Folkehelseinstituttets app Smittestopp skal hjelpe myndighetene med smittesporing, men kan også brukes til å varsle brukeren om at han eller hun har vært i nærheten av noen som er smittet av koronaviruset. Foto: Heiko Junge / NTB scanpix
Datatilsynet mener det er mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalysen som er gjort før lanseringen av Smittestopp-appen.
Rundt 750.000 nordmenn bruker appen som sporer koronasmitte i befolkningen og varsler deg dersom du har vært i nærkontakt med en smittet.
Myndighetene har fått kritikk for at appen kan være en sikkerhetstrussel og krenke folks personvern.
Datatilsynet opplyser i en pressemelding at de blant annet mener at Folkehelseinstituttet (FHI) i risiko- og sårbarhetsanalysen ikke har dokumentert at de har gjort nødvendige vurderinger av sentrale deler av løsningen.
Mangelfull ROS-analyse
Tilsynet mener det mangler risikovurderinger for befolkningsvarsling ved smitte, anonymisering av personopplysninger og analysearbeid. Formålet med en slik analyse er å få fram risikoen ved en teknisk løsning, slik at man kan iverksette risikoreduserende tiltak.
FHI mener de har etterlevd formålet om å avdekke risikoer før løsningen ble tatt i bruk. Fungerende assisterende direktør Gun Peggy Knudsen sier at de ville vente med å oversende dokumentene til Datatilsynet fordi de ønsket å ha et samlet dokument på plass etter at den trinnvise innføringen i kommunene var på plass.
– Men vi oversender disse risiko- og sårbarhetsanalysene nå og vil oversende endelig dokumentasjon som inkluderer analyse og anonymisering innen fristen, sier Knudsen.
Upresist
I behandlingsprotokollen er formålet med Smittestopp angitt som «digital smittesporing». Datatilsynet opplyser at de mener dette ikke er presist nok.
– Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. Dette skal fremgå av en protokoll, sier Datatilsynets direktør Bjørn Erik Thon.
FHI svarer at appens to formål er gjennomgående kommunisert, men at de skal endre teksten i behandlingsprotokollen umiddelbart etter Datatilsynets påpekning.
Datatilsynet fortsetter arbeidet med kontrollsaken mot FHI og Smittestopp-appen. De ser blant annet på problemstillinger knyttet til formål, nytteverdi og bruken av personopplysninger.