Datatilsynet bør ikke få lukke personverndebatten
Datatilsynets leder ser helst at debatten forbeholdes folk som ikke «sverter personvernet»
I sitt svar på mitt innlegg om prosessen rundt appen Smittestopp beskylder Datatilsynets leder Bjørn Erik Thon meg for juks. Det er synd, for da må vi snakke om det først. Men etterpå kommer det mer interessante ting, kors på halsen.
Første anklage om juks knytter seg til min påstand om at Datatilsynet innledningsvis hadde understreket at Smittestopp var fullt forenlig med GDPR. Dette er ikke sant, sier Thon.
Men heldigvis kan alle lese Datatilsynets nyhetsmelding i forbindelse med utviklingen av Smittestopp. «Vi ser derfor samfunnsnytten av den foreslåtte løsningen, og at den kan bidra til å redde liv», sier Thon først. Litt senere siteres europeiske datatilsynsmyndigheter med fete typer: «Personvernforordningen [GDPR] er ikke et hinder».
Tilsynet velger altså på eget initiativ å understreke at GDPR ikke er til hinder for tiltak som kan bekjempe koronaepidemien, i en melding som handler om Smittestopp. Geolokalisering nevnes til og med spesifikt i beskrivelsen av løsningen, og dette er som kjent det aspektet kritikerne virkelig satte i halsen. Datatilsynets nyhetsmelding er for øvrig linket til fra saken min, så interesserte lesere kunne vurdere selv.
Var min formulering en forenkling? Selvsagt. Men er det dette du kaller juks, Thon?
Hva er det andre eksempelet på påstått «juks» med fakta? Min tese om at Datatilsynet lot seg påvirke til å pålegge FHI å avslutte databehandling i Smittestopp. Jada, i Thons verden er dette også «juks».
Om dette faktisk skjedde kan selvsagt bare de ansatte i Datatilsynet vite, og det vil uansett være smertefullt å innrømme. Men når han skal beskylde meg for «juks», viser han til at de varslet kontroll av Smittestopp samme dag som appen ble lansert. Problemet er bare at jeg aldri har påstått noe om det. Og med mindre han mener at Datatilsynet allerede da hadde bestemt seg for forbudet de senere nedla, kan jeg heller ikke se at det er relevant for poenget om at de lot seg påvirke. Jeg har dessuten ikke påstått at personvernaktivister ikke deltok i ekspertgruppen, eller at det ikke er snakk om høyt kompetente teknologer. Hvordan er dette «juks»?
Thon antyder – på uvisst grunnlag – at jeg er kunnskapsløs om sikkerhet, mens han selv trekker noen snodige slutninger om temaet. Han mener tilsynelatende at sikkerheten i «det enorme Nav-systemet» nødvendigvis er bedre enn det var i første versjon av Smittestopp. Men for det første baserte Smittestopp seg i stor grad på sikkerhetsløsningene hos det enda mer enorme Microsoft. For det andre er det å vurdere sikkerhet utfra enormitet en ny og spennende idé Thon neppe har hentet fra sikkerhetseksperter.
Som i svaret sitt ellers griper han imidlertid ikke poenget mitt, som var den prinsipielle likheten mellom sikkerhetsutfordringen både første versjon av Smittestopp og Nav står overfor: de er databaser fulle av sensitiv informasjon, koblet mot det åpne internettet. Når det skapes et inntrykk av at Smittestopp 1 representerte en helt spesiell sikkerhetsutfordring for det offentlige, er dette villedende.
Thon latterliggjør dessuten mitt eksempel med Yr, som ifølge egen personvernerklæring kan se ut til å ha et 30-dagers sentralt register med posisjonsdata på brukerne. Det er forskjell på å sjekke været og kontinuerlig sporing, sier han, og det er selvsagt riktig. Men Yr-appen på iPhone krever faktisk at brukerne skrur på kontinuerlig geolokalisering for å få nytte av alle funksjoner. Poenget er uansett ikke at disse appene er identiske; poenget er at det ikke er kommet et pip om at Yrs personvernpraksis er problematisk, på tross av at det er et 1) statlig 2) sentralt register som 3) innsamler posisjonsdata og 4) bruker lukket kildekode. At dette møtes med et skuldertrekk fra Datatilsynets leder er underlig, gitt oppmerksomheten de samme forholdene fikk i diskusjonen om Smittestopp.
Det mest urovekkende er likevel Thons anklage om at jeg «sverter personvernet». Er det å sverte personvernet å kritisere Datatilsynets avveininger i en sak som dette? Kan en leder i offentlig sektor som problematiserer personvernpraksis (à la OUS-saken) risikere å få dette slengt mot seg fra Datatilsynet? Er Thon bevisst på signalene han sender ut her? Jeg frykter at han er det.
Sånn, da er vi ferdige med lettsindige anklager om juksing og sverting fra lederen av landets Datatilsyn. Til det mer interessante!
Thon hevder at Smittestopp 1 «brøt med» GDPRs dataminimeringsprinsipp, altså at man skal begrense mengde innsamlet data til det som er nødvendig for å oppnå formålet. Men dataminimering er alltid et relativt spørsmål. Kan du samle inn mindre data og likevel oppnå den samme nytten? Mye av problematiseringen av versjon 1 knyttet seg til at bruk av posisjon ikke var nødvendig, eller at bedre løsninger fantes. Men Smittestopp 1 og 2 gir ikke den samme nytten. Første versjon hadde nemlig tre store potensielle fordeler som den nye versjonen ikke har.
For det første var den et støtteverktøy for det manuelle smittesporingsarbeidet. Mens versjon 2 er desentralisert og anonym under sporing, samlet versjon 1 inn både posisjon og personidentitet. Dermed kunne den med tiden effektivisert det enormt arbeidskrevende manuelle smittesporingsarbeidet som er kritisk for å holde kontroll på en epidemi. Under forrige topp i smitten ble denne kapasiteten sprengt for Oslo kommunes del (jeg vet, jeg jobbet der). Under en stor smittebølge hadde vi vært sjanseløse.
For det andre samlet Smittestopp 1 inn data til bruk i forskning. Hvor verdifullt dette kunne blitt, er vanskelig å si. Men for alle som har fulgt koronadebatten, er det forstemmende å se hvor lite sikker kunnskap vi har om epidemiologi. Hvor godt fungerer munnbind? Skjer det smitte på treningssentre? Utendørs? Norske forskningsmiljøer har tradisjonelt vært gode på registerforskning, og et godt anonymisert datasett kunne vært enormt verdifullt ikke bare for Norge.
For det tredje var Smittestopp 1 en uavhengig smittesporingsapp. Smittestopp 2 bruker Google og Apples varslingssystem, noe som innebærer store begrensninger i funksjonaliteten. Bruk av posisjon er for eksempel ikke tillatt. I praksis er vi derfor avhengige av Big Tech for å forbedre appen. Dette har den store ulempen at vi ikke kan optimalisere for norske forhold. Det kan for eksempel tenkes at norske borgere lever bedre med en mer personverninngripende (men nyttigere) løsning, gitt vår sterke demokratiske forankring og velfungerende offentlige sektor. Men Google og Apple designer for et minste felles multiplum med null tillit.
Så å si alle som eier en smarttelefon bruker uansett posisjonstjenestene til operativsystemet for kart og søk, noe som innebærer at posisjon blir sendt til et sentralt lager. Paradokset er dermed at selv om Smittesporing 2 gjør det umulig for norske myndigheter å vite hvor du har vært, er Google og Apple aldri i tvil.
Første versjon av Smittestopp hadde altså noen store potensielle fordeler, på bekostning av viktige personvernmessige ulemper. Var det verdt det?
Ja, var det verdt det? Det er spørsmålet. Det er ikke et spørsmål det krever store forkunnskaper å vurdere. Det er heller ikke noe som tyder på at personverneksperter er bedre skikket til å veie fordelene og ulempene enn oss andre. Om det er verdt det kommer an på hvor farlig du tror pandemien blir, hvor stor tillit du har til myndighetene og deres evne til å motstå fristelsen til å bruke dataene til andre ting, hvor stor fare du tror det er for at samfunnet utvikler seg i mer autoritær retning, og så videre. Dette er faktorer som ikke enkelt kan kvantifiseres, prisgitt mange ukjente størrelser.
Datatilsynet ga sitt svar. De sa nei på vegne av oss. Og Datatilsynets leder ser helst at debatten forbeholdes folk som ikke «sverter personvernet». Mitt synspunkt er at debatten heller burde åpnes opp, sånn at dilemmaer som dette kan diskuteres grundigere.
En forkortet versjon av denne teksten står på trykk i Morgenbladet 23. april.
Om Kyrre Wathne
Jeg har tyve års erfaring som gründer, CTO og programmerer. Dessuten har jeg en mastergrad i evolusjonspsykologi. Jeg har skrevet for Morgenbladet siden 2018 og kan kontaktes her.
Mine innlegg om personvern og Smittestopp 1
-
Personvernentusiastene må tøyles
Personvern er viktig, men når personvernentusiastene får vetorett, bærer det galt av sted
- Datatilsynet bør ikke få lukke
debatten
Datatilsynets leder ser helst at debatten forbeholdes folk som ikke «sverter personvernet»
- Historien om Smittestopp må skrives
om
Teknologenes vurdering av Smittestopp var ikke riktig. Likevel ble den stoppet
- Skremmebildene forenkler personverndebatten
Det er mange skritt fra en frivillig smittesporingsapp til et samfunn der politiet har videokameraer i alle hjem
- Appen ingen ville lage
Tonen i personverndebatten er for hard. Det bidrar til dårlige beslutninger