er bygget på en mer åpen prosess og FHI har offentliggjort kildekoden.

– Denne gangen har de gjort veldig mye riktig. De har ikke lenger sentral lagring. De bruker ikke lenger GPS. Informasjon er nå kun lagret i min og din telefon. De kobler altså bare oss sammen, uttaler Bjørn Erik Thon – men de kartlegger oss ikke.

Dessuten bruker den nye appen kun kontaktsporing gjennom Bluetooth og samler dermed ikke posisjonsnformasjon som man kan i GPS.

Allerede i midten av juni vedtok Stortinget at formålene måtte splittes i den neste versjonen av appen. Smittestopp 2.0 har dermed i motsetning til den første appen bare ett formål: nærkontaktsporing.

– Det bruker den ikke til å se på befolkningsbevegelser og den type ting, konkluderer Thon.

Han konkluderer dermed med at den nye appen er mye mindre personverninngripende og dermed akseptabel. Han får også støtte av Tennøe.

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
Digital sporing gjør smittesporing lettere, men kan bane vei for mer overvåking av hvor folk befinner seg og beveger seg. Foto: Istockphoto.

Er samtykke nok?

Enhver behandling av personopplysninger trenger et behandlingsgrunnlag for å være i samsvar med kravene GDPR oppstiller. Den første Smittestopp-appen var hjemlet i en forskrift, men var frivillig å laste ned. Den nye appen er imidlertid kun basert på samtykke, blant annet fordi Stortinget har krevet at det skal brukes samtykke og separat samtykke for hvert enkelt formål. Direktør i Datatilsynet Bjørn Erik Thon uttaler at i den nye appen anser de det tilstrekkelig med samtykke.

– Samtykke er i dette tilfellet sånn vi ser det et godt behandlingsgrunnlag, konkluderer han.

Han peker særlig på ulempen ved at en forskrift kan endres. I den forrige appen sa du kun ja til å laste ned appen, men selve databehandlingen var regulert i en forskrift. Dermed kunne du endre på vilkårene senere.

– Det mener vi gir den enkelte borger en bedre selvbestemmelse enn om man hadde hatt en forskrift som man hadde før. Så vi synes det er en bedre løsning, sier Thon.

Det er imidlertid ikke alltid tilstrekkelig å benytte samtykke som behandlingsgrunnlag, særlig der behandlingen av personopplysningene skjer i en relasjon med skjevt partsforhold eller der behandlingen er en del av offentlig myndighetsutøvelse. Cyndecka mener at selv om den nye appen er mer personvernvennlig, burde man forbedret behandlingsgrunnlaget.

– Som Personvernrådet påpeker så er ikke samtykke akkurat det beste behandlingsgrunnlaget. Selv om det å bruke appen er frivillig, så er dette ikke det samme som at det skal være samtykkebasert. En slik mobilapplikasjon laget av staten eller på vegne av staten, burde være basert på et annet behandlingsgrunnlag når man behandler personopplysninger for å utføre en oppgave i offentlig interesse, mener hun.

– Dette meldingssystemet, det er det bare Danmark, Norge og Estland som bruker.

Malgorzata Cyndecka, Universitetet i Bergen

Cyndecka mener dermed man burde innført en forskrift som behandlingsgrunnlag for den andre Smittestopp-appen også. Hun får støtte fra stipendiat Mona Lintvedt:

– Ulempen med [samtykke] er at det kan være vanskelig å formidle hva man faktisk gjør med opplysningene.

Hun peker særlig på at de fleste ikke setter seg inn i personvernerklæringene når de laster ned en app. Selv om appen er tilgjengelig på åtte ulike språk, er likevel den fulle personvernerklæringen bare tilgjengelig på norsk og engelsk, som kan gjøre det vanskelig å rette appen til hele befolkningen. Også andre som trenger tilrettelegging av formidlingen kan slite med å sette seg inn i hva de faktisk samtykker til.

– Dermed kan du stille spørsmål ved hvor reelt det er at folk forstår hva de sier ja til, uttaler hun.

Hun peker også på at appen er koblet til det offentlige helseregisteret MSIS (Meldingssystem for smittsomme sykdommer) og ID-porten, for å hente frem bekreftelsen på den positive testen og for å forhindre falske varsler.

– Den koblingen med å bruke MSIS, dette meldingssystemet, det er det bare Danmark, Norge og Estland som bruker. Vi knytter selve appen og hentingen av verifikasjonen på at du har testet positivt til dette registeret.

Hun forklarer at begge disse to andre landene har en lovhjemmel som behandlingsgrunnlag.

– Vi bruker en kopi av den danske appen og de har lovhjemmel. De har en forskrift, som også er endret nå i høst for å tilpasse den europeiske infrastrukturen, forklarer hun.

Du kan ikke ha et sånt type utsagn som Erna Solberg kom med i fjor om at «hvis du vil ha hverdagen tilbake, så bør du laste ned denne appen». (Da) faller jo grunnlaget for frivillig samtykke bort.

Mona Lindtvedt, Universitetet i Oslo

Hun forklarer at i resten av Europa har flesteparten lovhjemmel for sine smittesporingsapper.

– Det er nettopp fordi de sier at dette henger sammen med den offentlige helsetjenesten; det er del av smitteverntiltakene. Også viser de til at de har hjemmel i øvrig regelverk for denne behandlingen av opplysninger, fordi smittesporing i de aller fleste land, inkludert Norge, er en oppgave som er hjemlet i lov, uttaler hun.

Hun uttaler også at samtykke som behandlingsgrunnlag setter begrensninger for hvor sterkt myndighetene kan promotere appen.

– Du kan ikke ha et sånt type utsagn som Erna Solberg kom med i fjor om at «hvis du vil ha hverdagen tilbake, så bør du laste ned denne appen». Det er en type moralsk og politisk press. Hvis du opplever det som noe du må gjøre for å være en god borger, faller jo grunnlaget for frivillig samtykke bort, uttaler hun.

Selv om en forskrift kan endres er det imidlertid fordeler ved at den går igjennom en demokratisk prosess før den vedtas. Lintvedt uttaler likevel at denne fordelen er noe svekket under pandemien, ettersom forskrifter har blitt vedtatt uten høring eller med veldig kort høringsfrist. Forskriften for den første Smittestopp-appen var bare en kongelig resolusjon med veldig kort høringsfrist.

– Den demokratiske sikkerhetsmekanismen faller bort når ikke forskrifter underlegges nok demokratisk kontroll, sier hun.

Tankekors at Big Tech måtte redde digital smittesporing

Infrastrukturen til gamle Smittestopp ble laget på Lysaker, men grunnsettet til den nye er levert av IT-gigantene Google og Apple, og det har skapt debatt. Tore Tennøe sier det isolert sett ikke et problem for personvernet, siden det var det mest personvernvennlige alternativet, men kan være problematisk på andre måter.

– Dette er verdens mektigste selskaper med stor markedsmakt. Vi snakker egentlig om et duopol; siden Apple har IOS og Google Android. Med smittesporing blir deres markedsmakt styrket; de får da duopol på nok en tjeneste. Det er store selskaper som misbruker markedsmakten sin, og er nå under flere søksmål både i USA og Europa. Spesielt Google er dessuten en versting når det gjelder personvern i andre produkter (enn Smittestopp), siden forretningsmodellen er mikromålrettet reklame, utdyper han.

Vi snakker egentlig om et duopol; siden Apple har IOS og Google Android. Med smittesporing blir deres markedsmakt styrket; de får da duopol på nok en tjeneste.

Tore Tennøe, Teknologirådet

Tennøe er bekymret for om selskapene skal kunne diktere hvordan nasjonale myndigheter utformer teknologi, hvilke typer data de kan samle inn og hvordan de skal håndtere det.

– Bør ikke dette være en demokratisk beslutning? Og får nasjonale myndigheter nok innsikt i akkurat hvordan de har satt opp API-ene eller hvordan programvaren virker? spør han.

Dagens smittestopp er langt mer personvernvennlig enn den første, men like fullt er den bygd på en infrastruktur laget av selskaper som har blitt kritisert for sin holdning til personvern. Skal vi være avhengige av Silicon Valley for å levere slike viktige tjenester til innbyggerne og gjøre det personvernvennlig? Bjørn Erik Thon uttaler at det er problematisk at vi ikke klarte å gjøre dette selv og at vi måtte gå til de store aktørene.

– Det er et tankekors at vi har blitt så avhengig av, i arbeidet vårt og i det sosiale livet vårt, amerikanske selskaper som jo er gigantinnsamlere av data, uttaler Thon.

Smittestopp-saken viste nok en gang at vi var ganske avhengige av disse store IT-selskapene for å få levert viktige tjenester.

Lav oppslutning til Smittestopp 2.0

Den første appen hadde allerede 1,3 millioner nedlastninger dagen etter den ble lansert. Oppslutningen til den nye appen har imidlertid vært langt lavere og først i april 2021, fire måneder etter lanseringen, nådde appen 1 million nedlastninger. Per juli 2021 er det knapt over 1 million som har lastet ned appen, noe som tilsvarer under 20 prosent av befolkningen. Knappe 3 800 personer har meldt seg som smittet i appen og disse utgjør 2,9 prosent av påviste smittetilfeller siden appen kom i desember 2020. Dette er en langt lavere oppslutning enn for mange andre land, for eksempel Danmark og Storbritannia der henholdsvis 50 og 60 prosent av befolkningen hadde tatt i bruk slike løsninger i mars i år.

Dette er en langt lavere oppslutning enn for mange andre land, for eksempel Danmark og Storbritannia der henholdsvis 50 og 60 prosent av befolkningen hadde tatt i bruk slike løsninger

Assisterende direktør i FHI, Gun Peggy Knudsen, uttaler at FHI er usikre på hvorfor oppslutningen til den nye appen er så lav i forhold til den første appen og til andre land.

– Vi tror nok at det er flere forhold som påvirker dette; blant annet smittesituasjonen, hvor stor kontaktflate man har, hvilken funksjonalitet som ligger i appen og ikke minst hvor stor grad av manuell smittesporing som gjøres. Norge har smittesporing som en sentral del av vår strategi i håndteringen av pandemien, og digital smittesporing er et tillegg til en godt fungerende manuell smittesporing, uttaler hun.

– Tror FHI den labre oppslutningen kan skyldes personvernproblemene med Smittestopp 1?

– Dette vet vi heller ikke sikkert, men vi kan nok anta at noen har blitt påvirket og utrygge av debatten, sier Knudsen.

Hun peker imidlertid på at i undersøkelsene de har gjort om appen tidlig i 2021, viste at 40 prosent av befolkningen sier de vil laste ned Smittestopp, og 25 prosent sier de ikke vet. Av de 35 prosentene som uttalte at de ikke vil laste ned appen, oppga 45 prosent at de er bekymret for personvernet, og 32 prosent sier de har for lite informasjon om appen.

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen
– Vi kan nok anta at noen har blitt påvirket og utrygge av debatten, sier Peggy Knudsen i FHI. Foto viser appens logo.

Dette er en langt lavere oppslutning enn for mange andre land, for eksempel Danmark og Storbritannia der henholdsvis 50 og 60 prosent av befolkningen hadde tatt i bruk slike løsninger i mars i år.

Digital smittesporing første store test av personvernforordningen GDPR

Den første Smittestopp-appen ble rett og slett en fiasko. Men vi lærte av den og fikk en ny og forbedret app. Og kanskje enda viktigere; vi fikk satt personvernforordningen på prøve. Mange kjennere av feltet noterer at debatten om digitale smittesporingsverktøy satte personvernet på dagsorden og ga oss anledning til å teste den relativt ferske personvernforordningen.

– Smittestopp-saken har jo vist at regelverket vårt står seg også i krisetid. Det har den nødvendige fleksibiliteten som skal til for å strekke det litt i forhold til en normalsituasjon. Samtidig så har det vist at vi kan bruke det for å gripe inn mot de mest alvorlige utslagene, som Smittestopp-appen, uttaler Thon.

Advokat og direktør i PwC, Cecilie Rønnevik, er enig med Thon. Tidlig i nedstengningen skrev hun en kronikk der hun spurte om prinsippene i GDPR ville stå seg i krisetid. Ett år og to Smittestopp-apper senere sier hun vi har fasit: GDPR består koronatesten.

– Jeg syns hele saken rundt Smittestopp-appen viste at GDPR fungerte etter hensikten. Både da tilsynsmyndighetene grep inn og i praksis la ned et forbud mot den første appen, og da man da klarte å få på plass en løsning innenfor GDPR. GDPR «viste seg fra sine beste sider» da den ga myndighetene mulighet til å slå ned på dårlige løsninger, og samtidig ga rom for gode løsninger, konkluderer hun.

Tore Tennøe er enig, men beklager at det samme ikke er skjedd i land utenfor Europa. I en rekke andre land har det nemlig ikke vært en personverndebatt selv om det er brukt inngripende digitale smittesporingsverktøy.

– Det har ført til en utvidet sporing i en del land, sier han.

Spesielt gjelder dette Kina, der de har brukt smittesporingsverktøy og koronapass til å kartlegge og overvåke innbyggere på detaljnivå. I Singapore har det også skjedd en formålsglidning der informasjon innsamlet gjennom smittesporing er brukt til å avdekke alvorlig kriminalitet:

– Så globalt sett har nok personvern heller tapt enn vunnet på korona, og verden har endt opp med mer overvåkning av folks bevegelser.

Neste sak: Hva skjer med personvernet når alle møtes på Zoom og Teams?

Smittestopp-saken viste at GDPR skulle overleve presset koronakrisen medførte, men det gjenstår å se hvordan personvernet står seg mot den digitale omveltningen og den økende makten de store IT-selskapene har fått gjennom krisen. I neste sak belyser vi sentrale personvernproblemstillinger som har oppstått når vi i økende grad har flyttet større deler av livet vårt over til den digitale sfæren for å unngå fysisk kontakt.

Hør mer om personvernrett:

Podkasten Takk og Lov med Anine Kierulf - og Bjørn Erik Thon

Har personvernet overlevd koronakrisen? #3 Smittestopp-appen

Serien er finansiert av Fritt Ord, under prosjekt-tittelen Personvernet etter koronakrisen.

Løvli har arbeidet med serien våren 2021. Løvli er tidligere redaktør i jusstudent-magasinet Pacta.

Følg oss