Mens vi venter på Smittestopp

Kronikk: Naomi Lintvedt, stipendiat ved Senter for rettsinformatikk, Universitetet i Oslo (UiO)

FORSØKET PÅ å bruke en app i kampen mot pandemien, krasjlandet i høst etter skarpe debatter om mangel på personvern i smittestoppappen. Nå er en ny app på vei, fortsatt med navnet Smittestopp, som lanseres 21. desember.

Bruken av Smittestopp skal være basert på samtykke etter personvernforordningen. Samtykke vil kapsle inn bruken slik at behandlingen må skje i tråd med den informasjonen som ble gitt på samtykketidspunktet.

UTILSTREKKELIG. Det er imidlertid noen manglende sammenhenger med annet regelverk som peker i retning av at samtykke ikke er tilstrekkelig, men må suppleres med regelverk.

Når en bruker har aktivert Smittestopp, vil appen registrere og lagre signaler fra andre mobiltelefoner med aktivert app i nærheten. Bærere av disse mobilene vil være mulige nærkontakter.

Når en person har testet positivt, kan hen verifisere smitte i appen, og varsel sendes til mobiler som er nærkontakter. Varselet skal inneholde informasjon om at personen har vært i nærheten av en smittet person – og råd om hva vedkommende bør gjøre. Det skal ikke pålegges smitteverntiltak.

KARANTENEPLIKT – ELLER PÅMINNELSE? Personer som er definert som nærkontakter etter covid-19-forskriften, har karanteneplikt. Hvis personer som mottar varsel om nærkontakt ved bruk av appen, ikke pålegges karantene, er det et unntak fra forskriften. Dette kan føre til uklarheter, og ved motstrid vil forskriften gå foran.

Det bør derfor følge av forskriften at det gjøres unntak fra karanteneplikten for personer som bare har fått varsel via appen. Dette vil imidlertid gi et hull i smittesporingen, og formålet med å bruke appen, vil ikke oppnås hvis mange ikke velger å følge oppfordring om karantene.

OPPSLAG I MSIS. For å hindre at personer sender ut falske varsler, skal det gjøres oppslag mot Meldingssystem for smittsomme sykdommer (MSIS) via ID-porten. FHI viser til at oppslag i MSIS vil være utlevering etter MSIS-forskriften § 4–5, basert på samtykke fra den registrerte. Etter forskriften § 4–8 skal Folkehelseinstituttet (FHI) føre oversikt over hvem som har fått utlevert opplysninger fra registeret, som skal oppbevares i minst fem år.

Appen er imidlertid laget slik at oppslag skal gjøres uten at FHI får kjennskap til hvilke personer som har bedt om verifisering. Det vil utstedes en diagnosenøkkel til personens app, som slettes etter 24 timer i verifikasjonsløsningen, og etter 14 dager i backend-løsningen.

Krav til oversikt over utleveringer og oppbevaring fravikes dermed. Det er prisverdig at løsningen lages så personvernvennlig som mulig, men unntak fra forskriften må reguleres i forskriften, eller i en egen forskrift for Smittestopp.

BRUK KAN IKKE PÅLEGGES. All informasjon fra FHI om Smittestopp er tydelig på at bruken skal være frivillig. Dette er nødvendig for at samtykke til bruk skal være reelt. Det kan derfor ikke settes noen betingelser for bruk, som for eksempel at bare personer som bruker appen, får dra på hytta.

Personvernkonsekvensvurderingen peker på at én risiko er at arbeidsgiver stiller krav om bruk av appen. For å hindre dette, foreslås en tydelig kommunikasjonsstrategi om at bruk ikke kan pålegges.

Spørsmålet er om dette er tilstrekkelig. Arbeidsgiver eller andre har ikke noe ansvar for bruken av Smittestopp. De er verken behandlingsansvarlig eller databehandler.

ANSVARET. Krav eller sterkt press fra arbeidsgiver om bruk av appen, er ikke i strid med personvernregelverket. Det er helsemyndighetene som må passe på at det ikke brukes press, slik at frivilligheten i samtykket bortfaller.

Hva med restauranter, fornøyelsesparker, kinoer, konsertlokaler eller lignende: Kan de stille krav til at besøkende bruker appen? De skal jo ikke behandle personopplysninger; de vil bare se om du har installert appen eller ikke.

Det vil være svært vanskelig å hindre at bruk av Smittestopp pålegges i andre sammenhenger. Det foreligger ikke noe forbud som kan håndheves. Det bør derfor presiseres i regelverk at ingen kan pålegge bruk av appen, heller ikke i privatrettslige forhold. Uten slik regulering vil enkeltpersoner ha få muligheter til å stå imot et press om bruk.

SAMTYKKE OG FORSKRIFT. Selv om bruken av Smittestopp ikke er myndighetsutøvelse og dermed kan baseres på samtykke i stedet for hjemmel, er det et spørsmål om dette er tilstrekkelig. Det er tenkt funksjonalitet for Smittestopp som krever unntak fra eksisterende forskrifter. Appen kan derfor ikke vurderes helt atskilt fra FHIs myndighetsutøvelse og rolle ellers. Som et minimum må FHI sikre at det er sammenheng mellom hva regelverket sier og hva de har tenkt å gjøre, selv hvor unntakene er i favør av personvernet.

Smittestopp-appen bør, som andre smitteverntiltak, ha hjemmel. Ingen er tjent med at det skapes usikkerhet om appen når den lanseres på nytt.

Ingen oppgitte interessekonflikter