Utviklerne av smittesporingsappen bidrar med nye detaljer om hvordan persondata skal lagres og hvorfor de må sendes til et sentralt lager i opp til 30 dager.
FHI og forskningsinstituttet Simula samarbeidet om å utvikle en smittesporingsapp som er ventet lansert neste uke. Appen vil lagre hvor brukeren befinner seg og hvem de er i kontakt.
Appen har fått kritikk for manglende åpenhet, spørsmål om IT-sikkerhet, og for omfattende overvåkning av brukerne. Onsdag ble det kjent at en ekspertgruppe skal gjennomgå sikkerheten til appen.
Det er spesielt valget om å lagre nordmenns persondata i et sentralt lager i opp til 30 dager som har fått kritikk. Viseadministrerende direktør Kyrre Lekve i Simula oppgir til NRKbeta at dette måtte gjøres for å omgå tekniske begrensninger i operativsystemet til Apple-mobiler (iOS).
To initiativ har blitt trukket frem av personvernforkjempere: Et felleseuropeisk samarbeid og smittesporingsappen til Singapore. Disse løsningene baserer seg utelukkende på å registrere nærkontakter via Bluetooth og å lagre informasjon om møtene lokalt på mobilen.
Simula mener disse initiativene har et sentralt problem: For Apple-mobiler må sporingsappen være i forgrunnen for å kunne regelmessig sende og motta Bluetooth. Siden iOS har over 50 prosents markedsandel ville det gi store blindsoner.
For eksempel må iOS-brukere i Singapore ha smittesporingsappen i forgrunnen for at den skal være mest mulig effektiv når de er ute blant folk. Det er batterikrevende, og det er et åpent spørsmål hvor mange nordmenn som vil gjøre det samme over lang tid.
Utgangspunktet til Simula
Lekve oppgir at Simula startet arbeidet på en digital løsning før initiativene i Europa og Singapore ble kjent. De digitale alternativene som eksisterte da var mer inngripende.
– Det er noe av bakgrunnen for at vi ikke kopierte disse appene, sier Lekve.
FHI og Simula mener deres løsning også har en rekke fordeler sammenliknet med løsningen i Singapore. Blant annet at den automatiserte smittesporingen vil aktiveres hurtigere og at de kan overvåke effekten av tiltak fortløpende.
Den norske appen, som nå har fått navnet Smittestopp, skal hvert minutt spørre mobilen hvor den befinner seg og hvilke andre mobiler med Smittestopp den er i nærheten av. Disse dataene skal hver time sendes til et sentralt lager, gjerne kalt en database. Appen benytter seg av sms-bekreftelse og får slik brukerens telefonnummer.
Dataene vil sendes uavhengig av om brukeren er på wifi.
– Det er en komprimert datamengde så det er veldig lite data som sendes. Jeg har også fått beskjed av testbrukerne at de merker veldig lite. De merker ikke at batteriet blir fortere utladet eller at mobilen blir mer upålitelig, sier Lekve.
For å kompensere for at appen har mindre tilgang på iOS-enheters Bluetooth, planlegger Simula å benytte ulike dataalgoritmer på dataene i det sentrale lageret.
– Det betyr at hvis en annen Android har oppdaget en iPhone, vil den informasjonen sammen med GPS-signalene kunne være med på å bestemme hvor iPhonen er, sier Lekve.
Der to iOS-telefoner har appen i bakgrunnen vil det være vanskeligere å fastslå en nærkontakt, men det vil ifølge Lekve være mulig i mange tilfeller:
– Det er et felles problem for alle som bruker Bluetooth. Om begge er i hvilemodus vil de ikke finne hverandre. Da må vi triangulere med GPS og bruke andre telefoner for å fastslå akkurat hvor de er.
FHI har på et overordnet plan tatt opp slike tekniske begrensninger med Apple, viser et brev NRK har fått innsyn i.
– Utfordringer knyttet til Bluetooth funksjonaliteten i Apple har vært diskutert kort med dem, og de har vist til at flere land har tatt opp dette med dem, sier Gun Peggy Knudsen, som er FHIs områdedirektør helsedata og digitalisering.
Med en helt lokal løsning ville iPhone-brukere sjeldnere fått beskjed om nærkontakter, ifølge Lekve.
FHI og Simula har i andre anledninger også argumenter for en sentral løsning ved å trekke inn to andre behov: Overvåke epidemien i nær sanntid for å vurdere om effekten av ulike tiltak og å data til langsiktig forskning.
Knudsen, utdyper på epost mulighetene de får til å overvåke epidemien:
– Ved å følge anonyme bevegelsesmønstre i befolkningen kan dette være et verktøy for å analysere kontaktnettverk og endringer i dem, hvor folk i Norge oppholder seg og hvor mange de er i nærheten av. Slik blir det mulig å følge med på om tiltakene Norge innfører virker, og hva som skjer med antallet nærkontakter til smittede når samfunnet åpner opp de svært strenge restriksjonene litt etter litt.
Dette skjer når du tester positivt
I Norge vil kontrollen med dataene fra appen ligger under helsemyndighetenes kontroll.
NRK har fått innsyn i appens foreløpige personvernerklæring. Der står det at: «Helseopplysninger eller lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere selv om du samtykker. Personopplysningene kan ikke utnyttes kommersielt.»
Nordmenn som tester positivt for koronaviruset blir registrert i Meldingssystem for smittsomme sykdommer (MSIS). Fremover vil det også gjøres en sjekk: Har personen et telefonnummer som har installert appen?
– Hvis svaret på det er ja har vi en automatisk algoritme som tar ut alle nærkontakter. Så går det automatisk ut en melding fra helsevesenet til disse telefonene, sier Lekve.
Per nå er det skissert at to mobiler må være i nærheten av hverandre i minst 15 minutter innenfor to meter for at det skal registreres en slik nærkontakt.
FHI oppgir at ordlyden i disse meldingene ennå ikke er ferdig utformet, men at: «Innholdet vil være en beskjed om at man kan ha vært utsatt for smitte, og råd om hvordan man skal forholde seg.» Lekve oppgir til NRK at det kan være aktuelt å nevne hvor mange dager det er siden nærkontakten fant sted.
Personvernekspert: Mener appen er inngripende
Simen Sommerfeldt er teknisk sjef for konsulentselskapet Bouvet og medforfatter av en bok om personvern. Han ønsker at appen skal lykkes med å bekjempe utbredelsen av koronaviruset, men stiller spørsmål ved om løsningen kunne vært mindre inngripende.
– Jeg har grunnet over dette de siste dagene. Med unntak av Kina så må den norske appen være blant de mest utfordrende for personvernet. Det må være et tankekors, sier Sommerfeldt.
Sommerfeldt mener man burde sett på metoder for å lagre mindre persondata og unngått at alt lagres i 30 dager. Han mener dette er spesielt viktig nå som EU-kommisjonen har kommet med en rekke anbefalinger for sporingsapper. Der påpekes det blant annet at man bør tilstrebe å lagre data lokalt. Jon Wessel-Aas, som tidligere har kritisert appen, påpeker også dette i en twittermelding.
– Et betryggende grep ville vært å kun beholde rådataene i et visst antall timer. Det er å følge prinsipper for innebygget personvern, at man begrenser og skjuler persondata i størst mulig grad.
Lekve har blitt forelagt Sommerfeldts bekymring om den lange lagringstiden:
– Simula har konsentrert seg om å utarbeide en sikker og effektiv løsning som oppfyller de krav regjeringen fastsatte i sin forskrift 28. mars. I arbeidet har vi konsentrert oss om å sikre personvern og ivareta sikkerheten til appen, svarer Lekve.
Sommerfeldt mener Simula og FHI likevel ikke har vært påpasselige nok for å sikre brukernes personvern:
– Jeg er kjent med Bluetooth-utfordringene, og forstår at systemet må bruke andre metoder for å forstå om telefoner er i nærheten av hverandre. Dette er imidlertid ikke noen gyldig grunn for å bryte med prinsippene om innebygd personvern i resten av løsningen.
For ordens skyld: To ansatte i Bouvet er medlemmer av ekspertgruppen på åtte som skal vurdere appens sikkerhet. Sommerfeldt oppgir at han ikke har kjennskap til noen detaljer om arbeidet deres, men forholder seg til åpent tilgjengelig informasjon.
NRKbeta henvendte tirsdag til Apple med spørsmål om tekniske begrensinger med Bluetooth. Saken oppdateres når Apple kommer tilbake til oss.