nrk.no

Simula om sporingsapp: Omstridt beslutning skyldes begrensninger i Apple-produkter

Kategori: Samfunn

Apples toppsjef Tim Cook under fremleggelsen av iPhone XS. Foto: Marcio Jose Sanchez / AP Photo

Utviklerne av smittesporingsappen bidrar med nye detaljer om hvordan persondata skal lagres og hvorfor de må sendes til et sentralt lager i opp til 30 dager.

FHI og forskningsinstituttet Simula samarbeidet om å utvikle en smittesporingsapp som er ventet lansert neste uke. Appen vil lagre hvor brukeren befinner seg og hvem de er i kontakt.

Appen har fått kritikk for manglende åpenhet, spørsmål om IT-sikkerhet, og for omfattende overvåkning av brukerne. Onsdag ble det kjent at en ekspertgruppe skal gjennomgå sikkerheten til appen.

Det er spesielt valget om å lagre nordmenns persondata i et sentralt lager i opp til 30 dager som har fått kritikk. Viseadministrerende direktør Kyrre Lekve i Simula oppgir til NRKbeta at dette måtte gjøres for å omgå tekniske begrensninger i operativsystemet til Apple-mobiler (iOS).

To initiativ har blitt trukket frem av personvernforkjempere: Et felleseuropeisk samarbeid og smittesporingsappen til Singapore. Disse løsningene baserer seg utelukkende på å registrere nærkontakter via Bluetooth og å lagre informasjon om møtene lokalt på mobilen.

Simula mener disse initiativene har et sentralt problem: For Apple-mobiler må sporingsappen være i forgrunnen for å kunne regelmessig sende og motta Bluetooth. Siden iOS har over 50 prosents markedsandel ville det gi store blindsoner.

For eksempel må iOS-brukere i Singapore ha smittesporingsappen i forgrunnen for at den skal være mest mulig effektiv når de er ute blant folk. Det er batterikrevende, og det er et åpent spørsmål hvor mange nordmenn som vil gjøre det samme over lang tid.

Skjermbilder fra sporingsappen i Singapore kalt TraceTogether. Skjermbilder: Singapore

Utgangspunktet til Simula

Lekve oppgir at Simula startet arbeidet på en digital løsning før initiativene i Europa og Singapore ble kjent. De digitale alternativene som eksisterte da var mer inngripende.

– Det er noe av bakgrunnen for at vi ikke kopierte disse appene, sier Lekve.

FHI og Simula mener deres løsning også har en rekke fordeler sammenliknet med løsningen i Singapore. Blant annet at den automatiserte smittesporingen vil aktiveres hurtigere og at de kan overvåke effekten av tiltak fortløpende.

Den norske appen, som nå har fått navnet Smittestopp, skal hvert minutt spørre mobilen hvor den befinner seg og hvilke andre mobiler med Smittestopp den er i nærheten av. Disse dataene skal hver time sendes til et sentralt lager, gjerne kalt en database. Appen benytter seg av sms-bekreftelse og får slik brukerens telefonnummer.

Dataene vil sendes uavhengig av om brukeren er på wifi.

– Det er en komprimert datamengde så det er veldig lite data som sendes. Jeg har også fått beskjed av testbrukerne at de merker veldig lite. De merker ikke at batteriet blir fortere utladet eller at mobilen blir mer upålitelig, sier Lekve.

Viseadministrerende direktør Kyrre Lekve i Simula. Foto: Simula

For å kompensere for at appen har mindre tilgang på iOS-enheters Bluetooth, planlegger Simula å benytte ulike dataalgoritmer på dataene i det sentrale lageret.

– Det betyr at hvis en annen Android har oppdaget en iPhone, vil den informasjonen sammen med GPS-signalene kunne være med på å bestemme hvor iPhonen er, sier Lekve.

Der to iOS-telefoner har appen i bakgrunnen vil det være vanskeligere å fastslå en nærkontakt, men det vil ifølge Lekve være mulig i mange tilfeller:

– Det er et felles problem for alle som bruker Bluetooth. Om begge er i hvilemodus vil de ikke finne hverandre. Da må vi triangulere med GPS og bruke andre telefoner for å fastslå akkurat hvor de er.

FHI har på et overordnet plan tatt opp slike tekniske begrensninger med Apple, viser et brev NRK har fått innsyn i.

– Utfordringer knyttet til Bluetooth funksjonaliteten i Apple har vært diskutert kort med dem, og de har vist til at flere land har tatt opp dette med dem, sier Gun Peggy Knudsen, som er FHIs områdedirektør helsedata og digitalisering.

Gun Peggy Knudsen er områdedirektøren i Folkehelseinstituttet med ansvaret for den digitale smittesporingen. Foto: Privat

Med en helt lokal løsning ville iPhone-brukere sjeldnere fått beskjed om nærkontakter, ifølge Lekve.

FHI og Simula har i andre anledninger også argumenter for en sentral løsning ved å trekke inn to andre behov: Overvåke epidemien i nær sanntid for å vurdere om effekten av ulike tiltak og å data til langsiktig forskning.

Knudsen, utdyper på epost mulighetene de får til å overvåke epidemien:
– Ved å følge anonyme bevegelsesmønstre i befolkningen kan dette være et verktøy for å analysere kontaktnettverk og endringer i dem, hvor folk i Norge oppholder seg og hvor mange de er i nærheten av. Slik blir det mulig å følge med på om tiltakene Norge innfører virker, og hva som skjer med antallet nærkontakter til smittede når samfunnet åpner opp de svært strenge restriksjonene litt etter litt.

Dette skjer når du tester positivt

I Norge vil kontrollen med dataene fra appen ligger under helsemyndighetenes kontroll.

NRK har fått innsyn i appens foreløpige personvernerklæring. Der står det at: «Helseopplysninger eller lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet eller brukes i forsikringsøyemed eller av arbeidsgivere selv om du samtykker. Personopplysningene kan ikke utnyttes kommersielt.»

Trykk på bildet for å lese den foreløpige personvernerklæringen.

Nordmenn som tester positivt for koronaviruset blir registrert i Meldingssystem for smittsomme sykdommer (MSIS). Fremover vil det også gjøres en sjekk: Har personen et telefonnummer som har installert appen?

– Hvis svaret på det er ja har vi en automatisk algoritme som tar ut alle nærkontakter. Så går det automatisk ut en melding fra helsevesenet til disse telefonene, sier Lekve.

Per nå er det skissert at to mobiler må være i nærheten av hverandre i minst 15 minutter innenfor to meter for at det skal registreres en slik nærkontakt.

FHI oppgir at ordlyden i disse meldingene ennå ikke er ferdig utformet, men at: «Innholdet vil være en beskjed om at man kan ha vært utsatt for smitte, og råd om hvordan man skal forholde seg.» Lekve oppgir til NRK at det kan være aktuelt å nevne hvor mange dager det er siden nærkontakten fant sted.

Arkitekturskisse: NRK har fått innsyn i en skisse som viser hvordan systemene skal fungere sammen. Disse har blitt forelagt ekspertgruppen som skal vurdere sikkerheten til løsningen. Foto: FHI

Personvernekspert: Mener appen er inngripende

Simen Sommerfeldt er teknisk sjef for konsulentselskapet Bouvet og medforfatter av en bok om personvern. Han ønsker at appen skal lykkes med å bekjempe utbredelsen av koronaviruset, men stiller spørsmål ved om løsningen kunne vært mindre inngripende.

– Jeg har grunnet over dette de siste dagene. Med unntak av Kina så må den norske appen være blant de mest utfordrende for personvernet. Det må være et tankekors, sier Sommerfeldt.

Simen Sommerfeldt er medforfatter av «Personvern og GDPR i praksis» og teknisk sjef i Bouvet. Foto: Privat

Sommerfeldt mener man burde sett på metoder for å lagre mindre persondata og unngått at alt lagres i 30 dager. Han mener dette er spesielt viktig nå som EU-kommisjonen har kommet med en rekke anbefalinger for sporingsapper. Der påpekes det blant annet at man bør tilstrebe å lagre data lokalt. Jon Wessel-Aas, som tidligere har kritisert appen, påpeker også dette i en twittermelding.

– Et betryggende grep ville vært å kun beholde rådataene i et visst antall timer. Det er å følge prinsipper for innebygget personvern, at man begrenser og skjuler persondata i størst mulig grad.

Lekve har blitt forelagt Sommerfeldts bekymring om den lange lagringstiden:

– Simula har konsentrert seg om å utarbeide en sikker og effektiv løsning som oppfyller de krav regjeringen fastsatte i sin forskrift 28. mars. I arbeidet har vi konsentrert oss om å sikre personvern og ivareta sikkerheten til appen, svarer Lekve.

Sommerfeldt mener Simula og FHI likevel ikke har vært påpasselige nok for å sikre brukernes personvern:

– Jeg er kjent med Bluetooth-utfordringene, og forstår at systemet må bruke andre metoder for å forstå om telefoner er i nærheten av hverandre. Dette er imidlertid ikke noen gyldig grunn for å bryte med prinsippene om innebygd personvern i resten av løsningen.

For ordens skyld: To ansatte i Bouvet er medlemmer av ekspertgruppen på åtte som skal vurdere appens sikkerhet. Sommerfeldt oppgir at han ikke har kjennskap til noen detaljer om arbeidet deres, men forholder seg til åpent tilgjengelig informasjon.

NRKbeta henvendte tirsdag til Apple med spørsmål om tekniske begrensinger med Bluetooth. Saken oppdateres når Apple kommer tilbake til oss.

65 kommentarer

  1. Det er grovt misvisende å snakke om anonyme bevegelsesmønstre.

    Bevegelsesmønstre avslører deg, med døgnhvile og arbeidssted, ev også ved kobling til alskens andre registreringer (kortkjøp, videoovervåking, observasjoner).

    Teknisk er det fullt mulig å kun lagre oppholdspunkter (hvilke mobiler var nær hverandre på hvert tidspunkt), og la koblingen til mobil/person ligge hos annen aktør (reell pseudonymisering).

    Nå er det bare liksom-anonymisering.

    Svar på denne kommentaren

    • Svein Ølnes (svar til Jon)

      Som andre er også eg overraska over valet av Simula til å utvikla denne appen. Simula er kjent som eit forskingsmiljø med svært høg kvalitet. Men det betyr ikkje at dei er veldige gode utviklarar. Eg trur det er mange utviklingsmiljø her til lands som har betre kompetanse på dette enn Simula.

      Argumenta for lukka kode er heller ikkje overbevisande. Gode utviklarar er ikkje redde for å visa programkoden.

  2. Dere skriver i artikkelen:
    «Overvåke epidemien i nær sanntid for å vurdere om effekten av ulike tiltak og å data til langsiktig forskning.»

    Men litt lengre ned, i utdraget fra personvernerklæringen står det: «ikke (…) brukes i forsikringsøyemed eller av arbeidsgivere selv om du samtykker».

    Er ikke dette direkte motstridende?

    Svar på denne kommentaren

    • Sven (svar til Lars P)

      Tror det de mener er at kun anonymisert data vil bli brukt til forskning, til tross for at GPS data er så unikt at det er trivielt å identifisere en person ut ifra en anonymisert GPS log.

  3. Vil ikke en Bluetooth løsning slik som TraceTogether og BlueTrace også ha helt egne personvern utfordringer?

    Sikter til at de ser ut til å belage seg på å dele info om hvem (Bluetooth ID) som har fått smitte, mens med sentral løsning trenger man ikke identifisere personer med smitte direkte. Det holder med å varsle om karantene til de som har vært i nærhet av smittede, evntuelt også mennesker de har møtt i ettertid og.

    Svar på denne kommentaren

  4. Jeg er veldig glad for at Apple har tatt kampen for personvern i den graden de gjør. Forståelsen for informasjonen som blir utvekslet og utnyttet, er alt for lav blant politikere og brukere. Det er vanskelig å finne gode løsninger under slikt tidspress som dagens situasjon krever, men det kunne vært helt unngått hvis politikerene hadde forstått personvernsproblematikken som har oppstått, tatt den på alvor, og hatt regelverk på plass som beskyttet brukere. I mangel på politisk handlekraft har heldigvis et firma valgt at personvern er noe å satse på, og det er jeg takknemlig for. For de er det gjenstandene de selger som er produktet, og ikke brukerene.

    Svar på denne kommentaren

  5. Peter A Davidsberg

    Et par sentrale spørsmål… Hva med de hundreder av tusen turister som kommer til Norge hvert år? Er ikke dette en global pandemi? Ligger det her i manuskriptet at «pandemien» skal fortsette flere år framover til vi har en, ref Bill Gates: en global massevaksinasjon? Hva med internasjonale yrkessjåfører som passerer grensen, crew på fly, pendlere inn og ut av Sverige til Norge, Russere i Kirkenes osv…
    Sitat: Lekve oppgir til NRK at det kan være aktuelt å nevne hvor mange dager det er siden nærkontakten fant sted….Dette skurrer. Skal en som har vært i nærkontakt da vente dager før man blir varslet? Er ikke hensikten å begrense smitte i samtid?
    Leser man hva f.eks Sverige skal bruke APPen til ligger der en annen intensjon enn Norge og Danmark. Det nevnes at der er en dansk gruppe som har utformet APPen en dag og neste dag i danske aviser står det at den APPen de nå tar i bruk er etter mønster fra Norge…Andre Europeiske land bruker igjen en annen ordlyd, eller tildels en annen begrunnelsesmodel. 130 land innfører nå denne APPen. Hvor lang tid tar det før man begynner å legge igjen telefonen hjemme ettersom ens bevegelser blir lastet opp i en sky der andre lands data også lagres. For skal APPen ha noen virkning må man kunne koordinere data fra personer med andre nasjonaliteter enn Norge….
    Man kan fortsette å nevne «hull» i denne APPen, eller velge å spørre seg om den har en annen intensjon? Som den presenteres nå, hvor det meste går over stokk og stein, der det tydelig kommer instrukser fra dag til dag om hvordan APPen skal forklares og restferdiggjøres. Kan jo nevne at i vårt naboland, som jo har en annen personvern-lovgivning, vil APPen spille en langt mer «fryktskapende» rolle ettersom man planlegger å straffe forfølge smittebærere som ikke opprettholder karantenebestemmelsene. Et siste spørsmål. Hvordan skal APPen se forskjell på et nødvendig besøk på kjøpesenteret kontra en «utflukt/adspredelse» dit?
    Mvh Peter

    Svar på denne kommentaren

  6. Ingen bør noen sinne laste ned en slik app, uansett hvor god intensjonen måtte være. Å stadig ha Bluetooth aktivert er jo helt perfekt for hackere. Å tillate sporing, helseopplysninger, nærkontakt etc. er så til de grader i strid med personvernet og retten til privatliv («privacy») at man knapt nok kan tro at stat og myndigheter går inn for slike løsninger. Jeg har lenge vært engasjert i «free software», frie operativsystemer (som GNU/Linux Hyperbola-libre) og bruker ingenting jeg ikke har eller potensielt kan se kildekodene til. Unntaket er «smart-telefonen» som er proprietær programvare, og som jeg derfor aldri tar med meg ut. Og særlig ikke i disse tider. Slå av GPS. Slå av Bluetooth. Legg igjen telefonen hjemme.

    Svar på denne kommentaren

    • Oskar (svar til Stig)

      Dersom du har noe å skjule, er vel denne appen «farlig» men for alle andre vil vel den være et hjelpemiddel for å påvise mulig smitte tidlig?

    • keal (svar til Stig)

      Sånn var det det også under STASI-regimet i Øst-Tyskland: Hvis du ikke hadde noe å skjule, hadde du ikke noe å frykte.

    • Anders (svar til Stig)

      De fleste har nok Bluetooth aktivert hele tiden uansett. Bare tenk på alle med trådløst headset, og at feks. iOS har BT påslått som standard. Denne appen forandrer neppe på mye av det.

    • Magne (svar til Stig)

      Under normale omstendigheter ser jeg faren ved en slik teknologi. Men dette er ikke en normal situasjon. Milliarder av kroner, liv og helse står på spill og da er å gi fra seg noe personlig sikkerhet en del av samfunnsdugnaden jeg gladelig bidrar med – hvis det hjelper frontkjemperene i denne krigen. Farlig for samfunnet å spre eller fokusere på mistenklig-gjøring etter min mening.

  7. Marius Bendiksen

    Virker som FHI ikke har forstått at begrensningene er til nettopp for å hindre FHI fra å gjøre dette, fordi det er en banneord dårlig ide fra informasjonssikkerhetsmessig og personvernmessige vinkler. Heldigvis frivillig å laste ned appen, foreløpig, og skal ikke se bort fra at den kommer til å trekkes fra App Store ved første avvik.

    Svar på denne kommentaren

    • Roger Enoksen (svar til Petter Karal)

      Kunstig problemstilling. Hvis du vil unngå smitte finnes det bedre og mindre inngripende løsninger. Denne appen forhindrer ikke smitte, den varsler deg i ettertid hvis du har vært nær en smittebærer. Prisen er total overvåkning av alle dine bevegelser, en høy pris å betale. Potensialet for misbruk må ikke undervurderes, dette er en farlig vei å gå.

    • Simon W. Hall (svar til Petter Karal)

      Hvis du installerer denne appen så vil du at Norge skal bli som Kina.
      Hverken mer eller mindre!

      Den vil ikke fungere.
      Les gjerne kommentaren min et annet sted på siden her.

      God Påske og Stay Safe.

    • Helt enig. Mye lettere å være kverrulant enn støttespiller her – men moralen bør seire. Liv og helse basert på tillit opp mot full personlig kontroll. Egoistisk å velge å ikke bidra i dugnaden.

  8. Jeg lurer på om en slik personvernerklæring som du skriver under på og som vi begrense politiet tilgang til data overhodet har noen hensikt eller om ikke politiet likevel vil kunne få tilgang etter en rettskjennelse.

    Hvis man kan avskjære politiets tilgang bare ved en slik begrensning så var det nok mange som ville velge å ta det inn i sine betingelser.

    Svar på denne kommentaren

    • ima lund (svar til Christian)

      politiet? mer bekymret for NAV de kommer til steder hvor politiet trenger tillatelser fra høyere myndigheter for sporing . . . Nav kan sjekke deg og alle du kjenner – utne å innformere noen

    • Korreksjon: Politiet må få en dommer til å strø sand på i ettertid. Jfr. Straffeprosesslovens §216 d: «Dersom det ved opphold er stor fare for at etterforskningen vil lide, kan ordre fra påtalemyndigheten tre istedenfor kjennelse av retten.»

      Dvs. politiet bestemmer selv. De har ved flere kjente anledninger (mest kjent er Faiza- og Sigrid-sakene) benyttet seg av dette. I utgangspunktet skal den som er blitt overvåket/sporet i ettertid bli informert om dette (§216 j) … med mindre «hensynet til politiets etterforskningsmetoder eller omstendighetene for øvrig gjør det strengt nødvendig».

      Mitt stalltips er at bruk av korona-basen for å spore andre forbrytere vil være så følsomt at det av hensyn til politiets etterforskningsmetoder må bli holdt hemmelig.

    • Detta tänkte jag också på och det hade varit fint om NRK beta kunde gräva mer i detta. Jag tänker också att en apputvecklares egenpåhittade personvernserkläring inte betyder mycket om myndigheter väl vill ha tillgång till datan.

      När datan väl finns så är jag iaf rädd för att andra kommer vilja använda den, så klart i ”goda” syften, i annan kontext än det var sagt vid inhämtandet.

      Kan journalisten hjälpa oss med svar på detta?

  9. Bare unnskyldning med Apple når andre land fint får det til uten sentrallagring, men så har det jo også blitt sagt rett ut at den er motivert av annen bruk senere så det er ikke noe å lure på hva som egentlig er saken her.

    Utrolig kjedelig å vite på forhånd med 100%s sikkerhet at dette hele tiden var ment til annen bruk enn den oppgitte, og at det kommer til å bli realisert uansett innvendingene. Man kan også si det som sikkert at persondata generert nå kommer til å bli misbrukt som det er god historie på her til lands, selv av FHI.

    Bra av NRKbeta å være kritisk til dette og ikke bare systemlojal medløper som til tider har vært typisk.

    Svar på denne kommentaren

  10. Som Lars P kommenterer:

    Dere skriver i artikkelen:
    «Overvåke epidemien i nær sanntid for å vurdere om effekten av ulike tiltak og å data til langsiktig forskning.» (sic)

    Men litt lengre ned, i utdraget fra personvernerklæringen står det: «ikke (…) brukes i forsikringsøyemed eller av arbeidsgivere selv om du samtykker».

    Dette er opplysninger som nærmest utligner hverandre.

    Det kommer stadig drypp av informasjon om innhold og funksjonalitet til denne appen samt bakenforliggende database og analyseverktøy og jeg blir trygger og trygger på at den IKKE skal installeres på min mobil.

    Svar på denne kommentaren

  11. Lars Christian Nygård

    Jeg er skremt over hvor dårlig denne appen ser ut til å bli. Hadde virkelig forhåpninger, men de er nå knust.

    Lagre gps data lokalt. Send inn en sone-id til FHI. Har du vært i en sone hvor det har vært smitte popper appen opp med et tilbud om å sende inn gps-track for å få analysert om du har vært i nærheten.

    Det er da ikke vanskelig å designe et opplegg som ivaretar personvernet. GPS-spor er person identifiserbart. Man trenger ikke samle inn alt sentralt.

    Svar på denne kommentaren

  12. Frode Roxrud Gill

    Det er helt korrekt at Apple ikke tillater app’er å kjøre i bakgrunnen, men app’er får lov til å kjøre en regelmessig Background App Refresh, og det er absolutt ingenting som hindrer dette i fra å lagre data lokalt fremfor sentralt.
    På arkitekturskissen ville jeg fjernet analyse på lokale data, skyløsningen (Microsoft Azure?!?), Tilgangsloggen, Google Maps og Grunndata før jeg ville vurdert å nærme meg app’en, og jeg stusser over at det ikke er nevnt id-porten og bankid noen som helst sted. Håper virkelig ikke de har tenkt å slippe på folk med en simpel SMS-kode?
    Ser også at 8 stykker nå har fått lov til å sjekke koden. Fint at 8 stykker nå kan ta et kvalifisert valg på om de ønsker å bruke app’en eller ikke. Hva med alle oss andre?

    Svar på denne kommentaren

  13. Kjetil bommen bakke

    Dette er ikke noe forsøk på forebyggende smitte tiltak. Fullstendig svada og tull! Vi har ikke bruk for denne appen. Dette handler om å overvåke befolkningen. Sier vi alle ja til dette,hva blir neste… Si nei og ikke installer appen!

    Svar på denne kommentaren

  14. Simon W. Hall

    Denne appen vil jo være helt ubrukelig.

    Hvor er det to mennesker er nærmere enn to meter i 15 minutter?

    Testcase:
    En bussjåfør, en togkonduktør eller en som sitter i kassa på butikken er smittet.
    Hvordan vil denne appen fange opp det?

    Disse kan være i kontakt med 100-vis av mennesker hver dag, og aldri oppfylle disse kravene.

    Så kan vi ta for oss blåtann.

    Stort sett alle som har en telefon som er over to år gammel vil være sårbare for et par stygge sikkerhetsfeil i blåtann.

    Den ene heter #bluefrag og er sporet av NIST som CVE-2020-0022

    Den andre er sporet av NIST som CVE-2019-2009 og tar for seg en feil i «Fluoride Bluetooth stack».

    Eneste måten å beskytte seg mot disse på er å ikke ha på blåtann!

    Har FHI og Simula tenkt på dette?

    Hvis du installerer denne appen så vil du at Norge skal bli som Kina.
    Hverken mer eller mindre.

    God Påske og Stay Safe.

    Svar på denne kommentaren

    • Den kunne kanskje funket på fly, men da setter vel de fleste telefonen i flymodus, noe som skrur av både BT og GPS uansett som regel.

    • Det er værre. Pga stor usikkerhet/unøyaktighet i avstandsmålingene (med de valgte metoder), vil selv to telefoner som har befunnet seg kanskje opptil 20 til 30 meter fra hverandre registreres som et «nærhets»-treff. Kanskje samme «nærhets»-treff da vil omfatte et titalls eller hundretalls personer? For eksempel alle som stod og ventet på bussen sammen? Da har app’en liten verdi, og vil gi for mange treff-data som sannsynligvis ikke vil kunne ble behandlet.

  15. Kan NRK be FHI oppgi hvilken erfaring Simula har med å lage mobilapplikasjoner? Jeg har møtt noen ansatte der og ingen hadde kompetanse om dette. De er forskere stort sett som lærer koding for å analysere datasett, ikke å lage apper.

    Påstandene deres er ikke betryggende som mange påpeker, men jeg synes det er viktig å få offentlig informasjom om Simula er egnet til akkurat denne oppgaven. Kanskje de kan analysere data men ikke lage apper? Det er isåfall en stor glipp hos de om de ikke oppgir det, og hos FHI som har kjøpt inn tjenesten.

    Svar på denne kommentaren

  16. En app som virker med Bluetooth på 50% av mobiltelefonene, men som ikke vil virke som ønsket med GPS på noen telefoner (pga begrenset nøyaktighet) skremmer meg. Helsemyndighetene prøver å skjule sannheten. Dette er ikke bra.

    Svar på denne kommentaren

  17. Bengt nilsen

    Alt i alt, uansett hvilken løsning man velger, ser det ut til mobilmaster kommer til å være siste løsning til slutt. Ikke like nøyaktig som en app(men alle som har brukt maps vet problemet), men ser ut til at man vil ha disse problemene over hele fjøla på nøyaktighet. Den enkleste appen ville ha vært: ønsker du å lagre mobillokasjon i 30 dager? Lokalt eller sentralt? (Blir ikke dette allerede lagret sentralt i xx antall dager?) Deretter får man spørsmålet, – vil du dele denne dataen for pandemianalyse?

    Skjønner ennå ikke problemstillingen, men unøyaktighet. Skjønner at bluetooth kan vise nærkontakt, men virker like upålitelig som deling av GPS-data. Men tilsammen, ja, -GPS, mobilmaster, wifi-tilknytninger og bluetooth. Hvis man da har sagt ja til og motta melding hvis nærkontakt med smitterammede og posisjoner hvor disse har vært: ja.

    Man kan ikke forvente at jeg og deg deler data sentralt uten at man får noe tilbake. Google er vel det beste eksemplet.

    Svar på denne kommentaren

    • Magnus Andersen (svar til Bengt nilsen)

      På min telefon vill iallefall lokasjonsdata til smittesporing være ganske ubrukelig.

      Veldig bra til generell overvåkning, finne ut reisemønster (har jeg besøkt kontoret, hytta, kjøpesenter). Veldig dårlig til å avgjøre hvem jeg har vært i nærkontakt med.

      Dersom ikke telefonen tvinges til å bruke GPS/GNSS hele tiden, vil den bruke possisjon basert på basestasjon / wifi. Dette har typisk en usikkerhet på noen hundre meter i by, og opptil flere km grisgrendt strøk.

      Dersom appen krever kontinuerlig GPS, vil batterilevetiden reduseres så mye, at telefonen gjerne må lades flere ganger om dagen.

  18. Straffeprosesslovens fjerde del (lovdata.no/dokument/NL/lov/1981-05-22-25/KAPITTEL_4#KAPITTEL_4) burde være «obligatorisk pensum» i enhver diskusjon om personvern. Her gis politiet svært vide fullmakter til både sporing og innsyn i databaser etc. I utgangspunktet skal en dommer godkjenne all slik overvåking, men «Dersom det ved opphold er stor fare for at etterforskningen vil lide, kan ordre fra påtalemyndigheten tre istedenfor kjennelse av retten» (§216 d) – dvs. politiet kan selv bestemme at de vil benytte sporing/avlytting – slik de gjorde i f.eks. Faiza- og Sigrid-sakene for noen år siden.

    §216 o: «Retten kan ved kjennelse gi politiet tillatelse til å foreta avlesing av ikke offentlig tilgjengelige opplysninger i et datasystem (dataavlesing) […]» – de følgende betingelsene dekker det meste av narkotika-lovbrudd, en stor del seksuallovbrudd – naturligvis i tillegg til vold, spionasje og angrep på forfatningen.

    Man bør være oppmerksom på noen detaljer i formuleringene. F.eks. §216 n: Data skal slettes «i den utstrekning de er uten betydning for forebyggelsen eller etterforskningen av straffbare forhold» – ikke det straffbare forholdet de var innhentet for, men vilkårlig straffbart forhold. Å ha posisjonsdata for alle norske borgere kan ha stor betydning f.eks. i etterforskning av hvem som kjøper ulovlig narkotika. Eller hvem som til stede der Lommemannen var aktiv. Eller som beveger seg på E6 raskere enn fartsgrensen tillater. Alt er relatert til «straffbare forhold».

    Det hender at én lovparagraf gir rettigheter, en annen tar dem bort. Hovedprinsippet er at den mest spesifikke loven har forrang. Det er ikke alltid helt selvsagt hvilken lov som er mest spesifikk: Smittevernloven (med en forskrift som sier at «lokasjonsdata kan ikke gjøres tilgjengelig for politi eller påtalemyndighet» – men som også sier at «Departementet kan i forskrift gjøre endringer i forskriften», altså uten Stortingets godkjennelse) er den mest spesifikke på smittevern. Straffeprosessloven er ganske spesifikk på politiets rettigheter.

    Med dagens styringsmakter vil jeg tro at smittevernloven gis forrang, men jeg har ikke problemer med å forestille meg «lov og orden»-krefter komme inn som vil hevde at når det finnes inforamasjon i offentlige registre som kan hjelpe politiet til å fakke forbrytere, er det selvsagt at de må få tilgang til dette.

    Det ble ikke noe folkeopprør verken da Faiza- eller Sigrid-saken viste at politiet – uten noen dommers forhåndsgodkjenning – kan spore beveglsene til enhver norsk mobil. Vi brydde oss ikke dengang om at politiet har samme tilgang til å spore hver eneste en av oss, bare vi har en mobil. GPS øker nøyaktigheten, men prinsipielt er det ingen forskjell fra de mulighetene og rettighetene politiet har hatt, og brukt i over ti år.

    Bare vi venner oss til at korona-basen gir politiet bedre mulighet for å fakke forbrytere, tror jeg vi kommer til å godta fullt ut at politiet får tilgagn til mer presis sporing enn de har i dag. Jeg har ingenting å skjule, ingenting å frykte! Jeg er Politisk Korrekt – de kommer ikke etter meg!

    Svar på denne kommentaren

    • Dette er bare rør. Straffeprosessloven § 216o gir åpenbart ikke hjemmel til å innhente data fra denne databasen. Se på fjerde avsnitt i paragrafen. Det er uansett også bare rør at den dekker «det meste av narkotikalovbrudd». Den dekker bare grove narkotikalovbrudd.

  19. Hallo alle dere småparanoide mistenksomme sjeler. Ja, appen kunne sikkert vært sikrere uten å bli vesentlig mindre effektiv, men det betyr ikke at noen er ute etter å overvåke dere, eller at dataene uvegerlig vil bli brukt til andre formål enn smittesporing. Her handler det om å ta stilling til kost/nytte, ikke om hellige prinsipper og autoritære myndigheter.

    Svar på denne kommentaren

    • keal (svar til Erik)

      «Problemet» er at mange, som meg, ser «nytte» som svært lav, og «kost» som potensielt svært høy.

      Og det kan hende at disse vureringene er basert mer på empiri enn på romantikk.

    • Laffen (svar til Erik)

      Hallo din småhoverende nedlatende sjel. Det handler ikke om kost/nytte, det handler om at appen er unødvendig inngripende og vil fint virke uten at den er det. Selv udemokratiske Singapore har fått det til, og det er også flere andre apper som FHI kunne ha brukt. Inngripende/uinngripende. Din posisjon?

    • Bengt Nilsen (svar til Erik)

      Hvis du blir syk, vil jeg gjerne vite hvor du har vært! Gjerne hvor du bor. Enda bedre at den tar bilder underveis hvert minutt og telefonen din sender meg melding hvis jeg kommer nærmere deg enn ti meter. Aller beste hadde jo vært hvis telefonen din hadde en sensor til å oppfatte ett viss antall smittepartikler når du puster. Og enda bedre, hvis jeg holdt kamera opp ville du komme opp som grønn, gul eller rød. Åh, du store kontroll-gud. Dette kan jo utvides til alt, føler meg jo totalitær! Noen ideer hvordan dette kan utvides til f.eks. se om du har syfilis? Eller om du har aksjer eller eier i ett farmasøytisk selskap som Joe Pizza?

      readsludge.com/2020/04/09/did-joe-pizza-tell-trump-about-hydroxychloroquine/

    • Erik (svar til Erik)

      Hei Laffen. Min posisjon er å vente og høre hva ekspertutvalget sier om sikkerheten. Men det jeg egentlig er mest usikker på er nøyaktigheten. Jeg er ikke spesielt interessert i å gå i karantene pga. at noen i etasjen over har vært smittet, så her må man få tilbud om testing.

  20. De fleste møter hvor man er nærmere enn to meter er jo innendørs. Der virker ikke GPS, som uansett har fortvekk noen meters unøyaktighet. Sporing på wlan og celle-id er ikke presist. Blåtann kan rekke flere titalls meter. Hvis jeg besøker noen så burde det vært flagget som nærkontakt selv om telefonen skulle ligget igjen i jakka i gangen eller ute i bilen. Vil man i det hele tatt få noe som helst som kan brukes til smittesporing? Eneste man får er jo et utmerket verktøy for å ha styr på innbyggere. Og et annet spørsmål, hvor lenge skal systemet virke? Når skal det slåes av? Vil det stå å gå hos ubevvisste brukere å lagre 30 dager løpende i årevis?

    Svar på denne kommentaren

  21. Covid-19 epidemien er et globalt problem. Globale problemer trenger globale løsninger.

    Apper ser ut til å være en del av løsningen, men én eller noen få apper globalt er bedre enn mange nasjonale apper. Hvis ikke internasjonal handel og turisme skal bli, og forbli, et historisk fenomen er det ikke bare ønskelig, men helt nødvendig, men en global tilnærming til smittespredningsbekjempelse.

    For tiden arbeider mange titalls land, kanskje over hundre, med sin egen app for smittesporing. Alle disse appene vil ha sine attraktive og mindre attraktive sider. Etter hvert vil noen utenlandske apper for mange innbyggere framstå som mer attraktive enn deres nasjonale. Da vil de installere den utenlandske i tillegg til, eller i stedet for, sin nasjonale app. Økt oppslutning globalt om én eller noen få apper for smittesporing vil styrke bekjempelsen av epidemien.

    Blant de nasjonale appene som etterhvert vil bli valgt bort vil det utkrystallisere seg to grupper. Den ene gruppen er apper der utviklerne bidrar til den eller de appene som vinner fram i den globale konkurransen mellom appene. Den andre gruppen er apper der utviklerne holder fast på sin egen apps fortreffelighet. Denne gruppen apper vil bidra negativt til bekjempelsen av epidemien ved å forsinke oppslutningen om den global løsningen.

    Hovedhensikten med en app for smittesporing er at jeg ved hjelp av min mobiltelefon kan fortelle deg via din mobiltelefon at jeg mistenker at jeg er smittet, og at du kan ha blitt smittet av meg for noen dager siden før jeg utviklet symptomer. I tillegg vil det kunne være nyttig for deg og vite tid og sted for den potensielle smitteoverføringen, samt bli oppdatert om min mistanke blir styrket eller svekket etter hvert som mine symptomer utvikler seg eller jeg mottar et negativt eller positivt laboratorieprøvesvar.

    Det kan også være ønskelig at de som potensielt ble smittet av meg for noen dager siden (før jeg utviklet symptomer) kan melde fra til dem de potensielt har rukket å smitte de aller siste dagene. Det kan også være ønskelig, den motsatte veien, at de som kan ha smittet meg blir informert om at de kan ha vært smittebærere. Disse situasjonene må naturligvis ligge noe lenger tilbake i tid, siden det med Covid-19 tar lengre tid å utvikle symptomer enn det tar å bli smittebærer.

    En tilleggshensikt med apper for smittesporing er å gi helsemyndighetene et datagrunnlag for å ta beslutninger om tiltak. Disse tiltaken er slike vi allerede kjenner (reisestopp, hjemmekontor, selvisolering, o.l.), samt noen nye (munnbind, medisinering, testing, o.l.). Med et godt datagrunnlag kan slike tiltak gjøres mer målrettede ved kun å gjelde noen områder eller noen grupper. Mitt inntrykk fra media er at helsemyndighetene har overfokusert på denne tilleggshensikten på bekostning av hovedhensikten. På sikt er det, slik jeg ser det, selvdisiplinering og ikke myndighetspålegg som må være det bærende elementet i smittebekjempelsen.

    Viktige egenskaper som globalt vil få en app til å framstå som attraktiv er:
    – Åpen kildekode for app og tjener («server»)
    – Anonymisering av mobiltelefonen og brukeren
    – Kun lokal lagring av posisjons- og sporingdata
    – Kun lokal lagring av potensielle smitteoverføringssituasjoner (PSOFS)
    – Deling av aggregerte data om PSOFS med myndighetene (gjerne via WHO) er frivillig
    – Deling av data om PSOFS kan trimmes individuelt for hver enkelt jeg kan ha smittet

    Diskusjonen i offentligheten om de første punktene er godt i gang, men jeg har ikke sett noen diskutere det siste, nemlig betydningen av å kunne trimme deling av data om SOFS. Jeg mener dette er viktig.

    Mange av dem jeg potensielt kan ha smittet vil jeg med tilgang til nøyaktig tid og sted lett kunne identifisere. For noen av disse vil jeg være trygg på at smitte ikke kan ha blitt overført, mao. jeg vet bedre enn appen og det er en fordel om jeg kan overstyre den. For andre vil jeg ønske å formidle mistanken direkte ved å ta en telefon først. Enten jeg kan identifisere den jeg potensielt har smittet eller ikke, kan det hende jeg kun ønsker å dele dag og ikke klokkeslett, eller dele kommune og ikke posisjon, fordi jeg ellers ville kunne kompromitere meg selv eller den jeg potensielt har smittet.

    La det være klart, jeg har stor tillit til Folkehelseinstituttet og Camilla Stoltenbergs integritet. Etter mitt skjønn er deres app Smittestopp likfullt sjanseløs til å bli den globalt vinnende appen, om ikke annet fordi svært mange av klodens innbyggere vil betakke seg for å installere en app der søsteren til lederen av verdens største militære allianse har hatt styring med spesifikasjonene og utviklingen. Dette er selvfølgelig en usakelig og urettferdig kobling, men saklighet og rettferdighet vinner desverre ikke alltid fram her i verden. Leit, men sant.

    Det beste Folkehelseinstituttet og Simula selv kan gjøre er å bidra i den globale dugnaden ved løpende å offentliggjøre de løsningene og den koden de utvikler. Det aller beste de kan gjøre er å gi økonomisk støtte til konkurrerende apper som har større sjanse enn deres egen til å vinne fram globalt.

    (Jeg er en erfaren programmerer, men lager ikke apper.)

    Svar på denne kommentaren

    • Simon W. Hall (svar til Werner D)

      Dette har ingen ting å gjøre med skepsis og konspirasjonsteorier.

      Det handler om at den ikke vil virke.

      Testcase:
      En bussjåfør, en togkonduktør, en som sitter i kassa i en butikk eller en servitør på et utested er smittet.

      Hvordan vil denne appen fange opp dette?
      De er jo aldri i nærheten av noen i 15 minutter.

      Den vil heller ikke virke innendørs eller i bygg med flere etasjer.

      Hvor er det du ser for deg at to mennesker er nærmere hverandre enn to meter i 15 minutter?

      Denne appen vil ikke virke og har store personvern implikasjoner som ikke har blitt forklart på en tilfredsstillende måte.
      Ferdig Snakka™

  22. I Tyskland melder Angela Merkel at de vil gå sammen med EU om å utvikle en felles Korona-app.

    «The platform would make anonymous use of Bluetooth technology, without storing data from location tracking — thereby bringing it within the strict requirements of the European Union’s General Data Protection Regulation.»

    I Frankrike planlegger de det samme.

    Se sier: «In an interview with Le Monde, Cédric O and Olivier Véran detailed the effort. France isn’t going to force you to install the app and «Stop Covid» is only going to use Bluetooth. A prototype is in the works, but it’s going to take three to six weeks to develop.

    Even then, the French government might not even release the app. “We’re not sure that we can overcome all the technical difficulties because Bluetooth hasn’t been designed to measure the distance between individuals. We will decide later if it would be useful to roll out such an application or not,” Cédric O told Le Monde .»

    De er tydeligvis praktisk anlagt. De tør å snakke om begrensningene med Bluetooth, og de vil ikke utgi app’en uten at disse er løst.

    EU vil altså kun satse på Bluetooth og lokal lagring. Hvis de får det til, da. Da unngår de mye kritikk fra brukerne. Den norske appen har en usikker fremtid.

    Svar på denne kommentaren

  23. Terje Arntsen

    Jaja. Nok et prima eksempel på at lettvinte løsninger og økonomi overstyrer personvern og liv. Hvem som helst med erfaring innen effektiv kvalitetskoding kunne gjort dette på 4 forskjellige måter uten personvern-utfordringer. Fortsett med å betale kodere pr. linje kode og kjør dritten i grøfta.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.