Regjeringen lanserte torsdag Folkehelseinstituttets app Smittestopp, som skal bidra til å bekjempe koronavirus.
Også andre land og forskningsmiljøer har arbeidet med apper for smittesporing, og Israel, Island og Singapore har publisert kildekoden til sine løsninger som open source.
Det samme har MIT og det europeiske samarbeidsprosjektet DP^3T (Distributed Privacy Preserving Proximity Tracing).
Appene kommer i to hovedvarianter.
Åpen kildekode-utvikler forsvarer korona-appens lukkede kildekode
GPS-basert i Israel og Island
Israel og Island bruker GPS. Begge har valgt kryssplattformteknologien React Native. Det frivillige prosjektet corona-trace.github.io bruker GPS og Flutter.
En GPS-basert smittesporingsapp med personvern i fokus lagrer posisjonsspor lokalt på telefonen.
Når noen får påvist smitte blir posisjonene deres filtrert og splittet opp for å bevare personvernet til den smittede før posisjonene publiseres for alle andre brukere av appen. Brukere kan laste ned disse smitteposisjonene og sjekke mot sine egne bevegelser uten at posisjonsspor forlater telefonen.
Personvernet er svært viktig i disse appene fordi lokasjonsspor er så sensitive. Selv med en anonym identifikator er det lett å reidentifisere personer ved kombinasjonen av hjemmeadressen om natten og jobbadressen på dagen.
For de fleste av oss er posisjonssporene kanskje ikke noe som føles veldig problematisk, men noen situasjoner kan det avsløre fakta om personer som kan være alt fra flaut til direkte farlig.
Bluetooth i Singapore
Den andre hovedvarianten er Bluetooth: Singapore og demoappene til MIT og DP^3T bruker denne teknologien. Da annonserer appen en identifikator til andre apper i nærheten. Når noen senere får påvist smitte kan identifikatorene til den smittede publiseres og andre kan varsles om de har vært i nærheten.
Bluetooth har tekniske begrensninger for å unngå andre personverntrusler og batteribruk som har skapt problemer for disse appene. I Singapore får iPhone-brukere beskjed om at de må holde appen åpen for at den skal fungere. Dette er åpenbart ikke ideelt.
Derfor har Google og Apple gått sammen om et veikart som skal gjøre API-er for Bluetooth kontaktsporing tilgjengelig for nasjonale helsemyndigheter på en måte som kan bevare personvernet.
Personvernet for Bluetooth-løsningene er bevart ved at telefonene genererer nye tilfeldige, identifikatorer cirka hvert tiende minutt. Disse identifikatorene kan ikke knyttes tilbake til brukerende.
DP^3T prosjektet har en flott tegneserie som illustrerer designet:
Sentral lagring i Norge
Den norske appen Smittestopp har ingen slike personverntiltak, men lagrer i stedet posisjonsdata sentralt. Data lagres åpenbart kryptert, men det innebærer at man lagrer lokasjonsdata for store deler av Norges befolkning på ett sted, og personvernsvurderingen av appen sier at bruken og anonymiseringen av denne dataen ikke er ferdig ennå. De roterer heller ikke ID på telefonen slik andre løsninger gjør.
Kanskje den viktigste grunnen til forskjellen i Norge er at Smittestopp har to forskjellige formål: Den skal spore kontakt for å begrense smitte på et individnivå, og i tillegg samle data for å analysere effekten av smitteverntiltak. Komponenten som skal utføre denne analysen har ikke blitt utviklet ennå.
Derfor vil ikke Simula åpne kildekoden
Den norske appen er mye mer inngripende enn i mange andre land. European Data Protection Board presiserer at å samle informasjon om personers bevegelser bryter mot dataminimeringsprinsippet. Derfor så har Helse- og omsorgsdepartementet vedtatt en forskrift som gir lovgrunnlag for appen.
I forskriften står det at “direkte personidentifiserende kjennetegn kan ikke behandles i forbindelse med overvåkning på befolkningsnivå”. Lokasjonsdata nevnes eksplisitt i GDPR (artikkel 4) som personidentifikator, så det blir spennende å se hvordan man anonymiserer disse.
Selv om appen er lansert, er anonymiseringen av lokasjonsdata fortsatt uferdig og personvernkonsekvensene av anonymiseringen ennå ikke vurdert.
Simula, som utvikler den norske appen, bruker også sentral lagring for å omgå problemet med Bluetooth på iPhone, uten at jeg har egentlig forstått hvordan det løser problemet.
Viktig instrument
Informasjonen om smittesporingsapper har kommet i et fantastisk tempo de siste ukene.
Da Bent Høie avslørte Smittestopp, var verken arbeidet til Singapore, DP^3T eller Google/Apple publisert. Nå har man sjansen til å videreutvikle løsningen til å harmonere med erfaringene fra resten av verden.
- Derfor bør korona-appen ha åpen kildekode
Singapore og Sør-Korea er eksempler som lykkes med å få smitten under kontroll. I Singapore installerte 11 prosent av befolkningen TraceTogether. I Sør-Korea jobber 20.000 personer med å manuelt følge opp smittekontakt for å hindre nye utbrudd.
Smittesporing er et viktig instrument for å hjelpe oss ut av krisen og smittesporingsapper kan være et verdifullt verktøy i kampen mot koronavirus.
Men om Smittestopp skal lykkes, må den videreutvikles på en måte der befolkningen kan ha tillit til hvordan appen behandler våre data.
💡 Om forfatteren: Johannes Brodwall er sjefsprogrammerer i Sopra Steria hvor han blant annet utvikler med å lage GPS-løsninger med innebygd personvern. Han er grunnlegger av Mobile Era, en konferanse i Oslo for apputviklere. Johannes holder foredrag om programmering, programvarearkitektur og personvern på konferanser i Norge og utlandet.