ThommessenFlow Finn folk
Fagstoff

5 punkter om Smittestopp og personvern

Getty Images 1069549440

16. april lanserte norske myndigheter appen "Smittestopp" som samler inn norske innbyggeres lokasjonsdata for å forebygge smitte av COVID-19. Både i Norge og resten av verden har slike smittevernapper skapt en debatt om denne type tjenester er nødvendig for slike formål.

1. EUs anbefaling

EU-kommisjonen utga 8. april en anbefaling om bruk av mobilapplikasjoner og sporingsdata som tiltak for å løsne på diverse restriksjonstiltak implementert pga. COVID-19-situasjonen (tilgjengelig her). Anbefalingen skisserer en prosess hvor medlemsstater kan etablere en verktøykasse som skal sikre en paneuropeisk og koordinert anvendelse av mobilapplikasjoner som fullt ut overholder EUs personvernregler. Kommisjonen legger til grunn at slike smittevernapper vil være lovlige dersom de følger disse anbefalingene. "Verktøykassen" skal gjøre EUs borgere i stand til å treffe målrettede tiltak til å distansere seg sosialt, gi lokale myndigheter mulighet å varsle borgere om fare for smitte og spore smittekilder. Kommisjonens anbefaling er at slik funksjonalitet skal basere seg på anonymiserte og aggregerte mobillokasjonsdata. Anbefalingene er ytterligere utbrodert av Kommisjonen i et veikart for en koordinert utfasing av COVID-19-tiltakene i EU av 15. April (tilgjengelig her).

Det europeiske personvernrådet (EDPB) har også vurdert EU-kommisjonens anbefalinger. EDPB mener ikke at GDPR er til hinder for innføring av slike apper, og uttaler at størst mulig andel av publikum bør bruke appene for å oppnå ønsket effekt. De sier videre at behandlingsgrunnlaget for slike personopplysninger ikke nødvendigvis behøver å være samtykke, men at behandlingen potensielt også kan utføres med grunnlag i at det er nødvendig for formål knyttet til "allmennhetens interesse". EDPB fokuserer særlig på hvilke opplysninger slike applikasjoner kan og bør samle inn. I denne sammenhengen argumenterer EDPB for at apper for kontaktsporing ikke trenger å registrere lokasjonsdata via GPS, da de mener kommunikasjon mellom mobile enheter via Bluetooth vil være tilstrekkelig for å oppnå formålet. I forlengelsen av dette mener EDPB at innsamling av GPS-data kan være i strid med prinsippet om dataminimering, og øke personvernrisikoen. Brevet fra EDPB er tilgjengelig her.

2. Behandlingsgrunnlag

FHI har valgt å lovfeste behandlingen ved personvernforordningens artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav i). Med andre ord er behandlingen nødvendig for å utføre en oppgave i allmennhetens interesse og folkehelsesyn. FHI har dermed valgt et behandlingsgrunnlag som er i tråd med EU-kommisjonens og EDPBs anbefalinger. Merk at EU-kommisjonen påpeker at installasjon av slike apper må være frivillig. Smittestopp er frivillig å laste ned, og det er ingen instrukser fra norske myndigheter som tvinger norske borgere å laste ned Smittestopp.

3. Formål

Det uttalte hovedformålet med behandlingen av personopplysninger i forbindelse med Smittestopp er ifølge personvernerklæringen å forhindre spredning av COVID-19.

Foruten å forhindre ytterligere smitte av COVID-19 kan Smittestopp brukes til forskningsformål. I følge FHI benyttes kun anonymiserte og aggregerte data til slik forskning, slik at det i utgangspunktet ikke skal være mulig å identifisere enkeltpersoner i datasettene som benyttes til forskning. Disse anonyme datasettene kan også brukes for å måle effekten av politiske tiltak, som for eksempel karantene, har på epidemien. Erklæringen informerer videre at anonymiserte data kan bidra til å forstå befolkningens bevegelsesmønster og bruke denne informasjonen til å vurdere om det er spesielle områder, aldersgrupper eller aktiviteter som er mer utsatt for å genere smitte.

Bruken av anonymiserte data åpner for en videre bruk av personopplysningene, og dette har blitt møtt med noe kritikk i mediene da formålet med innsamlingen av opplysningene kan “skli ut”. Det kan imidlertid argumenteres for at denne bruken av anonymiserte opplysninger vil være i tråd med hovedformålet til Smittestopp, altså å begrense smitte i Norge.

4. Lokasjonsdata

EDPB har en klar oppfatning av at det ikke er nødvendig å samle inn lokasjonsdata for slike apper. Her har imidlertid norske myndigheter vurdert behovet annerledes ettersom Smittestopp bl.a. innsamler GPS-posisjonen til den registrertes mobile enhet. FHI mener at slik sporingsdata er et nødvendig supplement til Bluetooth for å validere data før utsending av varsler, primært for å sikre at eventuelle varsler om smittefare ikke blir sendt på feil datagrunnlag. Datatilsynet har (per 24. April) ikke utført en grundling evaluering av Smittestopp, og har dermed ikke uttalt om Smittestopp innsamler unødvendig mye data.

5. Sletting

Smittestopp går altså noe lenger enn EDPBs tilrådninger når det gjelder lokasjonssporing. Appen har imidlertid tiltak for å redusere hvor inngripende dette er i den enkeltes personvern og for å styrke kontrollen enkeltpersoner har. Blant annet slettes dataene automatisk etter 30 dager og brukerne kan slette sine personopplysninger når som helst. Personopplysningene skal også slettes når forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av COVID-19 opphører å gjelde den 1. desember 2020.

Har du spørsmål knyttet til koronaviruset? Besøk vår Q&A for næringslivet. Her har vi samlet over hundre ofte stilte spørsmål og svar, for å hjelpe deg å navigere i den usikre situasjonen vi nå står i.

Kontaktpersoner