Hopp til innhold

Artikkel

Smittestopp og informasjonssikkerhet

Publisert Oppdatert

Personvern for brukerne og informasjonssikkerhet for lagrede data og har hatt høy prioritet i utviklingen av smittesporingsappen Smittestopp. Etter mottak av varsel fra Datatilsynet 12. juni, om at de vurderer å gi et midlertidig forbud mot behandling av persondata, sletter FHI alle innsamlede data, både telefonnummer og smittesporingsdata.

Personvern for brukerne og informasjonssikkerhet for lagrede data og har hatt høy prioritet i utviklingen av smittesporingsappen Smittestopp. Etter mottak av varsel fra Datatilsynet 12. juni, om at de vurderer å gi et midlertidig forbud mot behandling av persondata, sletter FHI alle innsamlede data, både telefonnummer og smittesporingsdata.


Appen er utviklet av Simula Research Laboratory på vegne av FHI, og er tilgjengelig i Apple App Store, Google Play Store og Huawei App Gallery. Generell informasjon til befolkningen om Smittestopp, brukerveiledninger på flere språk og svar på vanlige brukerspørsmål finnes på helsenorge.no: Sammen kan vi knekke korona – last ned Smittestopp.
Les mer om FHI og Smittestopp her

Personvern

Det er frivillig å bruke Smittestopp. Dataene om hvor brukerne har oppholdt seg registreres med stedstjenester og Bluetooth. Disse dataene slettes etter 30 dager. Mens Smittestopp-appen er i bruk, er hele tiden data fra de siste 30 dagene registrert, og eldre data slettes. Hver enkelt bruker kan når som helst slette sine personopplysninger ved å bruke slettefunksjonaliteten i appen, samt slette selve appen. Brukerne kan også selv velge om de vil skru av og på loggefunksjoner midlertidig ved å slå av stedstjenester eller deaktivere appen. Appbrukerne har rett til innsyn i hvilke data som er lagret om den enkelte, og hvem som har sett informasjonen. En selvbetjeningsløsning for innsyn blir etablert i tilknytning til Smittestopp.

Når varslingsfunksjonen blir tatt i bruk nasjonalt, vil appbrukere som mottar et varsel, få oppgitt hvilken dato de var i kontakt med den smittede. De får ikke vite hvem som er smittet, men det kan ikke utelukkes at den som mottar varselet likevel forstår hvem som er smittet ut fra opplysning om datoen for kontakt. Brukerne godkjenner dette i personvernerklæringen:

Bruk av Smittestopp og personvern

Informasjonssikkerhet

Både informasjonssikkerhet for lagrede data og personvern for brukerne har hatt høy prioritet i utviklingen av Smittestopp, og Simula som utvikler har benyttet veletablerte industri- og krypteringsstandarder for å sikre appen. Det vil være sikkerhetsutfordringer i ulike deler av verdikjeden for enhver app, og dette er ivaretatt både i selve appen og i behandlingen av dataene. Data vil heller ikke være tilgjengelig for andre enn autorisert personell. Sikkerhetsutfordringer knyttet til selve smarttelefon er de samme som for andre apper. Etter lansering ble det gjort en oppdatering hvor også informasjonen i appen ble kryptert. Koden i appen er bygd fra grunnen av Simula, som har brukt tilgjengelige biblioteker og veletablerte rutiner som eksisterer på alle telefoner.

Myndighetenes krav til sikkerhet og sårbarhet er ivaretatt. FHI har hatt overordnet ansvar for Risiko- og sårbarhetsanalyser (ROS) med bidrag fra Norsk Helsenett (NHN), samt interne og eksterne sikkerhetsressurser. Et eksternt, kommersielt sikkerhetsselskap overvåker løsningen, og det er etablert en tilgangslogg som gir mulighet for å validere at ingen ikke-autoriserte personer ikke har hatt tilgang til personopplysninger.

Sentral vs. lokal lagring av data

Andre appløsninger har valgt å lagre data på den enkeltes mobiltelefon. Slik er løsningen i appen TraceTogether som er i bruk i Singapore og Island sin app "Rakning C-19". En slik desentralisert modell vil ikke gjøre det mulig å vurdere effekten av smitteverntiltak ved å se på bevegelsesmønstre i befolkningen. Slike analyser kan kun gjøres basert på anonyme data, og det ville bli vanskeligere å bruke appen til å evaluere om tiltakene i samfunnet har effekt eller ikke.

En annen grunn til at det er valgt sentral lagring av lokasjons- og kontaktinformasjon, er nøyaktighet og hastighet. Testing har vist at appen kan gi høyere nøyaktighet på sporingen hvis data lagres og behandles sentralt. Dette er fordi vi da kan ta data fra begge telefonene som «møtes» og sammenligne disse for å gi en mer nøyaktig vurdering av nærkontakt. Enkelte telefonmodeller fungerer dårligere enn andre, og kan få hjelp ved at den andre mobiltelefonen ser den bedre. Slik kan vi unngå at appen varsler om at du har vært nærkontakt til en smittet, uten at det stemmer.

Sentral lagring gjør det også mulig å sende ut raskere beskjeder til de som har vært nærkontakt til en smittet person. Ved sentral lagring unngås forsinkelser ved at først må man kontakte den smittede, som så må laste opp sine data. Lokasjonsdata og sentral lagring til sammen gir både høyere nøyaktighet, raskere og bedre varslinger.

Vurdering av sentral lagring, mulighet for dataminimering, eller endring av hvor mye data som samles inn, vurderes fortløpende av FHI og Simula etter hvert som det innhentes erfaring med løsningen.

Åpen vs. lukket kildekode

Åpen kildekode er et godt sikkerhetsprinsipp som kan avdekke sårbarheter. Likevel er det flere årsaker til at FHI og Simula foreløpig har valgt ikke å åpne kildekoden. Smittestopp er en inngripende løsning, og det er uttrykt bekymring for hvordan dette kan misbrukes dersom koden kommer i feil hender. Sikkerhet er en annen begrunnelse, i tillegg til at FHI og Simula også samarbeider med andre land, som ikke har ønsket å dele sin kildekode. Det har heller ikke vært vanlig praksis i helse- og omsorgssektoren at leverandører, eller tjenestetilbydere har gjort sine løsninger tilgjengelig som åpen kildekode.

Andre lands løsninger

Det er en rekke land som nå arbeider med smittesporingsløsninger på mobiltelefon. Norge har utviklingssamarbeid med flere av disse. Kildekoden til Smittestopp er bygget fra grunnen, men med tilgang til kildekode fra lignende løsninger i andre land. Det har også vært dialog og erfaringsutveksling mellom flere land rundt tekniske utfordringer.

Flere av løsningene som er brukt i Asia er mer inngripende enn Smittestopp. Enkelte løsninger er basert på kun Bluetooth, eller kun GPS, noen med automatisk varsling og andre kun til hjelp i den manuelle smitteoppsporingen. Prosjektet vurderte tilgjengelig informasjon ved oppstart i mars, og har også samlet og vurdert informasjon løpende. Det er spesielt vurderinger fra Singapore, UK og Island som er brukt i planlegging og utvikling av løsningen. I tillegg har prosjektet vært i kontakt med noen andre land som ikke har annonsert sitt arbeid offentlig enda. FHI mener at løsningen som er valgt er den som gir best mulighet for å lykkes i Norge, og som også gir fleksibilitet til å tilpasse løsningen underveis.

Google- og Apple-initiativet

Fellesløsningen fra Google og Apple som nylig er varslet er noe annerledes enn det som FHI har valgt i sin sporingsapp. FHIs samarbeidspartner Simula vurderer for tiden ulike sider ved dette initiativet. Dersom Apple og Google sine nye APIer skal benyttes i Norge, er det rimelig å anta noe utviklingstid og sikkerhetsanalyser før funksjonaliteten inkluderes i FHI sin app.

Vurderinger fra ekspertgruppen

En ekspertgruppe har gjennomgått løsningen og kildekoden på oppdrag fra Helse- og omsorgsdepartementet. Ekspertgruppen har kommet med flere gode innspill som blir vurdert videre. Blant annet vurderes det å fjerne alle data man ikke trenger, for eksempel ved å forkorte tiden data er lagret, dele opp de to formålene smittesporing og analyse slik at det er mulig for brukerne å velge å bidra med data til kun ett formål, og en mer distribuert lagringsløsning.

Rapporten har også en anbefaling om anonymisering av data til analyseformål, gjennom såkalt differential privacy. FHI har på dette punktet allerede utviklet et gjennomarbeidet system for anonymisering som etter FHIs syn vil ha vel så god anonymiserende effekt som såkalt differential privacy, men som er lettere å implementere, kommunisere og som ikke taper nevneverdig datakvalitet.

FHI er trygg på at metoden som brukes for anonymisering er godt innenfor beskrivelser og definisjoner av anonymitet som er lagt til grunn i forskriften og i allmenn forståelse av begrepet.

Ekspertgruppen anbefaler også å tilgjengeliggjøre så mye kode som mulig som åpen kildekode. FHI velger foreløpig ikke å gjøre dette, basert på risikoen for misbruk.

Datatilsynet og kontroll

FHI har mottatt to pålegg fra Datatilsynet knyttet til Smittestopp. Det ene var knyttet til at behandlingsprotokollen ikke tilfredsstilte kravene i personvernforordningen artikkel 30 og var for overordnet formulert. Den er nå endret slik at det fremgår tydelig at appen har flere formål, noe som hele tiden har vært tydelig kommunisert i alle sammenhenger siden lansering av appen. Både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetsartikler, tekster på nett, i intervjuer og på pressekonferanser har dette vært fremhevet. Appens to formål er også nedfelt i forskrift.

Det andre pålegget er knyttet til at Datatilsynet mente det manglet dokumentasjon på risiko- og sårbarhetsanalyser for varslings- og analyseløsningene, og at den totale risikoen ved appen ikke kan ha vært kjent. FHI har lagt til grunn en stegvis utbygging av ROS-analysen, i takt med når deler av totalløsningen skal tas i bruk. Appen samler inn data, og ROS-analyse for appen med lagringsløsning ble gjennomført før appen ble lansert. Risiko- og sårbarhetsanalyser for varslings- og sporingsdelen var på plass før valideringsperioden startet i de tre kommunene hvor appen har vært testet ut til smittesporing. FHI ønsket opprinnelig å oversende dokumentene samlet til Datatilsynet etter at den trinnvise innføringen i kommunene var på plass, men disse risiko- og sårbarhetsanalysene er nå oversendt, og endelig dokumentasjon som inkluderer analyse og anonymisering sendes innen fristen.

FHI har også besvart 11 spørsmål fra datatilsynet om appens formål og nytteverdi. Dette er en trinnvis kontroll og FHI samarbeider med Datatilsynet og FHI følge opp eventuelle spørsmål og krav som kan komme i denne prosessen. Se Svar til Datatilsynet om Smittestopp 

Mer bakgrunnsmateriale

Er du interessert i mer om det tekniske rundt Smittestopp og hva slags vurderinger som er gjort? Les 10 spørsmål og svar om Smittestopp-appen fra Tekna Magasinet.

Om artikkelen / endringshistorikk

Innhold på denne siden