Hopp til innhold

Artikkel

Bruk av Smittestopp og personvern

Publisert

Her kan du lese om hvordan appen Smittestopp fungerer samt personvernerklæringen som hører til appen. Du kan når som helst slette dine innsamlede personopplysninger og slutte å bruke Smittestopp. Smittestopp har 16 års aldersgrense.

Her kan du lese om hvordan appen Smittestopp fungerer samt personvernerklæringen som hører til appen. Du kan når som helst slette dine innsamlede personopplysninger og slutte å bruke Smittestopp. Smittestopp har 16 års aldersgrense.


Frivillig bruk

Det er frivillig å laste ned og å bruke Smittestopp. Det er også frivillig å ta med mobiltelefonen når man er utenfor hjemmet. Folkehelseinstituttets behandling av personopplysninger har hjemmel i forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av covid-19.

Under beskrives først hvordan tjenesten fungerer og deretter følger personvernerklæringen. Du må lese gjennom beskrivelsen og akseptere vilkårene i appen for å kunne ta den i bruk. Akseptknapp finner du nederst i appen. Hvis du ikke aktiverer Smittestopp, blir ingen personopplysninger samlet inn.

Du kan når som helst slette dine innsamlede personopplysninger og slutte å bruke Smittestopp. Smittestopp har 16 års aldersgrense.

Hvordan Smittestopp fungerer

Utbruddet av covid-19 er et alvorlig utbrudd av smittsom sykdom som kan få alvorlige helsekonsekvenser for mange mennesker. Sykdommen har gått over i en ny fase hvor vi ikke har klart å identifisere smittekjeden for alle som blir syke. Manuell smittesporing tar lang tid, er unøyaktig og krever store ressurser. Folkehelseinstituttet (FHI) har derfor utviklet appen Smittestopp.

Smittestopp innebærer en automatisert og digital oppsporing av personer som smittede har vært i nær kontakt med (nærkontakter) gjennom GPS-posisjon og Bluetooth-nærhet, slik at nærkontaktene kan varsles og ta forholdsregler som både verner dem selv og andre. Appen muliggjør også måling av effekten av samfunnsmessige restriksjoner, slik at andre tiltak eventuelt kan forlenges, nedskaleres eller avsluttes. Nytten av Smittestopp øker jo flere som tar den i bruk.

Smittestopp innebærer at det lagres data om brukernes bevegelsesmønster og kontakt med andre mobiltelefoner som har lastet ned Smittestopp. Informasjonen lagres i maksimalt 30 dager. Kontakt registreres både ved bruk av GPS og Bluetooth. Det er ikke nødvendig at de som registreres kjenner hverandre.

Smittstopp registrerer automatisk alle telefoner med nedlastet og aktivert Smittestopp-app, som er nær hverandre. Først når en av brukerne registreres som smittet, analyseres hvilke telefoner vedkommendes telefon har vært tilstrekkelig nær, lenge nok, til at det finnes smittefare.

Ved lansering av Smittestopp, er kontakt nærmere enn 2 meter i mer enn 15 minutter i løpet av 24 timer, definert som nærkontakt med smittefare. Dersom dette endres, vil du få informasjon om dette.

Når en person får en covid-19-prøve som er positiv, vil dette registreres hos FHI i det som kalles MSIS-databasen, jf. forskrift om meldingssystem for smittsomme sykdommer. Registreringen i MSIS-databasen skjer elektronisk og det er FHI som er dataansvarlig for innsamling og behandling av helseopplysninger i MSIS. MSIS-database inneholder 11-sifret fødselsnummer og kan legge til mobiltelefonnummer til vedkommende som har avlagt positiv covid-19-prøve.

Ved hjelp av fødselsnummer kan informasjon om smitte kobles til mobiltelefonnummeret til personer som har lastet ned appen. Mobiltelefonnummeret hentes fra det sentrale Kontakt- og reservasjonsregisteret. De som ikke har registrert mobiltelefonnummer der, vil ikke kunne få beskjed per SMS. Du kan oppdatere dine opplysninger i dette registeret på Oppdater kontaktinformasjonen din på kun ett sted (Digitaliseringsdirektoratet). 

Ved å følge, og lagre, bevegelsesmønster og hvilke andre mobiltelefoner som har vært i nærheten av mobiltelefonen til en som har blitt smittet siste to uker, kan nærkontaktene få melding om at de har vært i nærheten av en som er smittet og at de bør ta forholdsregler for å verne egen og andres helse.

Et eksempel: Kari, Georg, Sheila og Per har alle lastet ned Smittestopp. Alle fire er friske. De omgås med ujevne mellomrom. Kari tester etter en stund positivt på covid-19. Idet dette registreres hos FHI, får Georg, Sheila og Per varsel om at de har vært i nærheten av en person som er smittet. De kan da passe på egen helse og gå i karantene.  De får ikke vite når eller hvor dette skjedde. De får ikke vite at det er Kari som er den personen som er "kilden" til at de blir varslet, men det kan heller ikke utelukkes at de vil forstå at det er henne. De vil få vite hvilken dag de var i nærheten av en smittet, så de vet startdatoen for hvor lenge de skal være i karantene.

Personopplysningene som samles inn vil ikke benyttes til å følge med på om enkeltpersoner overholder råd eller pålegg. Helseopplysninger eller lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere selv om du samtykker. Personopplysningene kan ikke utnyttes kommersielt.

Smittestopp er en ny teknologisk løsning som FHI håper vil bidra til å gjøre konsekvensene av covid-19 mindre for den enkelte og for samfunnet.  FHI kan ikke garantere at Smittestopp vil gi det ønskede resultat. FHI kan ikke under noen omstendighet holdes ansvarlig for tap av liv eller helse, tap av fortjeneste, eller noe annet økonomisk tap som kan oppstå i forbindelse med bruk eller levering av Smittestopp, eller som følge av FHIs manglende leveranse av tjenesten.

Personvernerklæring

Etter du har lastet ned Smittestopp, vil FHI behandle personopplysninger om deg. Nedenfor finner du derfor informasjon om personopplysninger som samles inn, hvorfor vi gjør dette og dine rettigheter knyttet til behandlingen av personopplysningene.

Behandlingsansvarlig for personopplysningene vi behandler er Folkehelseinstituttet (FHI) ved direktør Camilla Stoltenberg. Kontaktinformasjonen til FHI er Lovisenberggata 6 og 8, 0456 Oslo. Telefonnummer er 21 07 70 00. E-postadressen er folkehelseinstituttet@fhi.no.

For spørsmål du måtte ha om FHIs behandling av dine personopplysninger, kan du også kontakte vårt personvernombud på personvernombud@fhi.no.

1. Hvorfor vi samler vi inn personopplysninger og hvilken hjemmel som benyttes

Formålet med appen Smittestopp er å advare de som har vært i nærkontakt med smittede slik at de kan beskytte seg selv og å verne andre ved å gå i karantene.

FHI har hjemmel for å samle inn og behandle personopplysningene i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav i) og i forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av covid-19 som er gitt med hjemmel i smittevernloven § 7-12. Personopplysningene vil kun bli benyttet for formål som angis i forskriften, nemlig rask oppsporing av og formidling av råd til personer som kan være smittet.

Gjennom overvåkning av opplysninger på befolkningsnivå skal bruk av Smittestopp også gjøre det mulig enklere å følge smitteutbredelse og å vurdere effekten av smitteverntiltak. Mobiltelefonnummer og andre direkte personidentifiserende kjennetegn om brukerne vil ikke bli behandlet for dette formålet.

Dine personopplysninger vil ikke bli benyttet til kontroll av den enkelte, som for eksempel å kontrollere om noen overholder § 5 i forskrift om karantene, isolasjon og forbud mot opphold på fritidseiendommer mv. i anledning utbrudd av covid-19.

Helseopplysninger eller lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere. Personopplysningene kan ikke utnyttes kommersielt.

FHI vil kunne anonymisere personopplysningene og bruke dem til forskningsformål. Slike anonyme sub-datasett vil kunne brukes til modellering av epidemien (prediksjoner). De kan også benyttes for å vurdere hvilken effekt politiske tiltak og pålegg, som for eksempel karantene og skolestenging, har på epidemien. Man vil for eksempel kunne lage en sosial distanserings-indikator for hver kommune. Slike data vil også bidra til å kunne forstå befolkningens bevegelsesmønster og hvordan folk møtes. Slik informasjon vil kunne brukes til å vurdere om det er spesielle områder, aldersgrupper eller aktiviteter som er mer utsatt for å genere smitte («hotspots»).

2. Utlevering av personopplysninger til andre

Personopplysningene dine vil behandles av FHI. Som hovedregel vil dine personopplysninger ikke behandles av mennesker, da dette er automatiserte prosesser. Likevel kan det oppstå behov for at autorisert personell kan gis tilgang til identifiserende opplysninger i registeret.. Det føres en logg over hvem som har slått opp på hvilke personopplysninger og når dette skjedde. Du kan få innsyn i denne loggen.

Ved varsling av andre personer om at de har vært i nærheten av en smittet, vil ingen kjennetegn ved den smittede formidles. Nærkontaktene vil få vite hvilken dag kontakten skjedde (innenfor 24 timer), slik at tiden for karantene kan beregnes. I situasjoner der få har kontakt med andre, kan vi likevel ikke utelukke at noen av de varslede kan forstå hvem den smittede er. Vi kan derfor ikke utelukke at andre kan forstå at du er blitt smittet.

FHI bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. Før varslingsløsningen tas i bruk nasjonalt, vil FHI validere den delen av løsningen sammen med noen få utvalgte kommuner. Dette gjøres for å kvalitetssikre at algoritmen i appen klarer å fange opp riktige nærkontakter. Valideringen vil skje i begrenset tidsperiode, med få utvalgte kommuner og kun begrenset antall personer vil få tilgang til identifiserende opplysninger om nærkontakter fra Smittestopp.

FHI har inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen. FHI benytter seg av følgende databehandlere per i dag:

  • Simula Research Laboratory AS, Simula Metropolitan Center for Digital Engingeering AS (Simula Met) og Simula Consulting AS for utvikling av tjenesten
  • Microsoft Ireland Operations Ltd for lagring av personopplysningene i MS Azure
  • Norsk Helsenett for innsynsløsningen
  • Utvalgte kommuner for validering av varslingsløsningen

All behandling av personopplysninger som vi foretar skjer innenfor EU/EØS-området, slik at personvernforordningen gjelder fullt ut.

3. Hvilke personopplysninger som samles inn og hvor lenge de lagres

Når Smittestopp tas i bruk vil appen automatisk sende informasjon om bruksmønster (for eksempel start og stopp av appen) og feilsituasjoner (for eksempel at appen krasjer) til Microsoft App Center. Denne informasjonen lagres i inntil 90 dager og brukes til feilretting og til å forstå hvordan appen brukes.

Smittestopp samler inn følgende personopplysninger når du laster ned og aktiverer den på telefonen din:

  • Mobiltelefonnummer
  • Alder
  • GPS-posisjon slik at nærkontakt med andre personer/mobiltelefoner kan spores, det vil si at det registreres bevegelsesmønster kontinuerlig (lengdegrad, breddegrad, hastighet, høyde over havet, tid på ulike lokasjoner) når Smittestopp er aktivert og mobiltelefonen er påslått
  • Generert UUID fra Smittestopp (unik ID som følger telefonnummeret)
  • Operativsystem, mobiloperatør, versjonsnummer, og telefonmodell - dette brukes til å øke kvaliteten på innsamlede data da ulike telefoner og operativsystem har forskjellig presisjon på posisjonsdata
  • Bluetooth-data om Smittestopp-apper på andre telefoner som er innen rekkevidde av telefonen (startidspunkt for kontakt, sluttidspunkt for kontakt, generert UUID for telefoner i nærheten, vektor med signalstyrke for telefoner i nærheten) logges kontinuerlig

For å identifisere smittede brukere og kontakte brukere som har vært i nærkontakt med smittede, kan personopplysningene i systemet kobles med personopplysninger i Meldingssystem for smittsomme sykdommer, jf. MSIS-forskriften § 1-1 og Registeret over digital kontaktinformasjon og reservasjon, jf. eForvaltningsforskriften § 29.

Så lenge du har aktivert appen vil GPS-data, opplysninger om hvor du har vært og hvilke andre mobiltelefoner du har vært i nærheten av, registreres, oppbevares og slettes automatisk etter 30 dager.

FHI vil oppbevare informasjon om hvilke mobiltelefonnumre som har vært varslet om at de har vært i nærkontakt med en smittet, i 30 dager. FHI vil vurdere behov for denne lagringen og vil gi beskjed om denne tidsperioden endres eller om slik lagring utelates. Du vil da få beskjed om dette.

Faste opplysninger som mobiltelefonnummer, UUID og versjonsnummer på mobiltelefonens operativsystem lagres så lenge du bruker Smittestopp.

Du kan når som helst selv slette dine personopplysninger ved å bruke slettefunksjonaliteten i Smittestopp ved å trykke på sletteknappen i appen. Dine personopplysninger vil da bli slettet både i mobiltelefonen og sentralt. Deretter kan du slette selve appen fra mobiltelefonen.

Hvis du bare sletter Smittestopp fra mobiltelefonen (uten å trykke på sletteknappen), slettes dine personopplysninger sentralt etter en uke.

Alle innsamlede personopplysninger skal slettes når forskriften opphører å gjelde den 1. desember 2020.

4. Dine rettigheter

Du har rett til å kreve innsyn, retting eller sletting av personopplysningene vi behandler om deg. Dette gjelder for eksempel innsyn i dine lokasjonsopplysninger og hvem som har sett på dine personopplysninger. Du har også rett til å kreve begrenset behandling og rette innsigelse mot behandlingen. Du kan lese mer om disse rettighetene på Datatilsynets nettside:  www.datatilsynet.no.  

Du kan få innsyn i hvilke GPS-opplysninger vi har registrert for din telefon ved å logge inn på Helsenorge (www.helsenorge.no/smittestopp). [A2] Du vil ikke få innsyn i Bluetooth-opplysninger da dette vil kunne bidra til å identifisere hvem som er smittet. Dersom du ikke ønsker å bruke Helsnorge for å få innsyn, eller dersom du ønsker å benytte deg av dine øvrige rettigheter, kan du henvende deg til vårt personvernombud personvernombud@fhi.no

Vi vil svare på din henvendelse så fort som mulig, og senest innen 30 dager. Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg.

5. Klage

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen eller annen relevant lovgivning, så kan du klage til Datatilsynet eller du kan kontakte oss eller vårt personvernombud.

Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

6. Endringer

Covid-19-epidemien er i rask utvikling og det kan bli nødvendig med endringer i hvordan vi behandler personopplysninger. Dette kan medføre endringer i tjenestens funksjonalitet og i personvernerklæringen.  Vi vil informere om slike eventuelle endringer i så god tid som mulig og på en måte som gjør at du kan ta stilling til om du fortsatt ønsker å bruke Smittestopp før endringene trer i kraft. Du vil varsles via SMS om slike endringer.

Om artikkelen / endringshistorikk

Innhold på denne siden

Spørsmål om appen Smittestopp?

Har du spørsmål om appen Smittestopp, ring Helsenorge på 23 32 70 00