Integritet i vågskålen när mobiler spårar smitta
Smittspårning via mobilen förs fram som ett viktigt redskap för att hindra att coronaviruset sprids och för att ta länderna ut ur krisen. Men apparna ställer också frågor om datasäkerhet och integritetsskydd på sin spets.
EU-kommissionen rekommenderar appar för smittspårning under coronapandemin. I Finland pågår nu arbetet med att ta fram en.
Datasäkerhetsexperter som HBL har talat med är eniga om att en app borde basera sig på frivillighet. Samtidigt finns då risken att inte tillräckligt många laddar ner den.
Och ju större möjligheter för smittspårning, desto svagare är integritetsskyddet.
Drygt en miljon av Singapores 5,5 miljoner invånare har gjort det: laddat ner smittspårningsappen Trace Together i mobiltelefonen. Till dem hör utlandsfinländaren Pekka Barck.
Singapore var tidigt ute och appen kan ses som en förlaga till bland annat Norges Smittestopp som lanserades för några dagar sedan.
Erfarenheterna från bland annat Singapore används också i det arbete som nu görs i Finland. Kommunikationsminister Timo Harakka har meddelat att en app för spårning är coronasmittade är under utredning även hos oss.
I Singapore registrerar Pekka Barcks telefon via bluetooth signaler från andra telefoner som finns i hans närhet, inom några meters avstånd och under en viss tid. Enbart att två personer passerar varandra på gatan räcker inte. Den här appen registrerar inte heller position.
Uppgifterna lagras i telefonen i 21 dagar. Skulle Barck konstateras vara smittad av covid-19 kan han ge myndigheterna tillstånd att aktivera den sparade krypterade loggen, med telefonnumren på dem som han har mött. Så kan de personerna smittspåras.
På motsvarande sätt kan han få information om han har varit nära någon som har smittats.
Trace Together, och andra smittspårningsappar, har väckt en hel del diskussion om personlig integritet. Möten registreras, man uppger sitt telefonnummer då man börjar använda appen, och det handlar om hälsa, vilket de flesta betraktar som känsliga uppgifter.
Barck ser ändå rätt krasst på saken.
”Jag kan tänka mig tusentals andra angelägnare integritetsproblem att tänka på”, skriver han till HBL per e-post.
Han menar att appar, sökmotorer och sociala medier redan utnyttjar privat information.
”Därför ger jag gärna lite information om det kan hjälpa oss att kontrollera viruset. Jag hoppas också att alla andra gör det. Covid-19 besegras med samordnade åtgärder.”
Konkurrenter samarbetar
Det finns olika modeller för hur smittspårning via mobilen går till. Något beslut vilken modell Finland går in för har ännu inte fattats.
Inte heller är det fastslaget att en app lanseras, men det är den sannolika utgången. Till exempel EU-kommissionen har i sin så kallade exitplan uttryckt att medlemsländerna bör använda appar för att få överblick av smittspridningen.
Att rivalerna Apple och Google har börjat samarbeta för att ta fram smittspårningsteknik visar kanske på allvaret i situationen och det upplevda behovet. I maj har de lovat ha tekniken klar som möjliggör interoperabilitet mellan Android- och IOS-enheter, har bland annat nyhetsbyrån TT rapporterat. Det ger en teknisk bas och gör det lättare för de nationella myndigheternas appar att fungera.
Apple och Google planerar också att bygga in spårningsteknik direkt i operativsystemen. Den ska vara frivillig att aktivera.
På Social- och hälsovårdsministeriet, som nu är det ministerium med ansvar för frågan, meddelar man till HBL att man utreder applösningar men vill i det här skedet inte ge närmare kommentarer.
Företaget Reaktor har tidigare uppgett att man i samarbete med Futurice arbetar med applösningar. På Reaktor är beskedet att man fortfarande utreder olika alternativ och för diskussion med myndigheter.
Sauli Pahlman är direktör vid Cybersäkerhetscentret. Han berättar att centret har gett grundläggande råd kring datasäkerhet och sekretess när det gäller smittspårningsappar till ”några” aktörer.
– Börjar planerna förverkligas har vi beredskap att göra en bedömning av att säkerhetskraven uppfylls, säger han.
Det handlar om ett projekt som har både alldeles unika och samtidigt inte så exceptionella drag.
– Det finns appar i parti och minut som vill veta din position. Särdraget här är kontexten, att det handlar om sådan omfattning och sker i folkhälsosyfte.
”Möjligt utveckla säker app”
Pahlmans och Cybersäkerhetscentrets uppfattning är att det är möjligt att utveckla en säker smittspårningsapp. Det centrala är att hålla mängden känslig information så liten som möjligt och skyddad. Dessutom betonar han vikten av frivillighet, att det är upp till var och en att välja om man vill ladda ner den eller inte.
Också kommunikationsminister Harakka har fört fram att appen skulle basera sig på frivillighet. Samtidigt är det klart att det behövs en kritisk massa för att appen ska ha ef
fekt. Harakka har talat om en bruksgrad på minst 60 procent.
Vill se kritisk utvärdering
Elias Aarnio är aktiv inom Electronic Frontier Finland, EFFI, en aktivistgrupp för medborgarnas digitala rättigheter på nätet. Nätverket betonar starkt individernas rätt till integritet och har ofta en kritisk utgångspunkt. Den här gången låter det ändå något annorlunda.
Aarnio talar om coronapandemins omfattning och dödssiffrorna i de värsta scenarierna. Allvarlighetsgraden är sådan att det ska gå att utveckla lösningar där nyttan överväger, menar han.
– Det är möjligt att skapa en app men det krävs mycket gott omdöme och planering.
Viktigt är enligt Aarnio att Finland går in för en decentraliserad modell där informationen utbyts mellan mobilerna och inte i något skede går till en myndighets databas eller ens läkaren till känna. Det ska också vara frivilligt att låta appen aktiveras vid konstaterad smitta, och frivilligt för den som kan ha utsatts att söka sig till testning och vård.
– Till dem som är väldigt kritiska ska man kunna säga att man inte tvingar någon.
Elias Aarnio menar dessutom att källkoden borde vara öppen och transparensen stor.
Det handlar om en byteshandel, menar han, där Finland visar medborgarna att man tar förtroendet på allvar och använder informationen ansvarsfullt – och inte längre efter att epidemin är bemästrad – medan medborgarna bidrar till en effektiv smittspårning.
Oproblematiskt är det inte. Aarnio tar den nederländska dataombudsmannen som exempel. Byrån har vägrat ge ett utlåtande om de appar som är på förslag där eftersom centrala uppgifter om till exempel hanteringen av information saknas. Elias Aarnio önskar att även de finska instanserna är lika noggranna.
I Norge håller Datatilsynet på att utvärdera den norska modellen. Där har man bland annat lyft fram att systemet indirekt kan avslöja vem som har smittats om varningen går till någon som har haft väldigt få kontakter. Enligt nyhetsbyrån TT har 60 procent av norrmännen laddat ned appen, men omkring 15 procent tänker inte göra det. Det här för att de är rädda för att informationen används fel eller för att de tror att den inte är till någon nytta.
Grundläggande rättigheter
Vilka juridiska avvägningar behöver då göras?
Tomi Voutilainen är professor i offentlig rätt vid universitetet i Östra Finland med fokus på informationsrätt. Tar Finland i bruk en smittspårning som sker via mobilen och är frivillig, går det enligt honom utan lagändringar.
Blir det en tyngre modell är frågan hur informationen används.
Om myndigheterna spårar positionsdata är man enligt Voutilainen fort inne på grundläggande rättigheter som rörelsefrihet. Likaså kan strikt övervakning liknas vid hemfridsbrott. I till exempel Israel och Sydkorea använder man sina appar också till mer regelrätt övervakning.
En decentraliserad och frivillig modell går därför fortare att införa, medan en centraliserad modell i alla fall kräver en genomgång av om det sker en inskränkning av de grundläggande rättigheterna.
Det är också bra att minnas att även om mobilapparna ses som effektiva i smittspårning så betonar till och med föregångaren Singapore att det inte räcker ensamt.
Appen vet till exempel inte om ett möte har skett utomhus eller inomhus, vilket är väsentligt. Styrkan i bluetooth-signalen varierar också. Och i äldre telefonmodeller fungerar appen kanske inte.
Manuell spårning kommer därför också fortsättningsvis att behövas.
❞ Det är möjligt att skapa en app men det krävs mycket gott omdöme och planering. Elias Aarnio, aktiv inom Electronic Frontier Finland