Tilsvar: Derfor er Smittestopp-appen utformet som den er
- Teksten er et tilsvar fra Simula Research Laboratory, selskapet bak appen tatt i bruk av av norske myndigheter for å kartlegge korona-smitte.
Jonas Skybakmoen ønsker seg en helt annen variant av «Smittestopp» på Filter Nyheter 24. april . På pedagogisk vis går han gjennom fem punkter. I hvert punkt forklarer han hva han mener hvert av punktene betyr, han forklarer hvorfor han mener det er kritikkverdig, og han forklarer hva han mener er alternativet.
Men Skybakmoen glemte et vesentlig punkt: Hvorfor løsningen har blitt som den har blitt. Alle innvendingene til Skybakmoen reiser har nemlig vært vurdert i arbeidet, men etter overveielser har vi valgt andre løsninger enn hans. Vi håper denne gjennomgangen av vurderingene kan gi verdifull innsikt i de valgene vi har tatt.
1. Informasjon oppbevares i et sentralt datalager
Skybakmoen ønsker ikke at det skal samles inn noen data i noe sentralt lager. Dels mener han at det er et problem at dataene er lagret i skyen (hans overskrift tyder på det), og delvis mener han at uvedkommende kan få tilgang til dataene. Men først og fremst mener han dette bryter med GDPR-lovgivingen.
Årsaken til at dataene sendes til et sentralt lager, er at dette vil gi myndighetene et redskap til å følge utviklingen av epidemien på samfunnsnivå, ved hjelp av fullstendig anonymiserte data. Spesielt kan de evaluere hvordan faren for smitte endrer seg når myndighetenes tiltak endres. Hvis man ikke ønsker at myndighetene skal ha et slikt verktøy, er det logisk å ikke ønske noen informasjon i et sentralt lager.
Denne funksjonen var imidlertid sterkt ønsket. Hvis man er enig i at et slikt virkemiddel er verdifullt og at det er fornuftig at vi lar myndighetene, i en begrenset periode, bruke et slikt virkemiddel, er spørsmålene om hvordan data lagres relevante. Hvis man først har et lager i skyen, er metoden Smittestopp bruker den samme som brukes ellers i helsevesenet når man lagrer personsensitive data i skyen. Dataene er beskyttet av teknologiske industristandarder og kryptering.
Hva så med GDPR-lovgiving og kravet om dataminimering? Dette kravet kan ikke forstås uavhengig av formålet. I vårt tilfelle er det slik at ingen opplysninger om personen, bortsett fra en tildelt ID for å kunne finne igjen telefonnummeret, lagres i databasen. Ingen bakgrunnsvariabler lagres. Ingen sykdomshistorie. Ingen symptomer. Dette er dataminimering i praksis. Denne vurderingen støttes av juridisk ekspertise, og vi ser fram til at Datatilsynet gjør en ny vurdering av dette nå når appen er i drift.
2. Smittestopp bruker Bluetooth for å spore «nærkontakt»
Det er igjen litt uklart om Skybakmoen mener dette er kritikkverdig fordi metoden ikke er god nok eller fordi en datautvikler har laget et program som kan fiske fram bluetooth-ID.
Hvilke datakilder vi skulle benytte var ett av de sentrale spørsmålene i utviklingsarbeidet. Smittestopp bruker en kombinasjon av Bluetooth, GPS og dataanalyse for å skape en mest mulig nøyaktig smittesporing. Dette sikrer også best mulig funksjon på tvers av ulike operativsystem. Et sentralt datalager gjør oss også i stand til å kombinere disse ulike informasjonskildene for å skaffe den mest mulig nøyaktige posisjoneringen.
Simula er enig i at det er fornuftig å ha en Bluetooth ID som forandres med jevne mellomrom. Ekspertgruppen påpekte også dette i sin gjennomgang, men var enige i at dette kunne endres i en senere versjon av appen. Alle vet at Bluetooth kan fanges opp av andre. ID-nummeret som hentes ut kan strengt tatt ikke brukes til noen ting. Vil du vite hvor noen befinner seg er det enklere å følge dem med blikket.
3. Simula har valgt å beskytte kildekoden
Hele begrunnelsen for hvorfor vi pr i dag ikke vil åpne kildekoden kan finnes på Simulas hjemmeside. I korte trekk mener vi at sikkerhetsargumentet er det viktigste. Simula ønsker ikke å gjøre det lettere for noen som har fiendtlige hensikter.
4. SMS skal brukes for å varsle dem som har vært i nærkontakt med en smittet
Da vi startet utviklingen av appen var det viktig å holde oss til prinsippet om dataminimering. Derfor ble det tidlig besluttet å ikke bruke appen til å varsle. Varsling gjennom appen hadde forutsatt at vi lagret mer opplysninger i løsningen. Det ønsket vi ikke.
I stedet er SMS valgt, fordi det da kan håndteres gjennom eksisterende systemer helsemyndighetene har. Selvfølgelig vil noen kunne forsøke å lure folk gjennom å sende falske SMS’er. Selv om en annen løsning var valgt, ville det likevel vært noen som hadde sendt falske SMS’er for å lure folk.
Svakheten ved alternativene til SMS er at de er mer tungvinte, og dermed oppnår vi ikke det viktigste: at det som er utsatt for nærkontakt kan gå i selvkarantene fort.
5. Smittestopp er nyttig når mange bruker den
Det er ytterst uklart hva Skybakmoen egentlig mener er kritikkverdig i dette punktet. Simula oppfatter at tallene så langt (snart 1,5 millioner nedlastinger) er fantastiske. Når vi etterhvert kan demonstrere at Smittestopp også har praktiske anvendelser, er vi ikke i tvil om at mange flere henger seg på. I ukene framover vil vi se hvor nyttig appen er for å spore smitte, varsle og ikke minst å studere hvordan sykdommen sprer seg.
«Alternativet» til Skybakmoen er årsaken til at vi har Smittestopp. Skybakmoen syns det er tilstrekkelig med manuell smittesporing. Digital smittesporing skal supplere manuell smittesporing. Begrunnelsen for å ha digital smittesporing er at den er raskere og mer nøyaktig hvis mange nok bruker appen. Det vil hjelpe oss å få samfunnet i gang igjen.
- Teksten er et tilsvar fra Simula Research Laboratory, selskapet bak appen tatt i bruk av av norske myndigheter for å kartlegge korona-smitte.
