Norsk sundhedsmyndighed sletter alle data fra Smittestopp-appen efter forbud

Så skulle de måske have rettet henvendelse inden de brugte penge på udviklingen af appen... Svarer lidt til at ansøge om tilladelse til et byggeri før man går igang... Ellers bliver det måske dyrt, men typsk når det er offentlige stats midler der bruges...

have rettet henvendelse inden de brugte penge på udviklingen af appen

Det samme gælder i lille DK, og jeg kan da kun håbe at Datatilsynet også tager sagen op i forhold til den danske app og kommer til samme konklusion.

Hip, hip for Norge! Noget tilsvarende ville desværre ikke materialisere sig herhjemme. Det er noget nær utænkeligt.

Dels er Datatilsynet pt. stækket til tandløst, de har stort set ingen magt, ligesom myndighederne lider af kollektiv erasofobi (sletteallergi). Tænk fx. på DAMD-databasen og politiets ”logiske sletning”. Det er meget svært at få slettet oplysninger i Danmark.

Dels er man, trods alt, langt mere strategisk- og taktisk-minded (udspekuleret, red.) herhjemme. Problemer, som de norske, kommer man rutinemæssigt i forkøbet, i Danmark, det er simpel procedure:

Man sørger blot for, at den problematiske feature er ”frivillig”. Et ”tilbud”. Dette er en særlig dansk specialitet, hvad angår myndighedsudøvelse.

Når det gælder den danske corona-app, som er lige på trapperne, er her således tale om et ”tilbud”, hvor borgeren, ”frivilligt” kan vælge at logge ind med NemID for ”validering af den enkeltes smittestatus”. Altså frivilligt vælge, om man ønsker at identificere sig over for myndighederne, i den ”anonyme” app, og samtidig få sit testsvar, så man kan varsle andre.

Dog tjener appen i og for sig intet formål, hvis man undlader.

(I så fald kan appen kun bruges til at se, hvilke andre telefoner i nærheden, der har appen installeret, samt at få varsling herfra. Der er ingen personlig brug og intet bidrag til smittestop ved varsling af andre).

Appens funktion er mao. begrænset (til ringe nytte, ligegyldig, overflødig) hvis ikke, man anvender det ”frivillige” ”tilbud”. Og det kniber med alternativer (alternativerne er ikke-eksisterende).

https://sum.dk/Aktuelt/Nyheder/Coronavirus/2020/Maj/~/media/Filer%20-%20... https://sum.dk/Aktuelt/Nyheder/Coronavirus/2020/Maj/~/media/Filer%20-%20...

Man sørger således for, at det ”frivillige” ”tilbud” er uomgængeligt.

Men det er jo, som sagt, frivilligt. Borgeren har således et valg, det er evident.

Tilsvarende gælder appens ”Tilvalgsmodel”, hvor borgeren – også frivilligt – kan vælge at give sine kontaktregistreringer til myndighederne, i den gode sags tjeneste.

Og således foregår den danske myndighedsudøvelse aldeles ordentligt, redeligt og efter lovens bogstav. Formalia er i orden. Der er intet at komme efter.

Jeg faldt over flg. i The Guardian:

Datatilsynet said the restricted spread of coronavirus in Norway, as well as the app’s limited effectiveness due to the small number of people using it, meant the invasion of privacy resulting from its use was disproportionate.

Uproportional løsning fordi, at:

• Corona ikke aktuelt er et problem i Norge
• App er ineffektiv pga. det lave antal brugere

Det har rumsteret rundt i hovedet på mig siden, så jeg fandt mit "netbrett" frem. Jeg har kunnet finde en lignende formulering hos digi.no (se artiklen ovenfor for link), som tilskrives FHI. Den gode kilde til, hvad der fik FHI til at trække stikket (modvilligt, bevares, men helt på eget initiativ) kan findes i dette indlæg fra Datatilsynet - det er Datatilsynets reaktion på FHI's udmelding, og nederst kan man finde link til det oprindelige varsel, som Datatilsynet sendte til FHI.

Her genfinder man da også de to førnævnte indvendinger, bl.a. henviser Datatilsynet til en artikel fra FHI, hvor FHI selv siger flg.:

Smitten er nå så lav i samfunnet at det er vanskelig å validere at den varsler de riktige personene, ikke for mange og ikke for få.

Så FHI selv siger, at det er svært at gå videre med app, når Corona ikke længere er så stort i problem, som det var.

Alligevel hører vi flg. fra FHI's side (jeg citerer fra ovenstående artikel):

»Med dette svækker vi en vigtig del af vores beredskab mod øget smittespredning, fordi vi mister tid til at udvikle og teste appen. På samme tid reduceres vores evne til at bekæmpe smittespredningen, som foregår i øjeblikket,« lyder det fra Camilla Stoltenberg.

Ja, men I siger selv, at det er vanskeligt at udvikle og teste fordi smitteniveauet nu er for lavt. Og når det kun er knapt 1 ud af 6 personer, som bruger jeres app (Datatilsynets ansĺår det til 14% af befolkningen over 16), så er det langt op til det punkt, hvor den kan begynde at gøre en forskel; det kan næppe siges at det vil "På samme tid reduceres vores evne til at bekæmpe smittespredningen, som foregår i øjeblikket".

Datatilsynet er selv inde på, at usædvanlige omstændigheder kan fordre usædvanlige løsninger. Men der skal stadig være proportionalitet; der skal være en særlig situation og løsningen skal være et effektivt middel. Ingen af delene lader til at være tilfældet (i hvertfald ikke længere), og FHI virker da heller ikke til at tro nok på sig selv, til at ville tage den diskussion.

Men Datatilsynet peger på flere forhold end de to. Og bid her mærke i, at Datatilsynet endnu ikke har kigget på den konkrete løsning og dens sikkerhed, så alle indvendinger er valide uanset om det var verdens mest sikre løsning nogensinde! Jeg har bidt mærke i følgende:

• der er flere formål og disse er blandet sammen i et samlet samtykke - det kan man ikke.
• der indsamles ikke kun oplysninger om kontakter (BT), men også placering (GPS)

App samler efter sigende detaljerede data centralt til brug for varsling, og gemmer dem en måneds tid, hvorefter de løbende slettes. Men sideløbende så bliver adfærdsdata anonymiseret(1) og stillet til rådighed for forskning. Men det er ikke muligt kun at være med til det ene og ikke det andet.

Der har efter sigende været diskussionen om at adskille formålene (fra Datatilsynets varsel):

Under «Flere formål» (side 23) påpeker ekspertgruppen:

«Ved å kombinere de to formålene smittesporing og vurdering av effekt av smitteverntiltak i samme app forventes det at flere vil laste ned appen, enn det som ville lastet ned en app som bare deler data for forskning/analyse. Man risikerer likevel at potensielle brukere som ville ha lastet ned en ren smittesporingsapp, ikke er komfortable med å laste ned den kombinerte appen. Andelen av befolkningen som må laste ned appen er veldig forskjellig for de to formålene. For å oppnå god effekt ved smittesporing må godt over halvparten av befolkningen ha appen. For å få gode datasett for forskning/analyse kan så lite som 10% utbredelsevære nok. Å oppnå 60% utbredelse av kontaktsporing er et ambisiøst mål. Hvis man lot brukerene selv bestemme om de vil dele data til forskning/analyse, ville nok flere valgt å laste ned appen. I og med at utbredelseskravene for å oppnå formålet er så mye mindre for forskning/analyse, tror vi heller ikke at dette formålet ville blitt negativt påvirket med et slikt valg».

Så man vurderer:

• at sammenkobling af varsling og forskning nok vil få færre til at downloade app, end en ren varslings app
• at man næppe når over de 60%, som skal til for at gøre varsling effektiv
• at forskning allerede vil være effektiv ved 10%
• at færre ville downloade en forskning app end en kombineret app, men at det næppe ville gøre en forskel for forskningsformålet

Det virker til, at man - udfra den rådgivning, som man har modtaget fra "ekspertgruppen" - har vidst at appen næppe ville blive anvendelig til varsling, og i stedet har brugt varsling som sukker på pillen, for at få data til forskning - også selvom rådgivningen pegede på, at denne sammenkobling næppe ville betyde noget for det forskningsmæssige, men derimod ville kunne påvirke varsling og sporing negativt.

Det forklarer måske også hvorfor at FHI er så kede af at skulle slette data, som alligevel løbende skulle være slettet efter kun en måned - forskningsbehov har fået lov at være styrende. Data til varsling er ikke særligt vigtige lige nu, og hvis behovet skulle genopstå, så er man i fulde omdrejninger igen efter en måned tid; men data til forskning, ja, de er nu tabt. Medmindre at man har lavet "en DAMD".

Valget af GPS positionering er også kontroversielt. Fra Datatilsynets varsel:

Både EDPB og WHO fraråder også å bruke lokasjonsdata i smittesporingsarbeidet. Bruk av lokasjonsdata er svært inngripende ettersom det vil gi myndighetene full oversikt over et individs bevegelser til enhver tid.

Ifølge en rapport fra FRA –European Agency for Fundamental Rights har minst 13 land i EU utarbeidet smittesporingsapper som kun baserer seg på Bluetooth-teknologi. Minst ni av landene har også en fullt ut desentralisert tilnærming, der brukerne kan velge å dele data med myndighetene ved behov.

Med til forståelsen af valget hører:

• at der tidligt i forløbet ikke virkede til at være gode alternativer (de er opstået efterfølgende)
• at det erkendes at GPS og BT ikke er perfekte, men at det forventes at de i nogen grad kunne kompensere for hinanden
• at det har været på tale, at lave ovenstående kompensation senere kunne ske lokalt på enheden

Alt i alt, så virker det norske Datatilsyn til at have lavet et ganske grundigt stykke arbejde, hvis relevans også rækker ud over Norge. Hatten af for det norske Datatilsyn! Et arbejde, som kan bruges til at forstå, hvordan apps kan indgå i et pandemisk beredskab, og hvad der er overvejelser, som skal gøres i den forbindelse. Det virker umiddelbart til, at den såkaldte "ekspertgruppe" også har lavet et godt stykke arbejde, især givet vilkårne, men det vist siden gået skævt.

Jeg ved ikke, om det er reelt, men jeg efterlades med et indtryk af at FHI aktuelt opfører sig som et lille barn, som har fået at vide, at sengetiden skal overholdes - jeg håber ikke at det billede er retfærdigt. På en gang skal vi have forståelse for, hvor lidt viden, der reelt var, da beslutninger om nedlukning og andre modtræk blev besluttet, på den anden side har verden flyttet sig meget siden, og det gør at beslutninger fra dengang bør genbesøges løbende og flere af dem også omgøres.

Jeg håber at det kun er i Norge, at forskningsbehov får lov tilsyneladende at trumfe samfundsbehov, som effektiv varsling og sporing under pandemier, og at det kun er i Norge, at man tilsyneladende fortsætter med skyklapper på, når retningen først er sat, og ikke lader sig påvirke løbende er ny viden. Mens så er det godt, at Norge har så godt et Datatilsyn, for det er der brug for.

Ad. 1: Det er yderst vanskeligt at anonymisere adfærdsdata, hvis det overhovedet er muligt. FHI har da heller ikke kunnet redegøre for, hvordan det skulle ske (fra Datatilsynets varsel):

Analyseløsningen og løsningen for anonymisering og aggregering av data er ikke på plass. De store mengdene innsamlede personopplysninger kan dermed ikke ha hatt noen nytte for formålet om evaluering av smitteverntiltak og smitteutbredelse.

og

FHI har redegjort for hvilke personopplysninger som behandles for formålet om oppsporing av og varsling om smitte. Det er imidlertid fortsatt ikke angitt hvilke personopplysninger som skal anonymiseres og aggregeres for analyse (og eventuelt forskning). Slik vi har forstått det, har dette sammenheng med at analyseløsningen ikke er på plass. Vi er likevel svært kritiske til at det etter nærmere to måneder ikke er mulig å presisere hvilke av de innsamlede personopplysningene som vil bli benyttet til formålet analysearbeid.

I så fald kan appen kun bruges til at se, hvilke andre telefoner i nærheden, der har appen installeret, samt at få varsling herfra.

Er det ikke ideen?

At man får et direkte varsel, hvis en af telefonejerne, man har været i nærheden af, markerer sig smittet. Man kan så gå i karantæne/blive testet, og selv markere sig smittet, hvis det er tilfældet.

Man sørger blot for, at den problematiske feature er ”frivillig”. Et ”tilbud”. Dette er en særlig dansk specialitet, hvad angår myndighedsudøvelse.

Louise Klint, jeg tror at du måske har spottet noget der, for det var netop den begrundelse jeg fik for at mit barn ikke kan få sundhedspleje i folkeskolen: At det er et frivilligt tilbud, og hvis jeg ikke ville samtykke til at Frederiksberg kommune kunne give barnets personlige data videre til 3.parter og forskningsprojekter m.v. som det passede dem, så havde jeg jo bare fravalgt det frivillige tilbud, og så var børns lovfæstede ret til sundhedspleje irrelevant.

Men det er nyt for mig at "frivilligheds" aspektet systematisk skulle blive anvendt til at undrage borgere, som ikke makker ret, deres rettigheder, også på andre områder.

Det vil jeg gerne høre mere om.

Jeg sidder med i advisory boardet for den nye danske smitteapp som snart bliver lanceret, og det virker som om der er lidt uklarheder omkring den kommende danske app.

Den danske app har på intet tidspunktet været baseret på lokationssporing med GPS som den norske. Det første bud (som tidsmæssigt var før Google og Apple overhovedet kom med deres API – og privacy overvejelserne nok ikke var helt modne) var baseret på Bluetooth og central opbevaring af anonymiserede data dvs. der blev centralt blev opsamlet unikke men anonyme og skiftende ID’er fra hver telefon samt ID'erne på deres kontakter. Udover smitteopsporing gav dette mulighed for forskning (fx at måle hvor meget og med hvor mange folk mødes), men også en teoretisk mulighed for at optrævling af kontaktnetværk dvs. afsløring af ens kontakter. Dette gav anledning til kritik bl.a. i advisory boardet som myndigheder og politikerne var ganske lydhør overfor. Derfor ændrede myndighederne strategi til udelukkende at have fokus på et enkelt formål nemlig smitteopsporing samt at anvende Google og Apples API med decentral dataopsamling på de enkelte telefoner. Det er bl.a. derfor den danske app først kommer nu.

I den kommende danske app skal man helt korrekt bruge NemID for at oplyse at ens status som smittet. NemID bruges udelukkende til at tjekke at dette er korrekte i MiBa (den nationale smittedatabase) for at sikre at der ikke er nogen der fejlagtigtig ændrer status til smittet. NemID kræves ikke initialt og bruges kun til denne validering – NemID information og ens telefons unikke ID sammenknyttes i øvrigt ikke. Det er måske værd at huske myndighederne jo allerede ved at man er smittet så her afslører man ikke noget de ikke allerede ved. Så længe man ikke er smittet deler man ingen data og eneste man giver lov til, er at appen gemmer data lokalt på telefonen. Når man markerer sig som smittet deles de unikke ID ens telefon har sendt ud de sidste 14 dage.

App skal ses som et supplement til den øvrige smitte- og kontaktsporring og er helt korrekt fuldstændig frivillige at bruge. Myndighederne håber at mange vil hente og benytte app’en da den ses som et af de værktøjer der forhåbentlig kan afværge en ny opblusning af Corana i det danske samfund. Der er har været mange tal fremme for hvornår en app har en effekt, men som situationen er i øjeblikket er enhver hjælp til at stoppe smittekæde værdifulde.

Generel kontaktregistrering (forskning) er ikke og bliver ikke en del af den nuværende app, men det kan være det måske kommer som et - igen frivilligt - tilbud på et senere tidspunkt i en anden app.

I modsætning til Norge er det min vurdering at der er en rimelig balance mellem formål og privacy i den danske app – for naturligvis skal der udveksles nogle data for overhovedet at kunne lave smitteopsporing hvilket i den aktuelle situation er nok så vigtigt. Men der udveksles først data når man er smittet, indtil da henter man kun data om andre smittede. Er man ikke enige i det er det som sagt helt frivilligt at bruge app’en.

Der er har været mange tal fremme for hvornår en app har en effekt, men som situationen er i øjeblikket er enhver hjælp til at stoppe smittekæde værdifulde.

Er enhver hjælp altid værdifuld? Jeg sidder nu og tænker på La Fontaines fabel om bjørnen, der kastede en sten for at jage en flue bort fra sin herres hoved, men knuste hans pande.

Hvis man vil have folk til at reagere hensigtmæssigt, når der kommer en ulv, så skal man både kunne råbe ulv, når den kommer, men også kunne undgå at råbe der, når den ikke er der. Ellers risikere man netop at gøre mere skade end gavn.

Man bør også give "cykelhjelms-effekten" en tanke. Folk, som kører med cykelhjelm, kører mere risikabelt, end folk der ikke gør. Det er svært at sige, om det er fordi, at cykelhjelmen får folk til at føle sig mere sikre og derfor tage flere og større chancer, eller om det er fordi, at folk som kører risikabelt i forvejen får mere ud af en cykelhjelm. Men uanset, så kan det være skadeligt at give et falsk indtryk af sikkerhed.

Man skal også altid være på vagt overfor halvgode løsninger, som ved deres eksistens kommer til at stå i vejen for de rigtigt gode. Ved at dræne tid og ressourcer, eller ved noget så simpelt, som at tage opmærksomheden.

Jeg skal ikke kloge i, om hvor grænsen går, men derfor vil jeg nu godt lige anfægte "enhver hjælp er værdifuld". Det er en forsimpling.

Jeg er fuldstændig enig i målet bestemt ikke helliger midlet hvilket også er det vi har arbejdet udfra i advisory boardet. Kommentarer går udelukkende på det appen kvantitativt appen gøre i forhold til smitteopsporing, altså være med til at understøtte og forbedre smitteopsporingen, og at den app der foreligger nu bør anvendes også selvom det kun har en mindre effekt. Som jeg afslutter med at skrive er der efter min vurdering en rimelig balance mellem formål og privacy i den danske app, hvorfor jeg mener det er i orden at bruge den også selv om effekten ifht. smitteopsporing kun er mindre. Og det netop fordi vi er landet på en løsning som har minimal privacy impact. Beklager at formuleringen ikke var mere entydig.