Varslet vedtak om pålegg fra Datatilsynet (arkivert)
Nyhet
|Publisert
Dette innholdet er arkivert og blir ikke oppdatert.
FHI mottok fredag varsel om vedtak om pålegg fra Datatilsynet knyttet til appen Smittestopp.
Denne nyheten er eldre enn 30 dager og informasjonen kan være utdatert
Ta meg til forsidenDet ene pålegget er knyttet til behandlingsprotokoll som tilfredsstiller kravene i personvernforordningen artikkel 30. Datatilsynet skriver at det ikke fremgår i behandlingsprotokollen for FHI at appen har flere ulike formål.
– Vi presiserer at appens to formål gjennomgående er formidlet i all kommunikasjon rundt appen, både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetssaker og tekster på nett, i intervjuer og pressekonferanser. Appens to formål er også nedfelt i forskrift. Det at dette er formulert for overordnet i behandlingsprotokollen skal vi selvfølgelig endre umiddelbart, sier fungerende assisterende direktør Gun Peggy Knudsen ved FHI.
Risiko- og sårbarhetsanalyser på plass
Det andre pålegget er knyttet til det Datatilsynet mangler av dokumentasjon på risiko- og sårbarhetsanalyser for varslings- og analyseløsningene. Datatilsynet mener den totale risikoen ved appen ikke kan ha vært kjent.
– Vi er enige med Datatilsynet i at formålet med en risiko- og sårbarhetsanalyse (ROS-analyse) er å avdekke risiko og sårbarheter før nye løsninger tas i bruk, og dette mener vi at vi har etterlevd. Vi har som Datatilsynet peker på, lagt til grunn en stegvis utbygging av ROS-analysen, i takt med når deler av totalløsningen skal tas i bruk. Appen samler inn data, og ROS-analyse for appen med lagringsløsning ble gjennomført før appen ble lansert. Risiko- og sårbarhetsanalyser for varslings- og sporingsdelen var på plass før valideringsperioden startet i de tre kommunene hvor appen har vært testet ut til smittesporing. Dokumentene har ikke vært oversendt Datatilsynet ennå fordi vi ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass, men vi oversender disse risiko- og sårbarhetsanalysene nå, og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen, sier Gun Peggy Knudsen.
Personvern og sikkerhet høyt prioritert
FHI forstår at Datatilsynet følger tett med på utviklingen og bruken av Smittestopp, og er helt enige i at appen reiser flere personvernmessige problemstillinger.
– Vi har prioritert arbeidet med personvern og sikkerhet svært høyt under utviklingen og valideringen av appen som nå foregår i tre kommuner, og vil være svært nøye med å følge opp både pålegg, spørsmål og kommentarer fra Datatilsynet, sier fungerende assisterende direktør Gun Peggy Knudsen i Folkehelseinstituttet.