Smitrakningaröpp og persónuvernd Lena Mjöll Markusardóttir skrifar 22. apríl 2020 16:43 Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Faraldur kórónuveiru (COVID-19) Persónuvernd Mest lesið Opið bréf til hæstvirts innviðaráðherra, Eyjólfs Ármannssonar, um íslensku og ábyrgð Nichole Leigh Mosty Skoðun Við höfum ekki efni á norsku leiðinni Heiðrún Lind Marteinsdóttir Skoðun Hver er viðskiptalegur ávinningur af EES-samningnum? Sigurbjörn Svavarsson Skoðun Börnin á Gasa Ebba Margrét Magnúsdóttir Skoðun Elsku ASÍ, bara… Nei Sunna Arnardóttir Skoðun Styðjum þá sem bjarga okkur Jens Garðar Helgason Skoðun Embætti þitt geta allir séð Ragnheiður Davíðsdóttir Skoðun Fólkið sem gleymdist í Grindavík Bryndís Gunnlaugsdóttir Skoðun Gigtarmaí 2025 – Stuðlum að forvörnum, fræðslu og vitundarvakningu Hrönn Stefánsdóttir Skoðun Sósíalistar á vaktinni í átta ár Sanna Magdalena Mörtudóttir Skoðun Skoðun Skoðun Áskorun til ráðherra mennta- og barnamála og ráðherra menningarmála Anna Klara Georgsdóttir skrifar Skoðun Fólkið sem gleymdist í Grindavík Bryndís Gunnlaugsdóttir skrifar Skoðun Rússar pyntuðu og myrtu úkraínsku blaðakonuna Viktoriiu Roshchyna Erlingur Erlingsson skrifar Skoðun Á að sameina ÍSÍ og UMFÍ? Ómar Stefánsson skrifar Skoðun Elsku ASÍ, bara… Nei Sunna Arnardóttir skrifar Skoðun Gigtarmaí 2025 – Stuðlum að forvörnum, fræðslu og vitundarvakningu Hrönn Stefánsdóttir skrifar Skoðun Við höfum ekki efni á norsku leiðinni Heiðrún Lind Marteinsdóttir skrifar Skoðun Sósíalistar á vaktinni í átta ár Sanna Magdalena Mörtudóttir skrifar Skoðun Styðjum þá sem bjarga okkur Jens Garðar Helgason skrifar Skoðun Hver er viðskiptalegur ávinningur af EES-samningnum? Sigurbjörn Svavarsson skrifar Skoðun Embætti þitt geta allir séð Ragnheiður Davíðsdóttir skrifar Skoðun Opið bréf til hæstvirts innviðaráðherra, Eyjólfs Ármannssonar, um íslensku og ábyrgð Nichole Leigh Mosty skrifar Skoðun Hver á dómur að vera hjá ungmenni fyrir að fremja alvarlegt afbrot, jafnvel morð? Davíð Bergmann skrifar Skoðun Sigursaga Evrópu í 21 ár Pawel Bartoszek skrifar Skoðun Verkalýðshreyfingin, Dagbjört og ESB Hjörtur J. Guðmundsson skrifar Skoðun Börnin á Gasa Ebba Margrét Magnúsdóttir skrifar Skoðun Myndir þú ráða fatlað fólk í vinnu? Alma Ýr Ingólfsdóttir skrifar Skoðun Hvað ert þú að gera? Eiður Welding skrifar Skoðun Rauðir sokkar á 1. maí Sveinn Ólafsson skrifar Skoðun 1. maí er líka fyrir fatlað fólk! Geirdís Hanna Kristjánsdóttir skrifar Skoðun Verkalýðshreyfingin á næsta leik í Evrópuumræðunni Dagbjört Hákonardóttir skrifar Skoðun Á milli steins og sleggju Heinemann Ólafur Stephensen skrifar Skoðun Heiðrum íslenska hestinn Berglind Margo Þorvaldsdóttir skrifar Skoðun Allir eiga rétt á virku lífi — líka fatlað fólk Anna Margrét Bjarnadóttir skrifar Skoðun Er kominn tími á Útlendingafrí? Marion Poilvez skrifar Skoðun Janus og jakkalakkarnir Óskar Guðmundsson skrifar Skoðun Jafnréttisbaráttan er brýnni en nokkru sinni fyrr Kolbrún Halldórsdóttir,Sunna Kristín Símonardóttir skrifar Skoðun Hvað ætlar þú að vera þegar þú verður stór? Ása Berglind Hjálmarsdóttir skrifar Skoðun Samtalið um dauðann veldur okkur óöryggi Ingrid Kuhlman skrifar Skoðun Sköpum störf við hæfi! Unnur Hrefna Jóhannsóttir skrifar Sjá meira
Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga. Rakning C-19 Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð. Öpp víða um veröld notuð til að rekja smit Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum. Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví. Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér. Apple og Google vinna saman að tæknilausn fyrir smitrakningu Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi. Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess. Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar.
Opið bréf til hæstvirts innviðaráðherra, Eyjólfs Ármannssonar, um íslensku og ábyrgð Nichole Leigh Mosty Skoðun
Skoðun Áskorun til ráðherra mennta- og barnamála og ráðherra menningarmála Anna Klara Georgsdóttir skrifar
Skoðun Rússar pyntuðu og myrtu úkraínsku blaðakonuna Viktoriiu Roshchyna Erlingur Erlingsson skrifar
Skoðun Gigtarmaí 2025 – Stuðlum að forvörnum, fræðslu og vitundarvakningu Hrönn Stefánsdóttir skrifar
Skoðun Opið bréf til hæstvirts innviðaráðherra, Eyjólfs Ármannssonar, um íslensku og ábyrgð Nichole Leigh Mosty skrifar
Skoðun Hver á dómur að vera hjá ungmenni fyrir að fremja alvarlegt afbrot, jafnvel morð? Davíð Bergmann skrifar
Skoðun Jafnréttisbaráttan er brýnni en nokkru sinni fyrr Kolbrún Halldórsdóttir,Sunna Kristín Símonardóttir skrifar
Opið bréf til hæstvirts innviðaráðherra, Eyjólfs Ármannssonar, um íslensku og ábyrgð Nichole Leigh Mosty Skoðun