FHI mottok fredag et vedtak om pålegg fra Datatilsynet knyttet til appen Smittestopp.
Det er snakk om to pålegg: Det ene pålegget er knyttet til behandlingsprotokoll som tilfredsstiller kravene i personvernforordningen artikkel 30, og det andre er knyttet til mangler på dokumentasjon på risiko- og sårbarhetsanalyser.
I behandlingsprotokollen er formålet med Smittestopp angitt som "digital smittesporing". Dette mener Datatilsynet ikke er presist nok.
–Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. I protokollen skal det også fremgå hva disse dataene brukes til, altså formålet med Smittestopp. Den synes ikke vi er godt nok beskrevet, sier direktør Bjørn Erik Thon i Datatilsynet til NRK.
– Bør vi som bruker appen være bekymra? Er det fortsatt trygt?
– Vi går inn og ser på mange sider ved denne appen. Vi sier det samme nå som da appen ble lansert, at det er viktig at man får all informasjon og setter seg inn i hva det innebærer å laste ned appen, slik at folk kan gjøre opp sin egen mening om dette er noe de ønsker å være med på, eller ikke.
– Den anbefalingen er ikke endret, selv om vi nå har skrevet dette brevet til FHI, sier Thon.
Flere formål
Datatilsynet skriver at det ikke fremgår i behandlingsprotokollen for FHI at appen har flere ulike formål.
Fungerende direktør i FHI svarer følgende på kritikken:
– Vi presiserer at appens to formål gjennomgående er kommunisert i all kommunikasjon rundt appen, både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetssaker og tekster på nett, i intervjuer og pressekonferanser. Appens to formål er også nedfelt i forskrift. Det at dette er formulert for overordnet i behandlingsprotokollen skal vi selvfølgelig endre umiddelbart, sier fungerende assisterende direktør Gun Peggy Knudsen ved FHI i pressemeldingen.
Gun Peggy Knudsen, fungerende assisterende direktør i FHI, understreker at analysen av Smittestopp-appen ble gjort før den ble lansert.
Foto: PrivatMangler dokumentasjon på sårbarhet
Det andre pålegget er knyttet til mangel på dokumentasjon på risiko-og sårbarhetsanalyser.
– Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen, sier Thon.
Han understreker at dette er første skritt i Datatilsynets kontroll.
– Blant de tingene som vi nå kommer til å se nærmere på i neste runde, er blant annet hvorfor FHI har valgt å bruke både GPS og blåtann, når de skal lokalisere i denne appen. Det er i strid med anbefalinger som har kommet fra Personvernrådet, paraplyorganisasjonen hvor Datatilsynet også er med, sier Thon til NRK.
Bjørn Erik Thon, direktør i Datatilsynet, mener FHI ikke har dokumentert risikoen og sårbarheten av å bruke Smittestopp-appen.
Folkehelseinstituttet mener selv at de har gjort nøye vurderinger av sårbarhet og risiko i appen.
– Vi er enige med Datatilsynet i at formålet med en risiko- og sårbarhetsanalyse (ROS-analyse) er å avdekke risiko og sårbarheter før nye løsninger tas i bruk, og dette mener vi at vi har etterlevd. Vi har som Datatilsynet peker på, lagt til grunn en stegvis utbygging av ROS-analysen, i takt med når deler av totalløsningen skal tas i bruk, sier Gun Peggy Knudsen i FHI i pressemeldingen.
Hun presiserer at analysen ble gjennomført før appen ble lansert.
Fordi FHI ønsket å lage et samlet dokument av analysene i hver kommune, har det tatt noe tid å få på plass et samlet dokument. Dette dokumentet, med ROS-analysene, vil nå sendes til Datatilsynet.
– Dokumentene har ikke vært oversendt Datatilsynet ennå fordi vi ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass, men vi oversender disse risiko- og sårbarhetsanalysene nå, og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen, avslutter Knudsen.
– Mer opptatt av å lansere en app raskt
Jon Wessel-Aas er en av Norges mest erfarne medierettsadvokater og sier det er godt at Datatilsynet fører en slikt kontroll.
– Ut fra Datatilsynets beskrivelse, illustrerer de påtalte manglene at FHI har vært mer opptatt av å lansere en app raskt, enn man har vært av kvalitetssikring med tanke på sikkerhet og personvern, sier Wessel-Aas til NRK.
Fra FHIs side ble det opprinnelig kommunisert på en måte som kunne gi inntrykk av at appen var godkjent av Datatilsynet, forklarer Wessel-Aas. Dette mener han stemmer dårlig, ettersom appen knapt nok var ferdig utviklet da den ble lansert.
– Markedsføringen av appen han rett og slett ikke samsvart med realitetene, sier Wessel-Aas.
Advokat Jon Wessel-Aas mener FHI har vært mer opptatt av å lansere en app raskt, enn man har vært av kvalitetssikring med tanke på sikkerhet og personvern.
Foto: Gorm Kallestad / NTB scanpix
