Personvernentusiastene må tøyles
Personvern er viktig, men når personvernentusiastene får vetorett, bærer det galt av sted
Oslo universitetssykehus (OUS) skal ikke lenger være best i verden på personvern.
Denne oppsiktsvekkende beslutningen kommer etter en årelang strid der en gruppe leger og forskere varslet om at hensynet til personvern går utover pasientsikkerheten på sykehuset. Saken havnet hos Statsforvalteren i Oslo og Viken, som nå har gitt varslerne rett.
Hvis du på noe tidspunkt forventer å ha kontakt med det norske helsevesenet, bør du trekke et lettelsens sukk. Personvernpraksisen ved sykehuset er som hentet ut av en manual for sabotasje bak fiendens linjer. Systemer for overvåkning av kritisk syke pasienter ble stoppet. Forskningsresultater ble umulig å publisere. Prøvesvar kunne ikke innhentes fra utenlandske laboratorier. Deling av operasjonsstuer ble forbudt. Arbeidet med et pacemakerregister måtte legges på is. Alt med henvisning til personvern.
Hvordan havnet vi her? Hvordan kan noen ha tenkt at det er bedre å gå rundt med en hjertestarter som kanskje kortslutter, enn å stå oppført i et register?
Svaret ligger i den nesten sakrale statusen personvern etter hvert har fått, der selv hensyn til liv og helse må vike. Det ligger i en personverndebatt der jurister og teknologer får definere fasiten for hvordan personvern skal veies mot andre interesser.
Vi så det spille seg ut i sagaen om Smittestopp, Folkehelseinstituttets (FHI) app for sporing av koronasmitte. Første versjon av Smittestopp var heller ikke «best i verden». Den lagret nemlig telefonens posisjon i en sentral database. Dette var nødvendig på grunn av en kombinasjon av særnorske forhold og en begrensning i Apples operativsystem, på et tidspunkt der Google og Apple ennå ikke hadde lansert et felles varslingssystem.
Her lå det en real avveining. Nytte mot personvern. Data til bruk i smittesporing og forskning, i bytte mot en app som alltid følger med på deg. Fordelen med bedre datatilgang for myndighetene ved et stort smitteutbrudd mot risikoen for en datalekkasje.
Siden Smittestopp var frivillig å bruke, kunne hver enkelt veie fordelene mot ulempene. Halvannen million mennesker installerte den første versjonen. Men personvernekspertene så ingen reell avveining her. Personvernet var ikke optimalt, og dermed var appen ubrukelig. De trykket på alarmknappen. Hardt.
«Jeg vil egentlig ikke anbefale noen å bruke appen slik det er nå», sa personvernekspert Jon Wessel-Aas, og viste til journalister og advokater med spesielle behov for å verne om kilder og klienter.
Dette utspillet kan med fordel nærleses litt, for det er representativt for en bestemt tankegang. Fordi noen få personer med helt spesielle personvernbehov ikke burde bruke løsningen, er den ubrukelig for alle. A+ eller ingenting. Det er mulig at Wessel-Aas bare kjenner advokater og journalister, og at det dermed aldri falt ham inn at det eksisterer folk som ikke har kilde- og klientvern som sin primære prioritet, men ellers er det vanskelig å forstå det logiske spranget fra noen til ingen.
Toneangivende teknologer benyttet anledningen til å ri en annen kjepphest, og kritiserte FHI for å utvikle en app med lukket kildekode. Også her ble det beste det godes fiende. For realiteten er at selv om åpen kildekode hadde vært å foretrekke, er bare de færreste offentlige tjenester utviklet på den måten. Kildekoden til appen kunne uansett ha vært åpnet på et senere tidspunkt.
Reaksjonene ble etter hvert til en liten storm. Amnesty slo menneskerettighetsalarm. Datatilsynet hadde innledningsvis vært positive til Smittestopp, men etter hvert var presset fra det lille, men innflytelsesrike miljøet av personvernaktivister såpass sterkt at de neppe følte de hadde noe valg. 12. juni nedla de forbud mot å behandle data i appen, og da var den i praksis død.
Begrunnelsen er interessant. Datatilsynet oppkaster seg til dommere over Smittestopps samfunnsnytte, og kommer frem til at appen ikke lenger er nyttig nok, blant annet på grunn av at det på det tidspunktet var lite smitte. Men alle visste at det raskt kunne endre seg. Hadde Datatilsynet en kvalifisert oppfatning av om smittetrykket ville fortsette å være lavt? Kunne Datatilsynet vurdere hvor nyttig Smittestopp ville vært i en situasjon der apparatet for manuell smittesporing var sprengt? Og hvilke forutsetninger hadde Datatilsynet for å beregne samfunnsnytten av forskningen fra dataene som ble samlet inn?
Det etterlatte inntrykket var uansett at første versjon av Smittestopp var en katastrofe for personvernet. Men det er bare riktig hvis det beste er det godes fiende. For Smittestopp fungerte på samme måte som mange av appene du allerede har installert på telefonen din. De bruker posisjonsinformasjon og lagrer data i en sentral database. Google Maps, Strava, Instagram, Facebook, Tinder og en endeløs rekke andre. Den statlige tjenesten Yr bruker også posisjonen din, og fra personvernerklæringen deres kan det virke som de lagrer den i 30 dager hos et amerikansk selskap. (Jeg kan ikke sjekke, for kildekoden er lukket.)
Selvsagt bør vi være spesielt varsomme med løsninger som gir staten mulighet til å overvåke innbyggerne, selv om de brukes på frivillig basis. Men en altomfattende velferdsstat som den norske kan knapt fungere uten at staten samler enorme mengder med opplysninger om oss, enten det gjelder økonomi, helse eller familieforhold. De ligger lagret i sentrale databaser med navn som Altinn, Pasientjournal og NAV, og er akkurat like sårbare for datalekkasjer som Smittestopp ville vært.
Hvorfor finner vi oss i det? Fordi vi veier de personvernmessige ulempene det medfører mot nytten av strømlinjeformede offentlige tjenester. Et sentralt prinsipp i EUs personvernforordning GDPR er nettopp at den typen hensyn må veies mot hverandre. Datatilsynet hadde da også innledningsvis understreket at Smittestopp var fullt forenlig med GDPR.
Men GDPR er ikke lenger godt nok. OUS fikk tilbud om å få bruke et dansk pacemakerregister som var tilpasset GDPR. Men dette holdt ikke for sykehuset. I Norge følger vi nå en hjemmesnekret GDPR Extended Gold Edition.
Første versjon av Smittestopp ble en fadese, og det har etablert seg en fortelling om at det var FHI som dummet seg ut. Men fadesen var at vi skrudde av et digitalt smittesporingssystem midt i en pandemi. Fadesen var at avveiningen mellom folkehelse og personvern i praksis ble overlatt til personvernenekspertene.
For det koster å være best i verden på personvern. Det er en logisk nødvendig avveining mellom personvern og nytte. Og når personvernekspertene får bestemme, faller de litt for lett ned på at minst mulig databehandling bør finne sted, som både OUS-saken og Smittestopp er eksempler på.
Personvernaktivister er et nyttig korrektiv i samfunnsdebatten. Men personvern kan ikke være overordnet alle andre hensyn. Noen ganger er det å faktisk verne om personer viktigere, enten det gjelder smittesporing eller overvåkning av intensivpasienter. Det er det OUS nå tilsynelatende har lært. La oss håpe at saken inngir selvtillit til å gjenerobre litt grunn fra en gruppe som får stadig mer innflytelse.
Denne teksten sto på trykk i Morgenbladet 9. april 2021.
Om Kyrre Wathne
Jeg har tyve års erfaring som gründer, CTO og programmerer. Dessuten har jeg en mastergrad i evolusjonspsykologi. Jeg har skrevet for Morgenbladet siden 2018 og kan kontaktes her.
Mine innlegg om personvern og Smittestopp 1
-
Personvernentusiastene må tøyles
Personvern er viktig, men når personvernentusiastene får vetorett, bærer det galt av sted
- Datatilsynet bør ikke få lukke
debatten
Datatilsynets leder ser helst at debatten forbeholdes folk som ikke «sverter personvernet»
- Historien om Smittestopp må skrives
om
Teknologenes vurdering av Smittestopp var ikke riktig. Likevel ble den stoppet
- Skremmebildene forenkler personverndebatten
Det er mange skritt fra en frivillig smittesporingsapp til et samfunn der politiet har videokameraer i alle hjem
- Appen ingen ville lage
Tonen i personverndebatten er for hard. Det bidrar til dårlige beslutninger