Jeg la for en tid tilbake ut en link til en artikkel fra Tv2.no – Ikke last ned smittestopp-appen, hvor
stortingspolitiker Åshild Bruun Gundersen advarte mot å laste ned smittestopp-appen.
Jeg er for det meste enig i at dette er en app som ikke tar nok hensyn til
personvernet. Da kom det raskt en del kommentarer ala;
«Hahahaha, du er jo omtrent som de gale antivaksinemotstanderne.»
«Hahaha, du kaller deg Tøvsugeren, men hadde aldri sett for meg at du skulle poste
slikt tøv.»
«Du er jo på linje med de gale konspirasjonsfolkene.
Jeg tåler fint å få kritikk, men det er kanskje greit å ta en kort titt på hva min skepsis mot appen bunner i, som flere burde gjøre. Jeg er ikke imot Smittestopp-appen som tiltak, men jeg er skeptisk til hastverket med å utvikle en slik app. Hensikten var uklar, ikke minst må langt flere testes. Ikke minst er det noen personvern issue her som jeg mener det er viktig å være klar over. Data lagres i en sentral database, noe som vil være en honningkrukke for hackere. Rent teknisk er det også en god del å plukke på.
Det vanlige argumentet jeg møter i diskusjoner er: «jammen Facebook og Google» Ja, det er noen poenger, men både Facebook og Google er underlagt reglene fra 25. mai 2018 om ny personvernlovgivning. Den nye personvernforordningen er, forkortet GDPR (General Data Protection Regulation). Loven gjelder for alle offentlige og private virksomheter, uavhengig av hvor de er etablert, så lenge de behandler personopplysninger om europeere.
 |
| Photo by Kelly Sikkema on Unsplash |
Å lage en smittestoppapp for smittesporing kan være en god ide, men slikt dette er lagt opp så virker det som hastverksarbeid. Smittestopp-appen samler inn lokasjonsdata via GPS og Bluetooth i telefonene. Skulle en bruker bli konstatert smittet med covid-19, så vil det kunne spore telefoner (altså deg) som har vært i kontakt med smittede de siste 14 dager, som da vil få beskjed fra helsemyndighetene i form av en tekstmelding. Myndighetene vil altså få vite hvor alle er og hvem du har vært i kontakt med i mer enn 15 minutter. Hvordan har de kommet frem til 15 minutter som grense er for meg uklart.
Som Interaksjonsdesigner
Ida Aaalen skriver
i aftenposten 19.04.2020
Appen kan heller ikke varsle deg om han som hostet da du passerte ham på gaten, eller hun som brukte bankterminalen på butikken rett før deg, eller han som gned seg i nesen og så tok i dørhåndtaket rett før deg. For dem har du ikke vært i nærheten av i mer enn 15 minutter.
For ikke å
snakke om det rent tekniske for å ta i bruk appen, hvor lett er det å aktivere
den? Det må være rett frem å installere, ikke minst må det være en sømløs enkel registrering for å ta appen i bruk.
Det viktige med
en app er at mange nok begynner å bruke den og at den har en reell nytteverdi.
Myndighetene skryter at ca 1,5 millioner mennesker har lastet ned appen. Hvor
mange som har lastet den ned er uinteressant, hvis
den ikke brukes.
Tilbakemeldinger viser at en del sliter med akkurat det.
Det er skal ifølge
FHI nå ha blitt enklere, men hvorfor skal man i det hele tatt registrere seg via
omstendelige prosedyrer?
Ida Aalen
adresserer en del barrièrer for å bruke appen.
1 De som kan ta i bruk appen, må ha en smarttelefon.
2 De må få med seg at appen finnes og hva den heter.
3 De må få lyst til å laste den ned.
4 De må klare å installere appen. Tall fra Kantars Interbuss-undersøkelse i første kvartal i år indikerer at det fortsatt er 1 av 10 som ikke bruker apper på mobiltelefonen, og dobbelt så mange blant de over 60 år. På julaften var det kanskje et barnebarn som kunne hjelpe til. Eller en ansatt i butikken bisto med å installere Facebook. Med sosial distansering blir dette mindre sannsynlig (vi vil helst ikke ta på andres smarttelefoner).
5 De må gi appen tilgang til både lokasjon, Bluetooth og varslinger. På grunn av apper som har misbrukt data, prøver smarttelefonene å få folk til å dele mindre data. Derfor er det lett å trykke feil. Gjør du det, må du grave deg langt ned i telefonens innstillinger, og appen gir ikke tydelige feilmeldinger. Som en indikasjon på hvor vant folk flest er med mer avansert bruk, så er det kun 76 prosent som oppgir til Kantar at de noensinne har brukt telefonen til å betale for varer eller tjenester.
6 De må klare å registrere seg med telefonnummer slik at de kan bli varslet. Steget der man bekrefter nummeret sitt, er lite brukervennlig og har det mystiske domenet b2clogin.com. Det er ikke rart hvis folk lurer på om det er spam eller phishing når bekreftelseskoden i tillegg kommer fra SmsVerify. Det er også problemer med den universelle utformingen, som gjør det vanskeligere for eldre, svaksynte og blinde å bruke appen, forteller NRK.
7 De må skrolle seg gjennom hele personvernerklæringen, ikke bli bekymret over at den er så lang, før de finner knappen helt nederst som lar dem gå videre.
8 Du må ha en smarttelefon som har bra nok batterikapasitet til at den som et minimum kan ha GPS i bakgrunnen hele tiden, og i tillegg vil appen helst ha Bluetooth også. Da må folk lade telefonen ekstra mye under pandemien, eller huske å skru på GPS og Bluetooth hver gang de ikke er hjemme. Kilde
Når jeg leser kommentarer inne på Google
Play så er det i all
hovedsak negative meldinger som ligger der. Registrering fungerer ikke godt nok,
appen sluker for mye strøm, GPS slår seg av, Bluetooth problemer osv. Ser stort
sett de samme kommentarene i Apple
App Store.
Android stenger selv ned apper som bruker mye strøm, og som stadig ønsker tilgang til GPS. Det kan overstyres, men da må man ned i systemet for å endre tillatelser ulike apper skal ha. Det er en barriere som ikke bør undervurderes. Apple tillater heller ikke bluetooth aktivitet, når skjermen går i hvilemodus etter kort tid, noe som gjør at smitteappen da vil være avslått. Appen er riktig nok kommet i en oppdatert versjon, men det er fortsatt noen utfordringer.
I et offentlig
brev datert 14.april i år skriver det Det Europeiske Personvernrådet (EDPB)
mener smittesporingsapper som samler inn posisjonsdata opererer i strid med
prinsippet om dataminimering. Smittestopp
appen er kort og godt en personvernversting og bryter med EUs personvernsråds
anbefalinger.
Folkehelseinstitutter er jo faktisk enig i at det er flere personvernmessige problemstillinger med appen.
«FHI forstår at Datatilsynet følger tett med på utviklingen og bruken av Smittestopp, og er helt enige i at appen reiser flere personvernmessige problemstillinger.»
Løsning som kan fungere
Google har for eksempel lansert et verktøy som gir anonymisert samlet
informasjon om sporing for lokalsamfunn over hele kloden. I
Danmark har flere politiske partier tatt til orde for å droppe egen app og
heller bruke Google og Apples løsning (Exposure Notifications) som er gjort tilgjengelig for alle lands
helsemyndigheter. Googles
og Apples løsning vil ikke kunne spore enkeltbrukere på samme måte som
smittestopp-appen.
Kort sagt fungerer det på den måten at all kommunikasjon og rapportering skjer ved hjelp av Bluetooth. Dette brukes til å registrere og huske hvem du har vært i nærheten av. Disse "møtene" lagres anonymt på din egen telefon og ikke på en sentral server. Dette betyr at personvern er bedre ivaretatt. Myndighetene kan ikke se hvem og hvor og hvem du har vært sammen med. Hvis en person blir testet positivt, vil dette bli rapportert i appen, og de du har stått nær i lang tid (15 min) vil bli varslet. Meldingen er anonym.
Folkehelseinstituttet
uttalte i mars at data samlet inn av Smittestopp ville bli brukt til
forskningsformål og analyser av brukernes bevegelser, ok, men da burde man ut
fra et sikkerhetshensyn skille dette i to apper, ikke minst ville løsningen til
google være godt egnet.
Sjefsprogrammerer
i Sopra Steria, Johannes Brodwall uttaler i en artikkel fra NRK-beta:
– Å skille de to formålene smittesporing og forskning har vært en av de viktigste anbefalingene fra sikkerhet- og personverneksperter som har kommentert Smittestopp helt fra dag én, sier Brodwall.
Han mener det lureste ville vært at FHI tilbydde to apper: en app for smittesporing som følger Apple og Googles krav, og en hvor de som ønsker å delta kan donere sine lokasjonsdata til forskning.
Nå har Datatilsynet kommet med sin vurdering av smittestoppappen
«Det er snakk om to pålegg: Det ene pålegget er knyttet til behandlingsprotokoll som tilfredsstiller kravene i personvernforordningen artikkel 30, og det andre er knyttet til mangler på dokumentasjon på risiko- og sårbarhetsanalyser». Kilde
For FHI og myndighetene har den en verdi ved at den samler inn store mengder posisjonsdata hvor formålet er å måle effekten av ulike tiltak. Det er greit nok, men de ville fått den samme informasjonen ved å bruke løsningen til Google og Apple. I tillegg kan de hente ut data fra teleleverandørene som forteller noe om adferd.
Ifølge regjeringen
skulle minst 5% av befolkningen her hjemme testes, men dette er nå utsatt.
Når samfunnet åpner mer opp, så er det viktig at testing intensiveres, men det
velger man nå bort. Det testes rett og slett for få mennesker til at digital
smittesporing har noen reell verdi per i dag. Den eneste verdien er at helsemyndighetene kan kartlegge bevegelsesmønster
for å se hvordan ulike tiltak fungerer, men det ville de som nevnt over fått om
de brukte google løsning også samt at de kunne fått data fra teleleverandørene som forteller om bevegelsesmønster.
Det er kommet en rapport som er klar på at sikkerheten og personvernet ikke er godt nok ivaretatt. Dropp smittestoppappen i sin nåværende form, bygg den om, ellers vil dette rett og slett bli nok en IT flopp.
Utviklerne av appen ser nå på mulighetene til å utvikle en ny versjon av Smittestopp-appen, hvor utviklerne er i dialog med Google og Apple hvor man ser på muligheten til å lagre data på telefonen og ikke en i sentral database. Det er positivt, men dette kunne de tatt høyde for før de duret i vei og lagde den appen som nå viser seg å være en flopp.
I mars lanserte Polske myndigheter en karantene-app som som tok det en del lenger enn de fleste land. Personer som ble satt i karantene i karantene har et valg – enten last ned appen, eller få uventede besøk fra politiet. Myndighetene opprettet automatisk en brukerkonto til personer som ble satt i karantene, i første rekke rettet mot personer som returnerte fra utlandet. Karantene-appen krevet regelmessige selfier med ansiktsgjenkjenning og geo-lokasjon, for å bevise at man overholder karantenen.
Det vises ofte til bruk av denne type apper i andre land som fremstilles som suksess. Bildet er litt mer sammensatt enn som så.
Oppdatert 20.06.2020
Datatilsynet har den 12.06 fattet et vedtak om et midlertidig forbud mot å behandle personopplysninger i appen smittestopp.
Les også:
Dagsavisen.no - FHI sletter alle data fra appen Smittestopp
NRK.no - Politikarane vil dele smitte-appen i to
VG.no - Har funnet sikkerhetsrisiko i Smittestopp-appen – kan brukes til å spore andre
I Danmark er den danske corona-appen nå lansert. Danskene har tatt seg god tid. Appen bruker Apple og Googles løsning (Exposure Notifications) og fungerer på både iOS og Android.
Relaterte bloggposter:
Tøvsugeren - En varslet katastrofe
Ingen kommentarer:
Legg inn en kommentar