nrk.no

Smittestopp samler inn samme type data som i NRK-avsløring

Kategorier: Mobilsporing & Samfunn

En person med hansker og munnbind holder fram en mobiltelefon. På skjermen vises skjermbilder fra appen Smittestopp.
Folkehelseinstituttets app originale app Smittestopp. Foto: Heiko Junge / NTB scanpix

– Min største bekymring er at vi bruker data til mer enn det som er nødvendig for smittesporing, sier sjefsprogrammerer Johannes Brodwall.

I går ble Datatilsynets vedtak om pålegg knyttet til appen Smittestopp kjent.

Johannes Brodwall er sjefsprogrammerer i konsulentselskapet Sopra Steria og har tidligere uttalt seg kritisk om Smittestopp-appen i mediene, og mener det nå er bra at Datatilsynet følger saken tett.

– Vi har en løsning som stikker seg ut i europeisk sammenheng, så det er viktig at det blir ettergått grundig av Datatilsynet, sier Brodwall til NRKbeta.

Et av Datatilsynets ankepunkt er at appens ulike formål ikke er beskrevet godt nok. FHI har beskrevet formålet som «digital smittesporing», men Datatilsynet mener dette ikke er presist nok.

– Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning, sa Bjørn Erik Thon i Datatilsynet til NRK i går.

Brodwall mener dette er et viktig spørsmål.

– En kritikk som FHI har mottatt ofte i det offentlige rom er at det ene formålet er viktigere for å redde liv enn det andre, men at man i appen ikke kan velge hvilket formål man vil være med på, sier Brodwall.

– Det er vanskelig å anonymisere data om folks bevegelser, sier Johannes Brodwall. Foto: Martin Gundersen/NRK

Samme type data, men ulike formål

Denne helgen avslørte NRK hvor enkelt det er å kjøpe data om nordmenns bevegelser. Dataene stammer fra ulike apper som er installert på en mobiltelefon og har bedt om å få tilgang til mobilens posisjon. Hvis appen får slik tilgang kan den samle informasjon om hvor vi befinner oss.

Dette kalles posisjonsdata, og NRK kjøpte slike data om bevegelsene til 140.000 mobiler og nettbrett av det London-baserte selskapet Tamoco.

I diskusjoner på sosiale medier har helsemyndighetenes app for å bekjempe spredningen av koronaviruset, Smittestopp, blitt nevnt i sammenheng med NRKs avsløring flere ganger.

NRKbeta har derfor spurt Torgeir Waterhouse i rådgivningsselskapet Otte om Smittestopp kan sammenlignes med dataene i NRKs avsløring. Waterhouse var tidligere direktør for internett og nye medier i bransjeorganisasjonen IKT-Norge.

– Det er en klar sammenheng. Det er samme type data. Men så er det helt ulike formål og situasjoner. Så man må ikke sause sammen begrunnelsene om hvorfor man samler inn dataene, sier Waterhouse til NRKbeta.

En mann med langt hår, langt skjegg og solbriller står midt i en gate.
Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge. Foto: Martin Gundersen/NRK

Posisjonsdataene NRK har kjøpt fra en kommersiell aktør brukes i markedsføring og ulike former for analyse. Helsemyndighetene skal på sin side bruke posisjonsdata samlet inn fra Smittestopp for å bekjempe spredningen av koronaviruset, og understreker at dataene ikke skal selges.

– Slike data kan misbrukes om de kommer i feil hender, sier Waterhouse.

Smittestopp har lagret over 9 milliarder GPS-posisjoner

Posisjonsdataene som NRK kjøpte fra det britiske selskapet Tamoco inneholdt ingen navn eller telefonnumre. Det var likevel ofte svært enkelt å identifisere den som eide mobilen, som Karl Bjarne (30) som lot NRK fortelle sin historie.

NRKbeta kjøpte data om hvor 140.000 norske mobiltelefoner befant seg i 2019. Dette datasettet utgjorde over 400 millioner GPS-datapunkter.

Folkehelseinstituttet opplyste 6. mai om at de så langt har samlet inn store mengder posisjonsdata gjennom Smittestopp. På det tidspunktet hadde FHI samlet over ni milliarder GPS-datapunkter fra i overkant av én million nordmenn.

FHI skal bruke disse dataene for å bedre forstå hvilken effekt de ulike tiltakene mot viruset har og generere data til langsiktig forskning.

De som skal analysere dataene skal ikke ha tilgang til all informasjonen som blir samlet inn.

Noen få mennesker vil likevel ha muligheten til å se posisjonsdataene koblet til identifiserende informasjon, for å kunne sende ut varsel om mulig smitte.

Ber FHI droppe posisjonsdata i Smittestopp

Johannes Brodwall mener norske helsemyndigheter må snu, og dele opp dagens Smittestopp i to ulike apper:

  • En app hvor formålet kun er automatisk kontaktsporing.
  • En app for som kan samle inn posisjonsdata for å måle effekten av tiltakene mot koronaviruset.

Den første appen mener Brodwall utelukkende bør basere seg på kontaktsporingsteknologien til Google og Apple, som begrenser mengden innsamlede data.

Den andre appen skal kunne lagre posisjonsdata om folks bevegelser, som kan brukes til analyseformål om hvordan viruset sprer seg.

Tre skjermbilder av den norske appen Smittestopp, som viser ulike data som appen samler inn.
Skjermbilder av den norske appen Smittestopp. Illustrasjon: FHI/NRKbeta

– Min største bekymring er at vi bruker data til mer enn det som er nødvendig for smittesporing. Nå får du dine dine bevegelser overvåket av myndighetene om du bruker appen, sier Brodwall.

For ham er det viktig å påpeke at det er grupper i samfunnet som må beskyttes ekstra godt.

– Dataene forteller hva du gjør og hvem du er hvert eneste tidspunkt i livet, sier Brodwall.

Mandag omtalte NRK at over 8300 mobiler som har vært innenfor områdene til blant annet norske sykehus og flere krisesentre.

Tyskland er et av landene som først ville samle inn posisjonsdata i sin kontaktsporings-app, men de har snudd. Avisen Finaicial Times har omtalt hvordan helsemyndighetene i Storbritannia undersøker mulighetene for å gjøre det samme.

Brodwall ber Folkehelseinstituttet om å lytte til erfaringer fra andre land:

– De fleste land har evnet å skifte retning. I Norge har vi ikke vist den tilpasningsevnen. Det synes jeg er bekymringsverdig.

FHI vurderer å lagre posisjonsdata kortere

Fungerende assisterende direktør i FHI, Gun Peggy Knudsen, understreker at Smittestopp kom til på et tidlig tidspunkt i pandemien. Hun kaller kritikken «sunn og forståelig».

– Det handler om tidsaspektet. I en vanlig situasjon ville vi ikke gjort dette, sier Knudsen til NRKbeta.

Hvor aktuelt er det å bytte ut løsningen?

– Det er veldig flott om Apple og Google-initiativet gjør at man får en så mye bedre treffsikkerhet at det alene er tilstrekkelig. Om det er tilfellet er det veldig fint, sier Knudsen.

Gun Peggy Knudsen har ansvaret for den digitale smittesporingen som gjøres av FHI. Foto: Privat

Hun oppgir at de hele tiden evaluerer løsningen, men at man så langt vet lite om hvor gode alternativene vil være. Norske Smittestopp vil også kunne bidra til å måle effekten av ulike tiltak og spredningen av viruset i befolkningen, trekker hun frem.

– Vi er genuint interessert i å finne den beste løsningen for den norske befolkningen. Det ligger ikke noe ære i valg av løsning, sier Knudsen.

– Snorre Valen, politisk redaktør i Nidaros, skriver på Twitter at: «NRK-saken illustrerer greit hvordan det er umulig å hevde at posisjonsdata fra Smittestopp reelt sett er anonymisert». Har han et poeng?

– Det er en forenkling, men for å kunne gjennomføre smittesporing bruker vi posisjonsdata, sier Knudsen, som senere understreker:

– Men vi vil aldri bruke denne typen data i analysedelen.

Skjermbilde av et Twitter-innlegg fra Snorre Valen. Det lenkes til NRKs sak og Valen kommenterer at "Denne glimrende NRK-saken illustrerer greit hvordan det er umulig å hevde at posisjonsdata fra Smittestopp reelt sett er anonymisert."
Twitter-innlegget fra politisk redaktør i avisen Nidaros, Snorre Valen. Skjermbilde: Twitter.

Knudsen oppgir at det også sees på muligheten for å lagre posisjonsdata kortere enn 30 dager etter at FHI er ferdige med test-fasen av prosjektet.

Ifølge henne vil de istedenfor gruppere sammen bevegelsene til flere personer slik at det skal være umulig å identifisere en enkelt app-bruker.

Foreløpig er teknikkene for å anonymisere dataene ikke lagt frem av FHI, men det kommer ifølge Knudsen i løpet av uken.

Kritiserte manglende vurderinger

I sitt pålegg adresserte Datatilsynet blant annet manglende vurderinger av anonymisering i Smittestopps risiko og sårbarhetsanalyse (ROS-analyse).

Formålet med en ROS-analyse er å avdekke risiko og sårbarheter før nye løsninger anskaffes og tas i bruk, skriver tilsynets direktør Bjørn Erik Thon i et brev til FHI.

Et utsnitt av brevet fra Datatilsynet til FHI.
Deler av brevet fra Datatilsynet til FHI i forbindelse med Smittestopp.

I en pressemelding om pålegget, skriver Gun Peggy Knudsen at alle dokumenter ikke har vært oversendt Datatilsynet, fordi appen fortsatt trinnvis innføres i ulike kommuner.

– Dokumentene har ikke vært oversendt Datatilsynet ennå fordi vi ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass, men vi oversender disse risiko- og sårbarhetsanalysene nå, og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen, skriver Knudsen.

For Brodwall fortsetter saken.

– Det er veldig viktig at Datatilsynet påpeker risikoen som er forbundet med anonymisering av dataene. NRKs sak viser tydelig at det er utfordrende å skulle anonymisere data om folks bevegelser, sier Brodwall.

Etter at NRK opplyste det britiske selskapet Tamoco om at vi jobbet med en kritisk sak om deres håndtering av data, har selskapet ikke svart på spørsmålene våre eller stadige forespørsler om intervju. Senest i dag i forbindelse med denne saken.

34 kommentarer

  1. Denne diskusjonen må ikke overskygge den realiteten at politiet har full anledning til å spore vilkårlig mobil i Norge med den nøyaktighet du får ved krysspeiling mellom basestasjoner (ned til kansje 10 meter i et sentrumsområde fullpakket med baser, til noen hundre meter ute på landsbygda).

    Politiet kan sette igang sporing i løpet av sekunder, dersom de finner det formålstjenelig for en etterforskning. I ettertid må en dommer strø sand på beslutningen, men politiet behøver ikke søke på forhånd hvis det ikke er tid til det. De har benyttet seg av muligheten i mer enn ti år. Noen av sakene har blitt kjent gjennom media, men trolig er det langt flere tilfeller som publikum ikke hører noe om.

    Dette er det ikke mulig å komme bort fra (annet enn ved å slå av mobilen): Mobil-nettet må kunne finne telefonen din. Det har ingenting med verken GPS eller Bluetooth å gjøre, kun med mobil-signalene. Det er den samme informasjonen politiet har adgang til.

    Om du sier nei til posisjons-informasjon i smittestopp, betyr det ikke at du blir beskyttet mot politiets overvåking. I bysentrum kan de vite hvilket hus du går inn i, hvor du befinner deg om natta, om du har gått på jobb i dag. Ikke like nøyaktig som med GPS, men mer enn nøyaktig nok til å følge med på hvor du beveger deg til og fra.

    Svar på denne kommentaren

    • Karl Erik (svar til keal)

      En annen vesensforskjell er at dataene du snakker om ikke samles automatisk og lagres over lengre tid. De må oppsøkes i øyueblikket. Dette er en formildende effekt. Det er klart skumlere med automatisk innsamling og langring enn spisset overvåkning. Sistnevnte er dog ikke frivillig slik som Smittestopp er.

    • Bent Tranberg (svar til keal)

      Huff og huff, dette høres ille ut. Vi får trøste oss med at politiet ennå ikke kan lese tankene våre, uansett hvor fantasifulle de måtte være. Eller …

    • keal (svar til keal)

      Du har enda lov til å tenke hva du vil, så sant du ikke røper tankene til noen. Ihvertfall ikke i skrift. Det er ikke mer enn et år siden, om det er så lenge, at en mann ble dømt i en norsk domstol for å ha skrevet ned sine fantasier og latt en annen lese dem.

      Vi har vel enda ingen dom som avklarer om straffskyld inntrer først når du røper tankene dine til andre, eller om du kan straffes for å f.eks. skrive ned tankene dine i en dagbok som du holder nedlåst / kryptert så det ikke er intensjonen at andre skal få tilgang til den. Det er også uklart om straffskyld krever nedtegning, eller om du også kan straffes for å røpe dine fantasier muntlig til en annen person.

      For alle praktiske formål har vi full tankefrihet her i landet, så sant visse tanker ikke kommer utenfor hodet ditt.

    • keal (svar til keal)

      Hva oppnår du med dette, sammenlignet med å ha med deg mobilen, avslått? Får du bruk for å f.eks. ta en utgående samtale må du slå den på, og posisjonen din avsløres. Men kontantkort-telefonen blir sporet hele veien. Teleoperatøren må selvsagt vite om viderekoblingen, og kan røpe til overvåkerne hvilken «anonyme» telefon som er viderekoblet til din.

      Det er bare den aller mest naive formen for sporing du unngår med ditt forslag. Du er minst like godt beskyttet om du slår av mobilen, og slår den på kun når du selv aktivt bruker den. Mellom hver bruk blir du da ikke sporet.

    • Rune Espeland (svar til keal)

      Takk for utfyllende svar på mitt spørsmål vedr. eventuell viderekobling av samtale.
      Jeg mener å lese lett irritasjon i din besvarelse.
      Det er helt ok. I dette temaet har jeg liten erfaring, men fikk svar på det jeg lurte på.

  2. Jon Aarbakke

    Jeg synes dette er en tendensiøs artikkel og egnet til å skape uro. FHI kunne gjort en bedre jobb med å skille snørr og barter, men det kunne NRK også: det er forskjell på innsamling hjemlet i smittevernloven under streng politisk kontroll, og texas-salg av persondata på Internett. Broadwall uttaler seg med brede penselstrøk og velger å la være å det som er opplagt: Bluetooth alene var ikke godt nok da appen ble utviklet, og er det neppe nå. Waterhouse er nyansert. Heldigvis.

    Svar på denne kommentaren

    • Formålet endrer jo ikke den sannheten at det FHI kaller anonym innsamling faktisk ikke er anonym. Formålet gjør bare at man kanskje bør være mer komfortabel med å levere fra seg identifiserbare data. Uansett bør jo dette være et valg hver enkelt får ta selv og jeg setter pris på å ha informasjonen fra denne artikkel når jeg tar mitt valg.

    • Offentlige myndigheter har som regel adskillig hardere tvangsmidler enn kommersielle kjøpere av slik informasjon.

      Du kan naturligvis agere lestadianer og ikke ha gardiner i vinduene, «Vi skal leve et liv der vi ikke har noe å skjule» (verken overfor naboen eller myndigheter). Men myndigheter har vist at de kan endre karakter brått, også i moderne tid, jfr. feiringen sist helg.

      Vi har en regjering som ønsket å gi politiet lovbestemt rett til å avlese hvert eneste tastetrykk du gjør på hjemme-PCen din. Vi har et politi som må stoppes av Facebook og Google når de krever å få tilgang til alt en gitt person har skrevet i sosiale media, selv om det er i helt lukkede fora. Et politi som ikke respekterer at f.eks. DNA-prøver skal destrueres ved et gitt tidspunkt.

      Jeg kan la være å kjøpe det kommersielle interesser prøver å selge meg. Men jeg kan ikke nekte politiet å invadere huset mitt, bryte opp golvene, søke gjennom alt jeg har av papirer og gjenstander. Lytte til alt jeg sier på telefonen, kartlegge hvem jeg besøker.

      For å bli overvåket av politiet er det ikke nødvendig å være mistenkt, bare å ha kontakt med en som er mistenkt. Politiet ønsket å få rett til å avlytte ett ledd videre utover: Alle de som har kontakt med en som har kontakt med en mistenkt. Det ble avvist av stortinget, sammen med at de avviste at politiet skulle ha rett til å hacke private PCer for å legge inn spionvare. Men det ble foreslått av regjeringen for et par år siden. Hadde regjeringspartiene hatt rent flertall og ingen overløpere, da ville lovforslaget bli vedtatt. Det kan bli vedtatt ved neste korsvei.

      Jeg er minst like redd for dette som jeg er for Facebook og Google. (Men så har jeg ikke noen FB-profil og logger ikke inn på noen Google-tjenester).

    • Jeg fikk spørsmål om hva jeg oppfatter som spekulativt, og vil vise til selve vinklingen. Overskriften «Smittestopp samler inn samme type data som i NRK-avsløring» handler om hva slags data som samles inn. Innsamling av sensitive data blir problematisk hvis dataene misbrukes, selges, eller er dårlig beskyttet. Det at det er samme type data, gjør ikke norske (helse-)myndigheter til samme type aktører som dem de sammenlignes med. Selvsagt bør en være bevisst på hva slags data en deler, og om en selv har grunner for å ikke dele dem.

    • Jeg forstår deg slik at du har svært stor tillit til at myndighetene. Fordi de er Myndigheter med stor M, alltid vil holde kontroll over persondata. Du antar at ingen offentlig ansatt vil misbruke data de har innsyn i, og ingen Myndighet vil aldri bruke persondata i noen kritikkverdig maktutøvelse.

      En artikkel som åpner muligheten for at myndigheter kan miste kontroll over egne data, ikke følge sitt eget lovverk (jft. DNA-prøver), og vil kunne utøve makt på kritikkverdig måte (jfr. feiringen forrige helg) kan, ut fra et slikt syn, klassifiseres som «spekulativ».

      Hvis vi generaliser dette, betyr det at all kritisk holdning til myndighetene er «spekulativ». Hvis det er «spekulativt» å påpeke et helt korrekt faktum – at de myndighetene samler inn er de samme som kommersielle firmaer samles inn, og at det er fullt mulig å bruke disse til andre formål, om myndighetene velger å gjøre det – hvilken kritikk av myndighetene er da ikke spekulativ?

      Kanskje ikke (dagens!) myndigheter vil akkurat deg noe vondt, og at vi derfor burde ha full tillit til dem. Jeg minner igjen om feiringen forrige helg: Endringer kan komme brått, og ramme vilkårlig folkegruppe. De kan også komme snikende uten at vi merker mye til det, og kan ramme vilkårlige grupper og enkeltmennesker.

      Jeg er blant dem som mener at det ikke bare er en demokratisk rett, men en moralsk plikt, å alltid vurdere myndighetenes tiltak kritisk. Derfor ser jeg artikkelen som å representere en sunn og riktig kritisk holdning, der det med utgangspunkt i udiskutable fakta blir påpekt hvordan det er mulig å benytte de data myndighetene samler inn. Vi bør ha et bevisst forhold til dette. I mine øyne er ikke det «spekulativt».

  3. Det var jo en bra test for å få kommentere, har kun lest overskriften 😉

    Men det er godt det fortsatt er noen som er kritiske til personvernet. Jeg har ikke lastet ned appen og det har heller ingen jeg kjenner.

    Svar på denne kommentaren

    • Med 3*3*3 valg vil du uansett komme inn på maks 27 forsøk.

      En vesentlig hensikt med testen er vel at de som kommenterer skal ha et minimum innsyn i saken, og ikke gå 100% kunnskapsløse rett til kommentarfeltet. Hvis du har kunnskapen inne fra før, tilfredsstiller du dette. (Men hvis du bare leste overskriften, da måtte du sjanse på hvem som var intervjuet i artikkelen; det sto ikke i overskriften!)

      En annen hensikt er å stoppe spambots. Det har de siste månedene kommet et antall polske spam-meldinger i flere kommentarspalter der det ikke er noe test for å komme inn. Selv for manuell spamming vil spørsmål på norsk være et hinder for internasjonale spammere.

      Så selv om ikke testen holder absolutt alle irrelevante innlegg borte, er den en god hjelp til å unngå de aller verste tilfellene. Jeg synes det er bra at den er der.

  4. Arne Dahlen

    Etter NRKs artikkel om sporing slo jeg av bla. bluetooth-funksjonen. Fikk da melding om at Smittestopp krever bluetooth for posisjonssporing. Spm 1: Kan jeg være 100 % sikker å at ingen andre apper kan spore posisjonen selv om det kun er Smittestopp som kommer opp i listen? Spm 2: Om FHI går for Apple/Google-løsningen, kan jeg stole på at det legges inn en 100 % sikker sperre mot at andre enn FHI kan få tilgang på data som blir lagret?

    Dersom svarene ikke er ja på begge, vil jeg slette Smittestopp og ikke laste opp Apple/Google appen.

    Svar på denne kommentaren

    • David S (svar til Arne Dahlen)

      Med dine 2 kriterier, så er det bare å droppe Smittestopp og andre lignende løsninger helt til du kan selv analysere kildekoden som utgjør baseband/firmware, OS og apper. Først da kan du få den tryggheten du søker.

      Alt som gjør at en mobiltelefon består av programvare på disse tre nivåene. Baseband er en lukket software som kjører på en egen prosessor, uavhengig av hoved-OSet på enheten. Baseband er ansvarlig for alt som har med radiokommunikasjon og er også der hvor mikrofonen er koblet inn. OS (typisk iOS eller Android) er det som kjører på den CPUen som beskrives i alle salgsartiklene. Dette OSet er «limet» mellom appene og hardware (inklusive baseband). Eventuelle tilgangskontroller ligger også her. Og til slutt appene som gir funksjonaliteten vi ønsker.

      Appene ber om tilgang til hardware (GPS, bluetooth, wifi, telefoni, headset, etc, etc, etc), OSet vurderer hvilke apper som skal få tilgang til hvilke funksjoner OSet tilbyr. Og appene gjør det de vil med disse tilgangene.

      Hvis en app bestemmer seg for å logge lokasjonsdata og har fått tilgang fra OSet, er det ingenting som kan begrense hva disse dataene da blir brukt til.

      Utfordringer er da når sikkerhetsfeil oppdages i OSet, som gir apper mer tilgang til OS funksjoner enn det som de burde få.

      Og baseband har svært få full kontroll på, så bare den enheten er et helt eget sikkerhetskapittel for seg selv.

      Konklusjonen er: Vil du være 100% sikker på å ikke bli sporet, så bør du droppe mobiltelefoner (og ikke bare smarttelefoner; gamle Nokia 3110 har også et OS og baseband). Det er realiteten.

      Men om realiteten er realistisk i dagens samfunn er et helt annet spørsmål. Og man må finne en balanse mellom hva som er akseptabelt og hva som ikke er det.

  5. Da appen ble lansert lastet jeg den ned. Men siden den bare kjører/kjørte som pilot i områder jeg ikke bor i, det stort sett bare er helsepersonell og innlagte på sykehus som blir testet, og at appen slukte batteri, så har jeg slettet den igjen.
    Jeg har enda ikke fått vite om jeg er i en gruppe som absolutt bør bruke appen. Har forsøkt å kontakte alle relevante instanser, men får dessverre ikke svar, eller kommer ikke igjennom til dem.
    Jeg må derfor dessverre anta at nøyaktig samme resultat oppstår dersom jeg skulle få et varsel fra en app som enda ikke fungerer i mitt distrikt.

    Svar på denne kommentaren

    • David S (svar til heidi)

      Det virker som du først og fremst ønsker Smittestopp i forhold til varsling om du har vært i kontakt med COVID-19 smittede.

      I så fall så tror jeg man vil oppdage at Smittestopp ikke løser dette på tilfredsstillende måte.

      Det er stor fare for falske positiver (du har ventet 15 min på bussen innenfor et busskur med glassvegger, mens en smittet stod en halvmeter unna deg på motsatt side av glassveggene). Vil en varsling i dette tilfellet ha en verdi i det hele tatt? Skal du nå løpe og få tatt en COVID-19 test?

      I tillegg er det faren for falske negativer (du passerte person som ble overrasket av et nys som ikke er eller vil bli registrert COVID-19 positiv grunnet at vedkommende ikke følte seg syk). Her blir du ikke varslet, men burde bli det. Hvis du i dette tilfellet blir syk, vil du ikke vite hvor du ble smittet.

      Og disse to eksemplene er bare to veldig banale og åpenbare eksempler. Det finnes veldig mange slike scenarier.

      Som Bruce Schneier (anerkjent sikkerhetsforsker) sa til Dagens Næringsliv da de spurte: Bruk heller tid, penger og energi på å utvikle billig og effektiv testing av innbyggere. Poenget hans er at apper vil for de aller fleste bare gi en falsk trygghet. I tillegg til det inngripende i personvernet. Det er kun hyppig testing av enkeltindivider som gir det riktigste øyeblikksbilde.

  6. Peter A Davidsberg

    Hvorfor er det ingen som stiller spørsmålet om det i det hele tatt er mulig å «skjerme» datainsamlingen som spittestopp appen gjør?
    Når du kjøper en ny telefon, leser du da igjennom den brukeravtalen du aksepterer mellom deg og produsent og deg og operativsystem? Nå har jeg ikke lest alt med liten skrift, men du gir da frivillig fra deg alt av data på telefonen? Mao gir du også fra deg helseopplysninger som måtte komme gjennom appen til FHI…som ikke i sin helhet – på forhånd – var sjekket med Datatilsynet!!! Det er en grunn til at Datatilsynet nå reagerer og at FHI bruker et arsenal av forklaringsmodeller for å komme seg ut av situasjonen. Det er som kjent lettere og få tilgivelse enn tillatelse.
    Om man kikker på det større bildet her ser man at smittestopp appen, lanseres samtidig med ansiktsgjenkjenning og tempmåler – i første omgang på sykehusene. En gradvis utvikling av en tendens vi må spørre oss om vi vil ha. Vi har en digitaliseringsminister som ivrer etter å få det meste digitalisert. Hun har åpent sagt at Norge skal ligge først i Europa hva digitalisering angår. Men vil vi – som menigmenn og kvinner i dette land la oss gjenkjenne og spores ned til minste detalj i nutid.
    Som tidligere IT-sjef ser jeg med stor uro på utviklingen. Jeg tror ikke det er mulig å holde på innsamlede data, slik FHI antyder, noe Datatilsynet så langt bekrefter. Så avventer de og ser om FHI kommer opp med løsning som ivaretar også private helseopplysninger.
    Et annen utfordring vi står ovenfor er de stores dataselskapene innsamling av tilsvarende data. Der er allerede en tilsvarende app ute produsert som et samarbeidsprosjekt mellom Apple, Microsoft og GOOGLE. En global sporings-app der rapporteres lastes ned på telefoner uten brukers viten. Denne appen har til oppgave å samle inn bl.a. COVID-19 opplysninger. FHI henter ut de samme data som nå er avslørt av NRK, data som også Apple, Microsoft og GOOGLE har.
    Se for deg neste gang du er i syden. Du kommer i nærheten av en som er registrert som smittebærer eller som har vært i kontakt med en smittet innenfor et 14 dagers tidsvindu. Som den lovlydige borger du er tar du mot anbefalingen ovenfornevnte selskapers APP gir deg. Du har nå nemlig blitt en mulig smittebærer og må gå i karantene!
    Om dette gjennomføres globalt vil vi kunne se langt etter neste sydentur til Spania hvor en rekke lands borgere møtes.
    Hva vi står ovenfor her forstår vi neppe konsekvensene av.

    Svar på denne kommentaren

  7. Hadde vært interessant med lignende saker om appene til NRK, VG, Aftenposten m.m. Hva lagrer nyhetsorganisasjonene om brukerne? Og det er selvsagt bare for å gi leserne bedre artikler…

    Svar på denne kommentaren

    • keal (svar til André)

      En av bankene hadde en app som krevde tilgang til posisjonen din til enhver tid. De hevdet at det å kunne fortelle deg hvilken filial som er nærmest deg i øyeblikket er en så fundamental del av deres tjenestetilbud at det er meningsløst å tilby andre app-funksjoner uten den. Derfor, hvis du skrur av GPS, vil ikke bank-appen kjøre. Slik er det, og slik vil det fortsette å være.

      Når banken krampaktig nærmest krever å kunne spore deg, da sitter jeg med en følelse av at det er noe de ikke forteller. De bruker ikke posisjonen kun for å fortelle om nærmeste filial (og når jeg får gjort banktjenester gjennom appen, hvorfor skulle jeg være så interessert i å oppsøke en filial at det overskygger alle andre hensyn?)

      Det er vel et år eller to siden jeg leste om denne saken. Det er mulig at banken har endret sin policy nå.

  8. Frode Hernes

    Fin artikkel, men hensynsløs plugging av artikkelen om kjøping av data fra kommersielle apper gir lett et veldig feil bilde av hva denne appen sier.

    En referanse til den andre artikkelen er greit, men 1/3 av innholdet mikset inn i denne artikkelen er gir bare misforståelser.

    Svar på denne kommentaren

    • Hvis folk skal kommentere på innholdet bør det stå i denne artikkelen, altså kopieres inn. Det er ikke passende å her kommentere på stoff presentert i en helt annen artikkel, selv når det her er en link til den andre artikkelen.

  9. Rune Espeland

    Man blir skeptisk når man leser at Datatilsynet ikke fikk tilsendt den informasjonen som de ba om å få tilsendt.
    Begrunnelsen for hvorfor de valgte å ikke sende den etterspurte informasjonen virker ulogisk.
    På en direktesendt pressekonferanse ble det spurt om hvor mange som til nå hadde blitt varslet, som følge av (bruk av) appen.
    Det kunne ingen svare på, og spørsmålet ble hengende i løse luften….
    Sannsynligvis har ingen ennå blitt varslet.
    Årsaken er ganske innlysende.
    Knapt noen er testet, og når oppholder vi oss egentlig så nær noen fremmede personer i hele 15 minutter?
    Hele appen er bare ubrukelig tull.

    Svar på denne kommentaren

    • Det er en fin anledning til storskala uttesting av teknologien.

      For et par år siden ville regjeringen gi politiet lovbestemt rett til å hacke PCen din for å legge inn spion-programvare for å registrere hvert eneste tastetrykk – naturligvis innkluder passord. Stortinget gikk ikke med på det, men hadde regjeringen hatt flertallet bak seg ville politiet i dag hatt slike rettigheter. Det skal ingen stor politisk dreiing til for at regjeringen får et nytt storting i ryggen, og tar opp det gamle lovforslaget på nytt.

      PCer blir i stadig større grad erstattet av mobiler. Da er det viktig at myndighetene har erfaring med apper, slik at de ikke bare kan hacke PCer med «keyloggere», men også kan hacke mobiler med sporings-loggere.

      Jo mer erfaring som kan samles, jo mer forberedt er de når de skal utnytte teknologien under etterforskning av f.eks. overgrepssaker – det er slike saker der en eventuell avsløring ikke vil ha noen som helst negativ effekt på politiets image. Kan en overgriper bli fakket, spiller det ingen rolle om politiet har brukt tvilsomme og kanskje lovstridige medtoder. Publikum vil unnskylde politiet, uansett.

      Etter det vil det være full aksept for de spion-teknikker politiet har fått lovbeskyttelse for å bruke. Eller kanksje de ikke har fått lovbeskyttelse men bruker dem likevel – det blir ikke stilt spørsmål ved det, om politiet har klart å fakke en moralforbryter.

  10. Rune Espeland

    Er det noen som kan svare på om denne smittestopp appen kan skille mellom etasjene i en bolig/blokk?
    Om en smittet person sitter i etasjen over, ser det da ut som vedkommende og jeg sitter i samme rom, omtrent oppå hverandre?
    Hvordan ser det i så fall ut i en boligblokk med mange etasjer…?

    Svar på denne kommentaren

    • Bluetooth gir ingen retnings-bestemmelse. Den eneste informasjonen som kan brukes er mottatt signalstyrken, som liksom skal kunne si noe om avstanden. Utstrålt effekt og antenne-løsninger varierer mye mellom mobiler, og mange antenner fordeler signalstyrken svært ujamnt i rommet, slik at signalstyrken varierer mye om du dreier mobilen rundt. Å bestemme avstanden ut fra signalstyrken er totalt urealistisk.

      Moderne boligblokker har som regel etasjeskiller i betong, som demper Bluetooth-signaler (på 2,4 GHz) så mye at det skal godt gjøres at det blir registrert som noen som du er «for nær». Det er adskillig større problem f.eks. i kontormiljøer i samme etasje, delt opp med lettvegger: Du og din kollega sitter i hvert deres rom med en lettvegg mellom dere. Den reelle avstanden kan være én meter, og dempingen i veggen gjør at appen gjetter på at avstanden er fem meter, men reelt er dere fysisk og smittemessig helt adskilt.

      Hvis du har BT-utstyr, f.eks. mobil med BT ørepropper, kan du teste ut hvordan det er hjemme hos deg: Sett mobilen på gangen, gå inn i på stua og se hvor fritt du kan bevege deg før det blir stille i øreproppene. Har du en kjeller med murvegger: Plasser mobilen på vaskerommet og gå inn i vedboden eller andre kjellerrom for å få et inntrykk av hvor langt BT-signalene går gjennom én, to eller tre betong-vegger.

      La gjerne en hjelper snu mobilen rundt, legge den flatt etc, og se om det påvirker hvor langt bort du kan gå med ørepluggene. Der lyden i ørepluggene forsvinner kan du være rimelig sikker på at smittestopp-appen heller ikke vil registrere at du er i nærheten av noen andre. Det er selvsagt bare omtrentlig: En annen mobil kan være mer følsom enn ørepluggene. Du får likevel et grovt begrep om rekkevidden.

      Å skille mellom etasjer i en bolig(blokk) må gjøres ut fra GPS-signaler. De har ikke god nok nøyaktighet til å bestemme avstanden mellom mennesker, men kan angi høyden.

      To problemer: Når GPS-signalene svekkes av f.eks. murvegger, går nøyaktigheten ned. Selv om det i friluft er mulig å få en nøyaktighet på under ti meter, holder ikke dette bak murvegger – det er derfor man har forsøkt å tatt i bruk BT for å bestemme avstand mellom mennesker.

      Den andre siden, som jeg kjenner bare fra rykter: Egne GPS-mottakere kan ha omlag samme nøyaktighet i vertikalplanet som horisontalt, men GPS-enheter i de fleste mobiler har en nøyaktighet i vertikal-planet som er en vits. Ihvertfall sett fra et smittestopp-behov, og særlig innendørs i betongblokker.

      Også dette er det bare å prøve ut: De fleste GPSer kan rapportere posisjonen med (påstått) meter-nøyaktighet. Få tak i et par mobiler av forskjellig fabrikat og alder, og gjerne en separat GPS-enhet (før nye biler fikk innebygde navigatorer hadde mange separate GPS-enheter i bilen, og mange frilufsfolk har egne lomme-«kartplottere»). Legg dem side om side på et bord, og se hvor enige de er om posisjonen, i alle tre dimensjoner. Gå opp en etasje i blokka/huset og avles på nytt: Endres høyde-koordinaten med tre meter på samtlige enheter, for hver etasje du går oppover? Det er mulig du blir skuffet…

      Du kan selvsagt gjøre denne testingen med en enkelt mobil eller GPS-enhet. Å sjekke flere er bare for å se om du kan stole på at to personer med ulike mobiler er «enige om» hvor de faktisk befinner seg.

      Jeg er rimelig overbevist om at en slik kritisk test, både av BT og GPS, ville avsløre at hele opplegget er «bare ubrukelig tull», som du skriver i det forrige innlegget ditt.

      Selv om appen «teknisk sett» trolig er ganske verdiløs, har den likevel en psykologisk verdi i at debatten rundt den gjør at folk holder oppmerksomheten på «sosial avstand». Jo mer debatt det blir rundt den, jo bedre effekt har den, for at folk skal huske at vi må «Stå sammen mot korona – bare ikke for tett!»

  11. Måten FHI ukritisk og nærmest ureglementert valgte løsning og forsvarer den mot selv de sterkeste innvendinger er rett og slett mistenkelig. Særlig når den ikke engang er egenprodusert.

    Med tanke på at så få blir testet for smitte og selve smittevernseffekten at appen da blir minimal (ref. svenske vurderinger av samme), er det i realiteten persondataene som FHI og Simula er ute etter, og det er bekymringsverdig når det er tvil rundt anonymisering.

    Ingen tvil at tilliten til folkehelsetjenesten og det offentlige får seg en knekk med dette, og at fremtidige løsninger vil bli møtt med skepsis så dette var ikke bra.

    Svar på denne kommentaren

    • keal (svar til Harald)

      Den vesentlige kritikken har vært mot innsamling av stedsinformasjon. (Kritikk av type «ikke nøyaktig nok» anser jeg som mindre alvorlig.)

      Jeg har ingen problemer med å se store gevinster i å samle slik informasjon for å kartlegge hvordan spredningen foregår. Er den størst der folk møtes på en nattklubb? Er treningssentre smittespredere? Eller er det like stor sjanse for å bli smittet av å gå forbi noen på gata?

      En sporingsapp uten posisjons-funksjoner kan bare angi at du kan ha blitt smittet, men ikke hvordan. En forståelse av «hvordan» kunne bidra vesentlig til å iverksette effektive vernetiltak.

      Hadde vi kunnet være 110% sikre på at informasjonen var 110% sikret mot å lekke ut noe som helst sted, og 200% sikre på at den aldri ville bli brukt til noe som helst annet formål, da burde vi være svært positive til denne appen. Ingen kan gi noen slik garanti.

      Det er ikke appen som sådan det blir reagert på, men hva som skjer eller kan skje med data som samles inn. Tilsvarende steds-informasjon som samles på annen måte, f.eks. ved krysspeiling mellom mobil-basestasjoner, Køfri-passeringer eller bruk av betalingskort / mobil til å betale for alle slags varer og tjenester, burde behandles på samme måte (selv om nøyaktigheten er dårligere enn for GPS).

      Vi kan etterlyse anonymisering av Køfri-passering. Vi kan etterlyse anonyme mobil-abonnementer. Begge deler byr på praktiske problemer (f.eks. med betaling), så vi aksepterer logging av stedsinformasjon der. Når vi godtar det for Køfri og mobil (uten noen GPS/app), hvorfor er det da så forskjellig når smittestopp gjør det samme?

      Dette er et langt mer prinsipielt, og viktigere spørsmål enn om appen er «egenprodusert» eller ikke.

      En gammel talemåte er «å spare på skillingen men la daleren gå». Her er det smittestopp som er skillingen; daleren er Køfri, ren mobil-krysspeiling, plastkort- og mobil-betaling, for ikke å snakke om Facebook og Twitter og Google og diverse sosiale medier. Det er tilnærmet verdiløst å gå hardt ut med «personvern»-kortet mot smittestopp, men la alle de andre «spionene» få ha samme frie spillerom som før. Vi bør få en bred diskusjon om elektronisk personvern som omfatter alle data-innsamlere, inkludert smittestopp. Men fokus bør være på informasjonen som samles og hvordan den håndteres, ikke hvordan eller hvem som har utviklet vertøyene brukt til innsamlingen.

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hvilken av disse er intervjuet i saken?

Hvilken type data er sentrale for NRKs avsløring og Smittestopp?

Hva heter appen for kontaktsporing i Norge?

Legg igjen en kommentar til Rune Espeland Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.