Hopp til innhold

Artikkel

Slik har FHI utviklet Smittestopp

Publisert Oppdatert

Smittestopp er et digitalt verktøy med to formål. Appen skal gi Folkehelseinstituttet anonyme data om hvordan grupper beveger seg i samfunnet, og på sikt skal brukerne få et varsel om de har vært i nærkontakt med koronasmittede.

Appen Smittestopp skal varsle om smitte, og deler data om hvordan grupper beveger seg i samfunnet. Foto: Mostphotos/Farknot Architect.
Appen Smittestopp skal varsle om smitte, og deler data om hvordan grupper beveger seg i samfunnet. Foto: Mostphotos/Farknot Architect.

Smittestopp er et digitalt verktøy med to formål. Appen skal gi Folkehelseinstituttet anonyme data om hvordan grupper beveger seg i samfunnet, og på sikt skal brukerne få et varsel om de har vært i nærkontakt med koronasmittede.


Appen er utviklet av det statlige forskningselskapet Simula på oppdrag for FHI, og er tilgjengelig i Google Play og Apple App Store. Den vil etter hvert også bli gjort tilgjengelig i Huawei App Gallery.

Anonymiserte data til analyse

Ved hjelp av GPS og Bluetooth samler appen informasjon om hvor mobilen er, og hvilke andre mobiler som er i nærheten. Anonymiserte data fra appen om hvordan folk beveger seg, og hvor mange de møter vil bli brukt i arbeidet med å utforme effektive smitteverntiltak. Informasjonen vil bli analysert for å få vite mer om hvorvidt folk og grupper holder avstand til hverandre, omfanget av nærkontakter og om de smittede får flere nærkontakter når restriksjonene lettes. Data fra appen vil også bli brukt til forbedring av modellene som beregner den videre utviklingen av utbruddet.

Slik virker Smittestopp

FHI lagrer data fra de siste 30 dager om brukerens bevegelsesmønster i en skyløsning, når appen lastes ned til en telefon. I skyen lagres også en oversikt over mobilens kontakt med andre mobiltelefoner som har lastet ned Smittestopp. Kontakten registreres ved bruk av GPS og Bluetooth. Registrering av enheter som er nære hverandre i tilstrekkelig tid til at smittefare kan oppstå skjer automatisk. Det er kontakter nærmere enn 2 meter i mer enn 15 minutter, som defineres som nærkontakt.

De første ukene Smittestopp er i drift vil appen først og fremst samle informasjon om brukernes bevegelser til analyseformål.

Etter en prøveperiode i utvalgte kommuner vil personer som har vært nærkontakter få et varsel på SMS om at de har vært utsatt for smitte, med råd om hvordan de skal forholde seg til det. Dette forutsetter at både den smittede og nærkontakten bruker Smittestopp-appen.

Smittesporing

I dag foregår sporingsarbeidet i kommunene manuelt, det tar mye tid og er basert på folks hukommelse. Utbruddet av koronavirussykdom er nå i en fase hvor vi ikke klarer å identifisere smittekilden og smittekjeden for alle som blir syke. I tillegg til at manuell smittesporing tar lang tid og krever store ressurser, kan den også være er unøyaktig avhengig av pasientens hukommelse og samarbeidsvilje samt mengden kontakter. For å begrense spredningen av koronaviruset, må samfunnet ha gode systemer for å finne de som er smittet, isolere de syke og sette nærkontaktene i karantene. Derfor er det viktig at de som har vært i nærkontakt med en smittet får rask beskjed, slik at de kan gå i karantene.

Målet er at SMS-varslingen kan tas i bruk for alle Smittestopp-brukere, og bidra til at brukerne raskt får informasjon dersom de har vært utsatt for smitte og råd om hvordan man skal forholde seg for å unngå å smitte andre. Fordi en person kan være smittsom før vedkommende får symptomer, er det viktig med hurtig smittesporing for å stanse videre smittespredning.

Kommunenes rolle

Smittestopp blir et verktøy som skal testes ut og innføres på nasjonalt nivå, og som skal supplere kommunenes arbeid med smitteoppsporing. Det er bare de kommunene som blir valgt ut til å delta i utprøvingen av appen, som blir kontaktet av Folkehelseinstituttet i testfasen. Data fra løsningen vil ikke kunne deles med kommunene, men FHI vil i valideringsfasen med utvalgte kommuner utforske hvordan appen kan utfylle eller gi nytteverdi til kommunenes arbeid. Selv om det også blir produsert oversikt for andre kommuner, kommer ikke Folkehelseinstituttet til å kontakte disse og det vil ikke bli sendt ut noen SMS-varsler for disse kommunene. I testfasen kan SMS-varslene inneholde informasjon som er knyttet til den enkelte testkommune, for eksempel kontakttelefon til kommunelegen. Nøyaktig hva som vil stå i varselet vil bli utarbeidet i samarbeid med testkommunene.

I utprøvingsperioden ønsker FHI blant annet å få hjelp fra testkommunene til å få svar på om appen identifiserer de riktige kontaktene, og om det er skjevheter i alder, tid sted og hva som bør stå i SMS-varslene.

Planen er at når varslingsløsningen er testet og identifikasjon av kontakter er kvalitetssikret, kan løsningen automatiseres og alle kommunene kobles på. Da vil SMS-varsler sendes ut uten manuell prosess eller forhåndsvurdering. Appen er et utprøvende prosjekt, og FHI har ikke alle svar på hvordan dette vil fungere fremover. Det er et av formålene med valideringsfasen, som FHI håper vil gi nyttige svar på hvordan appen kan fungere.

Helsepersonell og bruk av Smittestopp

En av problemstillingene testkommunene trolig vil samle erfaring om, er hvordan varslingsfunksjonen vil fungere for yrkesgrupper som jobber med beskyttelsesutstyr i nærkontakt med kjente smittede. Disse skal ikke regnes som nærkontakt og skal ikke i karantene. Det gjelder blant annet helsepersonell, men kan også gjelde andre yrkesgrupper som kan komme i kontakt med kjente smittede i sin arbeidssituasjon. Appen er ikke laget for bruk på jobb i slike situasjoner. Inntil appens varslingsfunksjon er testet ut i prøvekommunene, rådes yrkesgrupper som har nærkontakt med kjente smittede, å skru av GPS og Bluetooth i appen mens de er på jobb. I den planlagte varslingsfunksjonen er det tenkt at en enkeltbruker kun kan motta ett varsel per dag om eksponering for smitte. Da vil det være hensiktsmessig for yrkesgruppene som jobber med kjente smittede, å vite at et eventuelt varsel ikke kommer fra en arbeidssituasjon med bruk av smittevernutstyr. Dersom de er i tvil om bakgrunnen for varselet og om de skal i karantene, kan de kontakte kommunelegen.

Personvern

Det er frivillig å bruke Smittestopp. Dataene om hvor brukerne har oppholdt seg registreres med stedstjenester og Bluetooth. Disse dataene slettes etter 30 dager. Mens Smittestopp-appen er i bruk, er hele tiden data fra de siste 30 dagene registrert, mens eldre data slettes. Hver enkelt bruker kan når som helst slette sine personopplysninger ved å bruke slettefunksjonaliteten i appen, samt slette selve appen. Brukerne kan også selv velge om de vil skru av og på loggefunksjoner midlertidig. Appbrukerne har rett til innsyn i hvilke data som er lagret om den enkelte, og hvem som har sett informasjonen. En selvbetjeningsløsning for innsyn vil bli etablert i tilknytning til Smittestopp.

Når varslingsfunksjonen blir tatt i bruk, vil appbrukere som mottar et varsel, få oppgitt hvilken dato de var i kontakt med den smittede. De får ikke vite hvem som er smittet, men det kan ikke utelukkes at den som mottar varselet likevel forstår hvem som er smittet ut fra opplysning om datoen for kontakt. Brukerne godkjenner dette i personvernerklæringen:

Informasjonssikkerhet

Både informasjonssikkerhet for lagrede data og personvern for brukerne har hatt høy prioritet i utviklingen av Smittestopp, og Simula har benyttet veletablerte industri- og krypteringsstandarder for å sikre appen. Det vil være sikkerhetsutfordringer i ulike deler av verdikjeden for enhver app, og dette er ivaretatt både i selve appen og i behandlingen av dataene. Data vil heller ikke være tilgjengelig for andre enn autorisert personell. Sikkerhetsutfordringer knyttet til selve smarttelefon er de samme som for andre apper. Koden i appen er bygd fra grunnen av Simula, som har brukt tilgjengelige biblioteker og veletablerte rutiner som eksisterer på alle telefoner.

Myndighetenes krav til sikkerhet og sårbarhet er ivaretatt. FHI har hatt overordnet ansvar for Risiko- og sårbarhetsanalyser (ROS) med bidrag fra Norsk Helsenett (NHN), samt interne og eksterne sikkerhetsressurser. En ekspertgruppe har gjennomgått løsningen og kildekoden på oppdrag fra Helse- og omsorgsdepartementet, eksterne kommersielle sikkerhetsselskap overvåker løsningen, og det er etablert en tilgangslogg som gir mulighet for å validere at feil personer ikke har hatt tilgang til personopplysninger.

Sentral vs. lokal lagring av data

Andre appløsninger har valgt å lagre data på den enkeltes mobiltelefon. Slik er løsningen i appen TraceTogether som er i bruk i Singapore og Island sin app "Rakning C-19". En slik desentralisert modell vil ikke gjøre det mulig å vurdere effekten av smitteverntiltak ved å se på bevegelsesmønstre i befolkningen. Slike analyser kan kun gjøres basert på anonyme data, og det ville bli vanskeligere å bruke appen til å evaluere om tiltakene i samfunnet har effekt eller ikke.

En annen grunn til at det er valgt sentral lagring av lokasjons- og kontaktinformasjon, er nøyaktighet og hastighet. Testing har vist at appen kan gi høyere nøyaktighet på sporingen hvis data lagres og behandles sentralt. Dette er fordi vi da kan ta data fra begge telefonene som «møtes» og sammenligne disse for å gi en mer nøyaktig vurdering av nærkontakt. Enkelte telefonmodeller fungerer dårligere enn andre, og kan få hjelp ved at den andre mobiltelefonen ser den bedre. Slik kan vi unngå at appen varsler om at du har vært nærkontakt til en smittet, uten at det stemmer.

Sentral lagring gjør det også mulig å sende ut raskere beskjeder til de som har vært nærkontakt til en smittet person. Ved sentral lagring unngås forsinkelser ved at først må man kontakte den smittede, som så må laste opp sine data. Lokasjonsdata og sentral lagring til sammen gir både høyere nøyaktighet, raskere og bedre varslinger.

Vurdering av sentral lagring, mulighet for dataminimering eller endring av hvor mye data som samles inn, vil imidlertid bli vurdert fortløpende ettersom FHI og Simula samler erfaring med løsningen.

Åpen vs. lukket kildekode

Åpen kildekode er et godt sikkerhetsprinsipp som kan avdekke sårbarheter. Likevel er det flere årsaker til at FHI og Simula foreløpig har valgt ikke å åpne kildekoden. Smittestopp er en inngripende løsning, og det er uttrykt bekymring for hvordan dette kan misbrukes dersom koden kommer i feil hender. Sikkerhet er en annen begrunnelse, i tillegg til at FHI og Simula også samarbeider med andre land, som ikke har ønsket å dele sin kildekode. Det har heller ikke vært vanlig praksis i helse- og omsorgssektoren at leverandører, eller tjenestetilbydere har gjort sine løsninger tilgjengelig som åpen kildekode.

Andre lands løsninger

Det er en rekke land som nå arbeider med smittesporingsløsninger på mobiltelefon. Norge har utviklingssamarbeid med flere av disse. Kildekoden til Smittestopp er bygget fra grunnen, men med tilgang til kildekode fra lignende løsninger i andre land. Det har også vært dialog og erfaringsutveksling mellom flere land rundt tekniske utfordringer.

Flere av løsningene som er brukt i Asia er mer inngripende enn Smittestopp. Enkelte løsninger er basert på kun Bluetooth, eller kun GPS, noen med automatisk varsling og andre kun til hjelp i den manuelle smitteoppsporingen. Prosjektet vurderte tilgjengelig informasjon ved oppstart i mars, og har også samlet og vurdert informasjon løpende. Det er spesielt vurderinger fra Singapore, UK og Island som er brukt i planlegging og utvikling av løsningen. I tillegg har prosjektet vært i kontakt med noen andre land som ikke har annonsert sitt arbeid offentlig enda. FHI mener at løsningen som er valgt er den som gir best mulighet for å lykkes i Norge, og som også gir fleksibilitet til å tilpasse løsningen underveis.

Google- og Apple-initiativet

Fellesløsningen fra Google og Apple som nylig er varslet er noe annerledes enn det som FHI har valgt i sin sporingsapp. Når Apple og Google gjør sine løsninger tilgjengelig så vil FHI vurdere om dette kan brukes til å erstatte eller fungere sammen med dagens løsning. Dersom Apple og Google sine nye APIer skal benyttes i Norge, er det rimelig å anta noe utviklingstid og sikkerhetsanalyser før funksjonaliteten inkluderes i FHI sin app.

Fordi Smittestopp også samler data sentralt for å produsere anonymisert statistikk til å følge smitteutbredelse og vurdere effekten av smitteverntiltak, skiller den seg fra Google- og Apple-løsningen. Dersom innsamling og analyse av anonyme data viser seg å være viktig for å vurdere smitteverntiltak, er det sannsynlig at FHI vil fortsette å beholde innsamling av GPS og Bluetooth-data til sentral lagring også etter at Apple og Google har gjort sine løsninger tilgjengelig.

Mer bakgrunnsmateriale

Er du interessert i mer om det tekniske rundt Smittestopp og hva slags vurderinger som er gjort? Les 10 spørsmål og svar om Smittestopp-appen fra Tekna Magasinet. 

Om artikkelen / endringshistorikk

Innhold på denne siden

Spørsmål om appen Smittestopp?

Har du spørsmål om appen Smittestopp, ring Helsenorge på 23 32 70 00