GDPR-og-COVID-19
News & Events

Sporings-app’s: Hvem stoler du mest på – staten eller dine medborgere?

I de seneste uger er diskussionen om privacy i forbindelse med smitte-sporings-app’s taget til, og har flyttet sig fra akademiske/forskningsmæssige kredse til mainstream-medier, jf. fx i Danmark Berlingske Tidendes serie om emnet. I denne uge kom det frem, at de danske sundhedsmyndigheder nu har tilknyttet et såkaldt advisory-board til udviklingen af den danske sporings-app, der skal rådgive om, hvordan løsningen sikres bedst muligt fra et GDPR-synspunkt.

De fleste af de løsninger, som pt. er i drift internationalt, fx Singapores meget omtalte ”TraceTogether” app, har det tilfælles, at informationsudvekslingen mellem to brugeres mobiltelefoner sker via centrale servere, som ejes og administreres af offentlige myndigheder. Det har skabt en helt legitim diskussion om, hvorvidt oplysningerne på disse centrale servere kan misbruges til andre formål, fx til overvågning af borgerne.

Risikoen for at staten misbruger oplysningerne om borgerne har fået nogle til advokere for såkaldt ”decentrale løsninger”, hvor oplysninger om hver brugers kontakter udelukkende lagres lokalt på brugerens telefon. Medmindre der er tale om rene peer-to-peer løsninger vil informationsudvekslingen mellem brugerne dog selv i sådanne løsninger skulle formidles af centrale servere ejet af den myndighed, som udbyder app’en. Fx vil en bruger, der er blevet smittet, også i en decentral løsning, skulle anmelde sin nye status till de centrale servere, der derefter distribuerer eller alternativt stiller informationen til rådighed for alle brugere af app’en, der så med faste tidsintervaller ”poller” de centrale servere for match mellem ID-numre for nye smittede og den kontakt-liste, der er gemt på hver brugers telefon.

I Danmark har sundhedsmyndighederne argumenteret for et løsningsdesign med flere centrale behandlinger af personoplysninger. For det første lægges der op til, at oplysninger om smittede baserer sig på validerede oplysninger fra offentlige registre, som lagres (i pseudonymiseret form) på de servere, der understøtter app’en. Brugernes mobil-numre vil ligeledes blive lagret centralt, sådan at myndighederne kan kontakte de brugere, der har været tæt på den smittede. Det fremgår også af de oplysninger, som hidtil er offentliggjort om den danske sporings-app, at brugernes kontakter bliver lagret på de centrale servere, for at give myndighederne mulighed for at udarbejde forskellige typer af statistik.

Generelt skal det valgte løsningsdesign, herunder behandlingen af personoplysninger, understøtte det valgte, rimelige formål med behandlingen, jf. forordningens krav til privacy-by-design/default. Det er meget forskelligt hvad der i forskellige lande og kulturer betragtes som ”rimelige” formål i denne sammenhæng. Accepten af formål, der er drevet af hensynet til fællesskabet, forudsætter, at der i samfundet generelt er tillid til, at myndighederne altid holder sig inden for de eksplicit angivne formål, og ikke viderebehandler oplysningerne til ikke-angivne/skjulte formål, som kan have en negativ indflydelse på borgernes frihedsrettigheder og privatliv.

I USA er tilliden til staten/offentlige myndigheder samt til store private virksomheder eksempelvis typisk lav, hvorfor løsninger med så lidt central databehandling som muligt foretrækkes. Det indebærer fx en præference for, at brugernes kontakter udelukkende lagres lokalt på telefonen, og at smittede borgere selv-anmelder sin nye status som smittet uden interaktion med den offentlige myndighed. Risikoen ved disse løsninger, der forudsætter stor ansvarlighed af brugeren, er, at brugerne kan misbruge denne tillid på forskellig vis, fx ved ikke at melde sig smittet, når smitten er konstateret, ved bevidst at fejl-anmelde sig som smittet, eller ved fifle med de lokalt lagrede kontaktlister. Disse fejlkilder vil alt andet lige øge risikoen for, at app’en ikke lever op til sit formål.

I lande med meget høj tillid til offentlige myndigheder, fx i Danmark, vil de fleste borgere nok opfatte videregivelsen af oplysninger fra patient-journaler til app’ens underliggende servere, for at sikre, at oplysninger om smittede personer er sikre, som relativt uproblematisk, ligesom central opsamling af oplysninger om kontakter med henblik på udarbejdelse af statistik, nok også accepteres af de fleste. I Danmark vil den gennemsnitlige borgere med andre ord have stor tilbøjelighed til at acceptere behandlingsformål, der tjener samfundet/fællesskabet som sådan (valide data, statistik), fordi vi i Danmark har stor tilliden til offentlige myndigheders omgang med vores personoplysninger.

Selvom vi her i Danmark formentlig i højere grad vil acceptere flere centrale behandlinger af personoplysninger, er det dog uomtvisteligt sådan, at privatlivsbeskyttelsen alt andet lige er størst, når brugerne beholder kontrollen over sine personoplysninger. Derfor bør lokal behandling alt andet lige – ud fra dataminimeringsprincippet – være det første valg. Kun hvis formålet, fx udarbejdelse af statistik om smitteudbredelsen, ikke kan understøttes på andre måder, skal et design med central behandling accepteres.

Det er fornuftigt, at sundhedsmyndighederne nu åbner op for en uafhængig faglig vurdering af, om det valgte løsningsdesign for det danske smittesporings-app giver den bedst mulige privatlivsbeskyttelse, givet de formål som behandlingen af personoplysninger skal understøtte, eller om andre, alternative løsningsdesign, skal foretrækkes. Det betyder i praksis, at der skal foretages en samlet afvejning af, hvilket design, der samlet set giver den bedste efterlevelse af GDPR-principperne. Det kræver en klassisk evalueringsmodel, hvor hvert design ”scores” op imod de forskellige GDPR-principper – fx dataminimering, korrekthed og behandlingssikkerhed. Som altid, når forskellige alternativer skal evalueres på forskellige kriterier/dimensioner, vil resultatet i høj grad afhænge af, hvilken vægt man tillægger de forskellige kriterier. For at man efterfølgende kan vurdere rationalet bag evalueringen er det derfor vigtigt, at vægtningen af de forskellige dimensioner lægges åbent frem. Spørgsmålet er, om vi kan forvente det? Fortsættelse følger….

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *