GDPR-og-COVID-19
News & Events Ny vejledning fra EDPB

Sundhedsmyndighedernes udvikling af app til kontaktsporing i forbindelse med COVID-19

Mange EU-lande arbejder i øjeblikket med app’s, der skal understøtte de nationale sundhedsmyndigheders overvågning af smitteudbredelsen. I Danmark arbejder Sundhedsstyrelsen, Digitaliseringsstyrelsen og Netcompany fx på en app, der via mobiltelefonens Bluetooth registrerer kontakt (indenfor 1-2 meter) med andre mobilbrugere, herunder personer, der er testet positiv for COVID-19. App’en forventes lanceret indenfor et par uger. Lignende udviklingsforløb er pt. i gang i en række andre europæiske lande.

EU-kommissionen arbejder for at sikre, at udviklingen af digitale løsninger til understøttelsen af sygdomsbekæmpelsen i EU sker indenfor nogle fælles-europæiske rammer. Kommissionen har i den forbindelse rakt ud til Det Europæiske Databeskyttelsesråd (EDPB), der den 14. april i et svar til Kommissionen er kommet med nogle overordnede anbefalinger til, hvordan app’s, der specifikt anvendes til kontakt-sporing, kan efterleve principperne i GDPR.

EDPB slår for det første fast, at omfanget og karakteren af behandlingen af personoplysninger i forbindelsen med sådanne app’s kræver, at den ansvarlige sundhedsmyndighed udarbejder en konsekvensanalyse (DPIA). Konsekvensanalysen skal dokumentere, at den behandling af personoplysninger, som app’en understøtter, er i overensstemmelse med forordningens krav om privacy-by-design/default. EDPB anbefaler i øvrigt, at løsningens kildekode gøres så bredt tilgængelig som muligt for at sikre at løsningen bliver underkastet et omfattende eksternt review.

EDPB understreger også, at det skal være 100 % frivilligt for borgerne at anvende løsningen. Borgernes brug af løsningen skal derfor ses som et udtryk for ”samfundssind” og for borgerens tillid til, at de behandlede oplysninger ikke misbruges af myndighederne – det kræver, som EDPB i flere sammenhænge har fremhævet, et helt særligt fokus på at efterleve GDPR.

At brugen af app’en er frivillig betyder imidlertid ikke nødvendigvis, at behandlingsgrundlaget skal være et samtykke, jf. art. 6 (a). Når offentlige myndigheder udbyder en service (app’en) med afsæt i og indenfor rammerne af relevant lovgivning, fremhæver EDPB, at art. 6 (e) om udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, formentlig vil være det mest oplagte behandlingsgrundlag.

EDPB fremhæver herudover at

  • kontaktsporing kræver alene registrering af ”hændelser”, dvs. mødet mellem 2 personer, ikke en total kortlægning af brugerens bevægelser i det offentlige rum. Brugen af lokaliserings-data (geo-tracking) vil derfor være i modstrid med dataminimeringsprincippet i GDPR
  • lagringen af oplysninger om kontakter både kan ske lokalt (i mobiltelefonen) eller centralt (hos myndigheden) alt efter formålet med app’en (skal informationen om mødet med en smittet alene leveres i app’en, eller skal den smitteudsatte person kontaktes af myndigheden). Generelt anbefaler EDPB lokal lagring, fordi denne løsning giver den registrerede den højeste grad af kontrol med oplysningerne
  • de algoritmer, der anvendes, til at evaluere mødet mellem to mobil-brugere, underkastes systematisk kontrol for at begrænse forekomsten af falsk positive og negativ møder
  • app’en designes med en ”call-back” funktion, som giver brugeren mulighed for at tale med en ansat hos myndigheden

Af Digitaliseringsstyrelsens hjemmeside fremgår det, at den kommende danske ”Corona-app” vil være en frivillig ordning for borgere over 15, hvor ”sundhedsmyndighederne alene vil kunne anvende data fra appen til at følge op på smitteudbredelsen på pseudonymiseret og aggregeret niveau. Man vil altså ikke kunne tilbageføre viden om fx bevægelsesmønstre til den enkelte dansker”.

Den danske løsning synes altså på det foreliggende, beskedne grundlag at flugte meget pænt med de centrale anbefalinger fra EDPB. Det skal blive spændende at se, hvordan de ansvarlige myndigheder mere konkret har sikret, at den danske ”Corona-app” efterlever de databeskyttelsesmæssige principper, når der foreligger en konsekvensanalyse af den nye behandling (Myndighedene kan være undtaget fra kravet om udarbejdelse af konsekvensanalyse, hvis behandlingen beror på en opgave i samfundets interesse, og behandlingen har et retsgrundlag i den danske (sundheds)lovgivning , og dette retsgrundlag regulerer app’ens specifikke behandlingsaktiviteter, og der i forbindelse med vedtagelsen af retsgrundlaget er udarbejdet en generel konsekvensanalyse. Dette er mig bekendt ikke tilfældet).

Selvom myndighederne ikke er forpligtet til at offentliggøre den egentlige konsekvensanalysen vil det på grund af behandlingens potentielle omfang og karakter klæde myndighederne at give offentligheden indsigt i, hvordan man har sikret sig, at behandlingsaktiviteterne ikke medfører en urimelig høj risiko for borgerne. Denne opfordring er hermed givet videre.

Du kan i øvrigt læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *