Smitrakningaröpp og persónuvernd Lena Mjöll Markusardóttir skrifar 22. apríl 2020 16:43 Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Faraldur kórónuveiru (COVID-19) Persónuvernd Mest lesið Kristrún, Þorgerður og Inga: Framtíð Íslands - Ykkar tími er komin! Gísli Hvanndal Jakobsson Skoðun Fyrstu jólin eftir ástvinamissi Anna Sigurðardóttir Skoðun Atvinnumál fatlaðra Ína Valsdóttir Skoðun „Þetta er ekki hægt, en það verður samt að gera þetta“ Arnar Þór Jónsson Skoðun Eldra fólk þarf Jóhann Pál sem félagsmálaráðherra – nema kannski þeir auðugustu Viðar Eggertsson Skoðun Mýtan um sæstreng! Andrés Pétursson Skoðun Hvað er borgaraleg pólitík? Guðjón Heiðar Pálsson Skoðun Bíp Bíp Bíp Ágúst Mogensen Skoðun Það er ekki nóg að vera klár stelpa/strákur/stálp Rakel Linda Kristjánsdóttir Skoðun Milljónerí Hannes Örn Blandon Skoðun Skoðun Skoðun Fyrstu jólin eftir ástvinamissi Anna Sigurðardóttir skrifar Skoðun Skyndihjálp: Lykillinn að öruggara samfélagi Hildur Vattnes Kristjánsdóttir skrifar Skoðun Það er ekki nóg að vera klár stelpa/strákur/stálp Rakel Linda Kristjánsdóttir skrifar Skoðun Kosningum lokið og hvað nú? Ólafur Ágúst Hraundal skrifar Skoðun „Þetta er ekki hægt, en það verður samt að gera þetta“ Arnar Þór Jónsson skrifar Skoðun Mýtan um sæstreng! Andrés Pétursson skrifar Skoðun Kvennaárið 2025 Drífa Snædal skrifar Skoðun Bíp Bíp Bíp Ágúst Mogensen skrifar Skoðun Samviskufrelsi heilbrigðisstarfsmanna ekki vandamál þegar kemur að dánaraðstoð Ingrid Kuhlman skrifar Skoðun Milljónerí Hannes Örn Blandon skrifar Skoðun Jólaskreytingafyllerí: Eru takmörk fyrir því hversu langt má ganga í jólaskreytingum? Hildur Ýr Viðarsdóttir skrifar Skoðun Hvað er borgaraleg pólitík? Guðjón Heiðar Pálsson skrifar Skoðun Ríkisstjórn verðmætasköpunar Sigríður Mogensen skrifar Skoðun Þorlákshöfn - byggð á tímamótum Anna Kristín Karlsdóttir skrifar Skoðun Hagsmunamál fyrirtækjanna í stjórnarsáttmála Ólafur Stephensen skrifar Skoðun Er lausnin í leikskólamálum að grafa undan atvinnuþátttöku og jafnrétti? Ástþór Jón Ragnheiðarson skrifar Skoðun Lýðræði hinna sterku Jón Páll Hreinsson skrifar Skoðun Bleikir hvolpar Darri Gunnarsson,Rósa Líf Darradóttir skrifar Skoðun Lifandi dauð! Kolbrún Halldórsdóttir skrifar Skoðun Það hafa allir sjötta skilningarvit Matthildur Björnsdóttir skrifar Skoðun Skoðun mín á alþingiskosningum 2024 Valgerður Bára Bárðardóttir skrifar Skoðun Kristrún, Þorgerður og Inga: Framtíð Íslands - Ykkar tími er komin! Gísli Hvanndal Jakobsson skrifar Skoðun Skautaíþróttir í Reykjavík í dauðafæri - kýlum á stækkun Skautahallarinnar Bjarni Helgason skrifar Skoðun Hlustið á fólkið í skólunum? Dóra Þorleifsdóttir skrifar Skoðun Mikilvægasta atkvæðið Kristbjörg Þórisdóttir skrifar Skoðun Nálgunarbann Fjölnir Sæmundsson,Sonja Ýr Þorbergsdóttir skrifar Skoðun Kosningasigur fyrir dýravernd Árni Stefán Árnason skrifar Skoðun Í morgun vöknuðum við á merkilegum tíma Silja Rún Friðriksdóttir skrifar Skoðun Hálft líf heimilislausra kvenna Kristín I. Pálsdóttir,Halldóra R. Guðmundsdóttir skrifar Skoðun Snúum samfélagi af rangri leið Finnbjörn A. Hermansson skrifar Sjá meira
Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar.
Kristrún, Þorgerður og Inga: Framtíð Íslands - Ykkar tími er komin! Gísli Hvanndal Jakobsson Skoðun
Eldra fólk þarf Jóhann Pál sem félagsmálaráðherra – nema kannski þeir auðugustu Viðar Eggertsson Skoðun
Skoðun Samviskufrelsi heilbrigðisstarfsmanna ekki vandamál þegar kemur að dánaraðstoð Ingrid Kuhlman skrifar
Skoðun Jólaskreytingafyllerí: Eru takmörk fyrir því hversu langt má ganga í jólaskreytingum? Hildur Ýr Viðarsdóttir skrifar
Skoðun Er lausnin í leikskólamálum að grafa undan atvinnuþátttöku og jafnrétti? Ástþór Jón Ragnheiðarson skrifar
Skoðun Kristrún, Þorgerður og Inga: Framtíð Íslands - Ykkar tími er komin! Gísli Hvanndal Jakobsson skrifar
Skoðun Skautaíþróttir í Reykjavík í dauðafæri - kýlum á stækkun Skautahallarinnar Bjarni Helgason skrifar
Kristrún, Þorgerður og Inga: Framtíð Íslands - Ykkar tími er komin! Gísli Hvanndal Jakobsson Skoðun
Eldra fólk þarf Jóhann Pál sem félagsmálaráðherra – nema kannski þeir auðugustu Viðar Eggertsson Skoðun