Smitrakningaröpp og persónuvernd Lena Mjöll Markusardóttir skrifar 22. apríl 2020 16:43 Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Faraldur kórónuveiru (COVID-19) Persónuvernd Mest lesið Stórveldi eiga hagsmuni en ekki vini: Deilur tveggja NATO ríkja um Grænland Hilmar Þór Hilmarsson Skoðun Vinnulag í rannsóknaverkefnum er ekki vísbending um stjórnarhætti þess sem borgar Haraldur Ólafsson Skoðun „Þetta er algerlega galið“ Hjörtur J. Guðmundsson Skoðun Hvernig getum við stigið upp úr sorginni? Birna Guðný Björnsdóttir Skoðun Fersk fyrirheit: máttur nýársheita og skýrra markmiða Árni Sigurðsson Skoðun Er þetta alvöru? Bjarni Karlsson Skoðun Opið bréf til valkyrjanna þriggja Björn Sævar Einarsson Skoðun „Forðastu múslímana,“ sögðu öfgahægrimenn mér Guðni Freyr Öfjörð Skoðun Opið bréf til forystu Kennarasambands Íslands (KÍ): Endurskoðum aðferðafræði verkfallsins Valgerður Bára Bárðardóttir Skoðun Gott knatthús veldur deilum Stefán Már Gunnlaugsson Skoðun Skoðun Skoðun „Þetta er algerlega galið“ Hjörtur J. Guðmundsson skrifar Skoðun Hvernig getum við stigið upp úr sorginni? Birna Guðný Björnsdóttir skrifar Skoðun Stórveldi eiga hagsmuni en ekki vini: Deilur tveggja NATO ríkja um Grænland Hilmar Þór Hilmarsson skrifar Skoðun Vinnulag í rannsóknaverkefnum er ekki vísbending um stjórnarhætti þess sem borgar Haraldur Ólafsson skrifar Skoðun Fersk fyrirheit: máttur nýársheita og skýrra markmiða Árni Sigurðsson skrifar Skoðun Skilaboð hátíðarinnar Skúli S. Ólafsson skrifar Skoðun Er þetta alvöru? Bjarni Karlsson skrifar Skoðun Hugum að loftgæðum, heilsu og sjálfbærni um jólin – eigum loftgæða jól! Heiða Mjöll Stefánsdóttir,Sylgja Dögg Sigurjónsdóttir skrifar Skoðun Raforkunotkun gagnavera minnkað mikið Tinna Traustadóttir skrifar Skoðun Gott knatthús veldur deilum Stefán Már Gunnlaugsson skrifar Skoðun Göngum fyrir friði Guttormur Þorsteinsson skrifar Skoðun Skammtatölvur: Framtíð tölvunarfræði og bylting í útreikningum Sigvaldi Einarsson skrifar Skoðun Hamingjan sem leiðarljós menntakerfisins Reynir Böðvarsson skrifar Skoðun Gagnaver auka hagkvæmni í fjarskiptum Íslands við umheiminn Þorvarður Sveinsson skrifar Skoðun Aðildarviðræður Íslands og Evrópusambandsins Jón Frímann Jónsson skrifar Skoðun „Forðastu múslímana,“ sögðu öfgahægrimenn mér Guðni Freyr Öfjörð skrifar Skoðun 2027 væri hálfkák Ole Anton Bieltvedt skrifar Skoðun Hvað eru jólin fyrir þér? Hugrún Sigurjónsdóttir skrifar Skoðun Landið helga? Ingólfur Steinsson skrifar Skoðun Að sinna orkuþörf almennings Kristín Linda Árnadóttir skrifar Skoðun Tímamót Jón Steindór Valdimarsson skrifar Skoðun Menntun fyrir Hans Vögg Þuríður Magnúsína Björnsdóttir skrifar Skoðun Þegar Samtök verslunar og þjónustu vita betur Erna Bjarnadóttir skrifar Skoðun Dans verkalýðsleiðtoga í kringum gullkálfinn Ole Anton Bieltvedt skrifar Skoðun Jól í sól versus jóla í dimmu Matthildur Björnsdóttir skrifar Skoðun Mikilvægi samgöngusáttmála fyrir Vestfirði Sigríður Ólöf Kristjánsdóttir,Unnar Hermannsson,Halldór Halldórsson skrifar Skoðun Opið bréf til valkyrjanna þriggja Björn Sævar Einarsson skrifar Skoðun Kæri Grímur Grímsson – sakamaður gengur laus? Árni Guðmundsson skrifar Skoðun Er janúar leiðinlegasti mánuður ársins? Dagbjört Harðardóttir skrifar Skoðun Svar við hótunum Eflingar Sigurður G. Guðjónsson skrifar Sjá meira
Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar.
Stórveldi eiga hagsmuni en ekki vini: Deilur tveggja NATO ríkja um Grænland Hilmar Þór Hilmarsson Skoðun
Vinnulag í rannsóknaverkefnum er ekki vísbending um stjórnarhætti þess sem borgar Haraldur Ólafsson Skoðun
Opið bréf til forystu Kennarasambands Íslands (KÍ): Endurskoðum aðferðafræði verkfallsins Valgerður Bára Bárðardóttir Skoðun
Skoðun Stórveldi eiga hagsmuni en ekki vini: Deilur tveggja NATO ríkja um Grænland Hilmar Þór Hilmarsson skrifar
Skoðun Vinnulag í rannsóknaverkefnum er ekki vísbending um stjórnarhætti þess sem borgar Haraldur Ólafsson skrifar
Skoðun Hugum að loftgæðum, heilsu og sjálfbærni um jólin – eigum loftgæða jól! Heiða Mjöll Stefánsdóttir,Sylgja Dögg Sigurjónsdóttir skrifar
Skoðun Mikilvægi samgöngusáttmála fyrir Vestfirði Sigríður Ólöf Kristjánsdóttir,Unnar Hermannsson,Halldór Halldórsson skrifar
Stórveldi eiga hagsmuni en ekki vini: Deilur tveggja NATO ríkja um Grænland Hilmar Þór Hilmarsson Skoðun
Vinnulag í rannsóknaverkefnum er ekki vísbending um stjórnarhætti þess sem borgar Haraldur Ólafsson Skoðun
Opið bréf til forystu Kennarasambands Íslands (KÍ): Endurskoðum aðferðafræði verkfallsins Valgerður Bára Bárðardóttir Skoðun