Folkehelseinstituttets nye app smittestopp for smittesporing. Appen skal hjelpe myndighetene med smittesporing, men kan også brukes til å varsle brukeren om at han eller hun har vært i nærheten av noen som er smittet av koronaviruset.
Foto: Heiko Junge / NTB scanpix
Heiko Junge
Datatilsynet gir varsel om pålegg til Smittestopp-appen
Mener formålet «digital smittesporing» ikke er presist nok.
Datatilsynet har varslet Folkehelseinstituttet (FHI) om vedtak om pålegg knyttet til appen Smittestopp. Bakgrunnen er at de mener det er mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalysen som er gjort i forbindelse med app-løsningen. Det skriver Datatilsynet i en pressemelding.
I behandlingsprotokollen er formålet med Smittestopp angitt som «digital smittesporing». Dette mener Datatilsynet ikke er presist nok.
- Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. Dette skal fremgå av en protokoll, sier direktør Bjørn Erik Thon.
Mangelfull risiko- og sårbarhetsanalyse
Når det gjelder risiko- og sårbarhetsanalysen (ROS-analysen), mener de mangler det vurderinger for sentrale deler av løsningen: befolkningsvarsling ved covid-19-smitte, anonymisering av personopplysninger og analysearbeid. Formålet med en slik analyse er å få frem risikoen ved en teknisk løsning, slik at man kan iverksette risikoreduserende tiltak. Først nå risikoen er kjent, kan man ta stilling til om løsningen og en eventuell restrisiko er akseptabel.
- Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen, sier Thon.
FHI mottok fredag varselet om pålegget. På sine nettsider skriver FHI at de er enige at appen reiser flere «personvernmessige problemstillinger»
– Vi presiserer at appens to formål gjennomgående er kommunisert i all kommunikasjon rundt appen, både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetssaker og tekster på nett, i intervjuer og pressekonferanser. Appens to formål er også nedfelt i forskrift. Det at dette er formulert for overordnet i behandlingsprotokollen skal vi selvfølgelig endre umiddelbart, sier fungerende assisterende direktør Gun Peggy Knudsen i Folkehelseinstituttet i en oppdatering på nettsiden.
– Vi har prioritert arbeidet med personvern og sikkerhet svært høyt under utviklingen og valideringen av appen som nå foregår i tre kommuner, og vil være svært nøye med å følge opp både pålegg, spørsmål og kommentarer fra Datatilsynet, sier hun.
Kontrollsaken fortsetter
Datatilsynet fortsetter arbeidet med kontrollsaken mot FHI og appen Smittestopp. De vil blant annet se videre på problemstillinger knyttet til formål, nytteverdi, innsamling og lagring av personopplysninger, samt sikkerhet i løsningen.