coronamaske
Datatilsynet mener at "Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen." Det er ikke Folkehelseinstituttet enig i, men påpeker samtidig at appen stiller viktige spørsmål rundt personvern.

Annonse


Folkehelseinstituttet enige i at appen “reiser flere personvernmessige problemstillinger”

Kort tid etter Datatilsynets melding om at de ikke er fornøyde med hvordan Smittestopp-appen merkes, så svarer Folkehelseinstituttet.

Oppdatert, 20:09:

Assisterende direktør Gun Peggy Knudsen hos FHI forklarer at de nå oppdaterer protokollen til å inkludere all nødvendig informasjon som nevnt under i den opprinnelige artikkelen. Dette er hva de konkret gjør:

“Datatilsynet pekte på at vi i det som heter «behandlingsprotokoll», noe vi er pålagt å føre for all behandling av personopplysninger etter GDPR, under rubrikken «Formål» hadde anført et noe overordnet formål, vi hadde skrevet «Digital smittesporing knyttet til utbrudd av covid-19”, forklarer de.

Annonse


Knudsen sier at de nå har “endret teksten i protokollen til det samme vi sier andre steder (som personvernerklæring, DPIA, nettsider), og som er forskriftsfestet – nemlig «Formålet er å bidra til rask oppsporing av og formidling råd til personer som kan være smittet av koronaviruset, samt å bidra til å følge smitteutbredelse og vurdere effekt av smitteverntiltak. Analyser skal foregå på aggregerte og anonymiserte data».

“Overvåking av befolkningens bevegelser, analysearbeid og forskning”

Datatilsynets Bjørn Erik Thon mener at:

– Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. Dette skal fremgå av en protokoll. Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen.

Til det har fungerende assisterende direktør Gun Peggy Knudsen ved FHI, følgende svar:

– Vi presiserer at appens to formål gjennomgående er kommunisert i all kommunikasjon rundt appen, både i personvernerklæringen, konsekvensvurderingen for personvern (DPIA), nyhetssaker og tekster på nett, i intervjuer og pressekonferanser. Appens to formål er også nedfelt i forskrift. Det at dette er formulert for overordnet i behandlingsprotokollen skal vi selvfølgelig endre umiddelbart.

Folkehelseinstituttet sier de har etterlevd kravene

Folkehelseinstituttet skriver at “Datatilsynet mener den totale risikoen ved appen ikke kan ha vært kjent.”

De er enige i hva som er formålene, men mener de har fulgt kravene:

– Vi er enige med Datatilsynet i at formålet med en risiko- og sårbarhetsanalyse (ROS-analyse) er å avdekke risiko og sårbarheter før nye løsninger tas i bruk, og dette mener vi at vi har etterlevd. Vi har som Datatilsynet peker på, lagt til grunn en stegvis utbygging av ROS-analysen, i takt med når deler av totalløsningen skal tas i bruk. Appen samler inn data, og ROS-analyse for appen med lagringsløsning ble gjennomført før appen ble lansert. Risiko- og sårbarhetsanalyser for varslings- og sporingsdelen var på plass før valideringsperioden startet i de tre kommunene hvor appen har vært testet ut til smittesporing. Dokumentene har ikke vært oversendt Datatilsynet ennå fordi vi ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass, men vi oversender disse risiko- og sårbarhetsanalysene nå, og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen, forklarer Knudsen.

Det mest interessant er at Folkehelseinstituttet er enige i at spørsmålene rundt personvernet i en slik app fremdeles er viktige:

“FHI forstår at Datatilsynet følger tett med på utviklingen og bruken av Smittestopp, og er helt enige i at appen reiser flere personvernmessige problemstillinger.”

– Vi har prioritert arbeidet med personvern og sikkerhet svært høyt under utviklingen og valideringen av appen som nå foregår i tre kommuner, og vil være svært nøye med å følge opp både pålegg, spørsmål og kommentarer fra Datatilsynet, sier fungerende assisterende direktør Gun Peggy Knudsen i Folkehelseinstituttet.

Kilde:
Folkehelseinstituttet

Annonse