GDPR-og-COVID-19
News & Events Ny vejledning fra EDPB

Ny vejledning fra EDPB om brugen af sporingsapp’s i forbindelse med COVID-19

I sidste uge udgav Det Europæiske Databeskyttelsesråd (EDPB) som ventet (se seneste blog-indlæg) en vejledning med retningslinjer og overordnede designkrav til smittesporings app’s i forbindelse med covid-19 pandemien. Vejledningen flugter fint med den udtalelse Rådet kom med tidligere på måneden. De vigtigste anbefalinger er at:

  • Brugen af app’en skal være 100 % frivillig
  • Sporingsapp’s indebærer en høj risiko for de registreredes privatliv og frihedsrettigheder. Der skal derfor udarbejdes en konsekvensanalyse (DPIA) før løsningen idriftsættes. EDPB anbefaler, at DPIA’en offentliggøres
  • Sporingen kræver ikke lokationsdata. Lokationsdata bør derfor ikke indgå i løsningen (sådan som den norske løsning angiveligt gør det)
  • Der må kun videregives information til brugere, der har været i kontakt med smittede, indenfor en periode, der er sundhedsfagligt relevant, fx inkubationsperioden
  • Hvis løsningens konkrete arkitektur kræver, at der skal anvendes en central server, skal behandlingen af personoplysninger herpå begrænses mest muligt
  • De oplysninger, der opbevares på en eventuel central server, må ikke gøre det muligt for den dataansvarlige at identificere de smittede bruger eller de brugere, som den smittede har været i kontakt med. De oplysninger, der opbevares på en eventuel central server, må ikke gøre det muligt for den dataansvarlige at identificere de smittede bruger eller de brugere, som den smittede har været i kontakt med. Den dataansvarlige bør dermed tilstræbe alene at behandle anonymiserede data (som ikke er omfattet af GDPR) i de centrale systemer – pseudonymisering af personoplysningerne er som udgangspunkt ikke tilstrækkeligt

I Danmark samarbejder sundhedsmyndighederne og IT-virksomhed Netcompany på at udvikle en smittesporings-app. Appen har ifølge DR navnet ”Smittestop”, og forventes lanceret indenfor et par uger. Ifølge de foreløbige oplysninger om den kommende app lever designet op til en række af de overordnede anbefalinger:

  • Når appen er tilgængelig, er det naturligvis helt frivilligt om man vil downloade og bruge den.
  • Brugeren skal logge ind med NemID og samtidig samtykke til, at myndighederne bruger ens data til smittesporing.
  • Appen fungerer ved hjælp af Bluetooth, som »sniffer« sig frem til om, man har været inden for meters afstand af andre mennesker, som også har downloadet appen, i et bestemt tidsrum. Tidsrummet er fastsat til 14 dage.

For så vidt angår anbefalingen om at tilstræbe, at der alene behandles anonyme data (og dermed data, som ikke er omfattet af GDPR) på de centrale servere, er det dog tvivlsomt, om den danske løsning helt lever op til målsætningen. Den 22. april udtalte Netcompany’s CEO, André Rogaczewski, således følgende til Berlingske Tidende:

”Vi giver hver telefon en form for løbenummer, så hvis nogen skulle finde den tabel, hvor de er gemt, vil de blot se en masse numre, som de ikke har nogen idé om, hvad betyder. Men et sted skal der jo ligge en database med en anden tabel, der henfører numrene til den person, som telefonen tilhører. Den skal ligge et sted godt beskyttet og krypteret. Når vi så en dag skal smittespore, så henter vi nummeret, og ved så, hvem telefonen tilhører og kan sende en besked til vedkommende. Parringen af de to numre vil kun blive brugt i det tilfælde, at man er blevet erklæret smittet. Og alle data slettes efterfølgende.«

Taget for pålydende sker der derfor alene en pseudonymisering af data på de centrale servere. Det skal blive interessant at dykke længere ned i designovervejelserne, når sundhedsmyndighederne som forventet offentliggør en konsekvensanalyse i forbindelse med lanceringen af den nye app. Også selv om direktøren for Netcompany mener at man har været næsten »religiøst forsigtig« i forhold til privatliv og anonymitet…

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *