Folkehelseinstituttet har fått pålegg fra Datatilsynet om Smittestopp

Databehandlingsprotokollen er en oversikt over hvilke data som lagres og hvilke datastrømmer som brukes i en app. Dette er noe som kreves i henhold til personvernfordningen (GDPR).

Datatilsynet ettergår den protokollen for å gi en beskrivelse av behandling av data som skjer i appen.

Datatilsynet skriver i en pressemelding på sin nettside, at formålet med Smittestopp er opplyst som «digital smittesporing» og at det ikke er presist nok.

– Flere formål
– Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. Dette skal fremgå av en protokoll, sier direktør Bjørn Erik Thon i pressemeldingen.

Datatilsynet skriver at det var mangler i risiko- og sårbarhetsanalysen (ROS-analysen) for å vurdere sentrale deler av løsningen som befolkningsvarsling, anonymisering av personopplysninger og analysearbeid.

– Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen, sier Thon.

– Det viktigste er at ROS-analysen er tilgjengelig for oss, sier Bjørn Erik Thon i Datatilsynet til Dagens Medisin.

Thon opplyser at analysen er unntatt offentlighet, slik at det er ikke meningen at hvem som helst skal sette seg inn i dette dokumentet.  

– Det er ikke slik at all informasjon nødvendigvis skal offentliggjøres fordi det kan påvirke sikkerheten. Det som er viktig er at det er åpenhet om hva som samles inn av data. Slik at folk kan ta et bevisst valg om de vil laste ned appen, sier han.

FHI forstår
Folkehelseinstituttet har en pressemelding om pålegget på sine nettsider, hvor de skriver at de forstår hvorfor Datatilsynet følger utvikling og bruk av appen Smittestopp, ettersom den utfordrer personvern.

– Vi har prioritert arbeidet med personvern og sikkerhet svært høyt under utviklingen og valideringen av appen som nå foregår i tre kommuner, og vil være svært nøye med å følge opp både pålegg, spørsmål og kommentarer fra Datatilsynet, sier fungerende assisterende direktør Gun Peggy Knudsen i Folkehelseinstituttet.

FHI skriver at de oversender sine ROS-analyser og dokumentasjonen som kreves innen fristen.

– Vi er enige med Datatilsynet i at formålet med en risiko- og sårbarhetsanalyse (ROS-analyse) er å avdekke risiko og sårbarheter før nye løsninger tas i bruk, og dette mener vi at vi har etterlevd. Vi har som Datatilsynet peker på, lagt til grunn en stegvis utbygging av ROS-analysen, i takt med når deler av totalløsningen skal tas i bruk, sier fungerende assisterende direktør Gun Peggy Knudsen ved FHI.

Analyserte før lansering
Knudsen viser til at appen samler inn data, og sier at ROS-analysen av appen med lagringsløsning, ble gjennomført før appen ble lansert.

– Risiko- og sårbarhetsanalyser for varslings- og sporingsdelen var på plass før valideringsperioden startet i de tre kommunene hvor appen har vært testet ut til smittesporing. Dokumentene har ikke vært oversendt Datatilsynet ennå fordi vi ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass, men vi oversender disse risiko- og sårbarhetsanalysene nå, og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen

Om den manglende behandlingsprotokollen skriver FHI følgende:

– Vi presiserer at appens to formål gjennomgående er formidlet i all kommunikasjon rundt appen, både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetssaker og tekster på nett, i intervjuer og pressekonferanser. Appens to formål er også nedfelt i forskrift. Det at dette er formulert for overordnet i behandlingsprotokollen skal vi selvfølgelig endre umiddelbart, uttaler Knudsen.