Få problemer med Smittestopp
Datatilsynet har hatt en såkalt "kontrollsak" om Smittestopp siden 21. april. Med tanke på omfanget av løsningene rundt Smittestopp og den hvor kort tid det har vært for å utvikle løsningen, er det ikke uventet at det er ting å påpeke, noe Datatilsynet også selv anerkjenner. Det har så langt ikke kommet pålegg knyttet til selve løsningen eller til rutinene for datainnsamling og -lagring.
Første pålegg fra Datatilsynet: Formålsbeskrivelse
Datatilsynet mener det ikke kommer klart nok fram i den såkalte "behandlingsprotokollen" at Smittstopp har flere formål enn «Digitalt smittesporing knyttet til utbrudd av covid-19». Datatilsynet påpeker helt korrekt at denne formuleringen er for generell. De sier videre, igjen korrekt, at "appen Smittestopp har flere ulike formål: Rapportering og varsling om covid-19-smitte, overvåking av befolkningens bevegelsesmønster, analysearbeid og forskning". Datatilsynet har også observert at dette går klart fram av både FHIs hjemmesider og av personverneklæringen. FHI har sagt [link] at dette umiddelbart blir rettet opp.
Andre pålegg fra Datatilsynet: ROS-dokumentasjon
Det andre forholdet Datatilsynet påpeker handler om Risiko- og Sårbarhetsanalyser ("ROS"). For Datatilsynet er denne typen analyser svært sentralt for å vite hva som kan gå galt og hvordan man skal unngå feil. FHI har gjennomført en rekke slike analyser. Datatilsynet kunne ønsket seg enda flere. I den konkrete tilfellet det her er snakk om har det vært litt ulik tankegang mellom FHI og Datatilsynet: FHI har gjort ROS-analyser etterhvert som nye steg i implementeringen har blitt gjennomført, og hadde planer om å oversende en samlet analyse. Datatilsynet ønsker fortløpende dokumentasjon. Dette også vil blir oppfylt av FHI.
Konklusjon: Nyttig gjennomgang av Datatilsynet
Datatilsynets bemerkninger er helt uproblematiske og innebærer ikke noen alvorlige mangler ved Smittestopp eller systemene rundt når det gjelder personvern. Datatilsynets gjennomgang er en betryggende forsikring om at Smittestopp er i tråd med godt personvern.
3 kommentarer:
Er vi sikre på at stedstjenester ikke blir spredt eller misbrukt?
Hvordan kan det være en "betryggende forsikring" når tilsynet ikke er avsluttet og det allerede nå er innvendinger? Videre uttales det "Datatilsynet fortsetter arbeidet med kontrollsaken mot FHI og appen Smittestopp. Vi vil blant annet se videre på problemstillinger knyttet til formål, nytteverdi, innsamling og lagring av personopplysninger, samt sikkerhet i løsningen." Legger ved lenke til vedtaket: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-palegg-til-smittestopp/
Bare fint at Datatilsynet fortsetter å følge med. Vi skal (selvsagt) gi dem all assistanse de trenger og all informasjon de ønsker.
Legg inn en kommentar