Corona-appar, integritet och dataskydd

Jag har de senaste veckorna kritiserat hur stater och andra använder sig av digital övervakning i kampen mot Corona-viruset. Nyss kändes kritiken allt mer befogad. Ursäkta långt inlägg men det är faktiskt inte mitt fel.

Jag fick nämligen precis en sk riktad reklam för en ”Corona-app” som marknadsförs av Lunds universitet och som enligt egen uppgift har över 100000 användare i Sverige.

Efter en lång rad länkar om hur viktig appen och just mitt deltagande är kan man sedan klicka sig vidare till den brittiska leverantörens ”integritetsmeddelande” (vad är det ens för ord?) som förklarar hur man vill använda sig av de data man samlat in. Nedanstående är direkta citat ur detta.

Vi behandlar två typer av uppgifter som rör dig:

Detta är uppgifter om dig, din hälsa och dina symtom vid sjukdom, samt de uppgifter som din telefon delar, t.ex. IP-adress och plats.

Man är alltså väldigt tydlig med att man samlar in all information du delar med dig om hur du mår, och all information som din telefon delar med sig av. Jag förstår ju någonstans att det inte är riktigt så brett svept som man skulle kunna anta – men problemet är att vi inte vet. Den här skrivningen hjälper inte, snarare väcker den nya frågor.

Vi delar dessa uppgifter med Lunds universitet i Sverige för att genomföra forskning inom hälsa. De kan ha tillgång till den fullständiga information vi delar med dig.

Lunds universitet har enligt uppgift 7600 anställda och 40000 studenter. En grumlig beskrivning som detta ger alltså ingen vägledning till vem på LU som faktiskt kan få tillgång till uppgifterna. Man uppger då också att det kan vara ”fullständig information” som delas. Det känns lite vanskligt.

Efter att vi har delat informationen med Lunds universitet sparar vi en kopia av dessa uppgifter.

Här blir det plötsligt oerhört tydligt att det INTE är forskarna vid Lunds universitet som står bakom appen, och därmed ansvarar för den data som samlas in. ”Vi” i detta fall är det brittiska företaget som gjort appen – och kopian hamnar då i deras företagsdatabas kan antas. Det är eventuellt en formalistisk detalj, men vikten av detta blir tydligt framåt.

Vi arbetar också med andra personer som utför forskning inom hälsa med vilka vi kan komma att dela dina uppgifter, t.ex. personer som arbetar på:

Sjukhus
Folkhälsomyndigheter
Universitet
Välgörenhetsorganisationer inom hälsoområdet
Andra forskningsinstitutioner.

Här finns ingen specifikation alls för vad man menar. Minns nu att det inte är Lunds universitet som säger detta utan det globala e-hälsoföretag som utvecklat det skal man krängt till LU. Din data kan alltså hamna i händerna på folkhälsomyndighetens motsvarighet i något av alla de länder dit företaget lyckats med sitt sälj eller i en ”forskningsinstitution” som genomför något slags helt icke-relaterad och eventuellt etisk högst tveksam medicinsk ”forskning”. Via den här paragrafen meddelar man alltså användaren att datan kan komma att delas med i princip vem som helst med vagt intresse av hälsofrågor (eller något annat helt orelaterat till hälsa som man kan köra datan mot).

”Innan vi delar några av dina uppgifter med någon annan än Lunds universitet kommer vi att ta bort din e-postadress och alla siffror utom de två första i ditt postnummer för att skydda din integritet. En anonym kod kommer att användas i stället.”

Det här är en luring, och som ofta återkommer. Ibland framställs det som att datainsamling bara rör ”metadata” (Lex Obama on NSA) eller så formulerar man sig på andra sätt vagt om vilka uppgifter som sparas och vad som förskjuts. I det här fallet så vågar jag påstå att användares e-postadress och tre sista siffror i postnumret är det absolut minst känsliga av det man sparar, och troligtvis också inte alls relevant om man vill triangulera persondata.

Ibland när vi delar uppgifter med forskare exporteras de till länder som exempelvis USA, som har väldigt annorlunda regler gällande dataskydd och som kanske inte skyddar dina uppgifter på samma sätt som, eller lika bra som, GDPR gör.

Det här är helt sant. Jag är ingen expert på USA:s Cloud Act men jag har förstått att den hanterar dataskydd ”väldigt annorlunda”. Att torrt konstatera det här är INTE gott dataskydd, och jag är väldigt tveksam till ansvarsförskjutningen här.

Vi använder oss av tredje parter som behandlar en del av dina personuppgifter å våra vägnar. (…)

Dessa behandlare innefattar:

Amazon Web Services
Google Cloud Platform
SurveyMonkey
Segment
Google Analytics
Mixpanel
Google G-Suite
MailChimp
Mailgun
Intercom
Sentry
Google Firebase
SwiftyBeaver

Hittills i läsningen hann jag bli lite lagom svettig, men här satte jag faktiskt kaffet i halsen. Jag undrar ödmjukt varför inte leverantören av appen helt enkelt skrivit att de lägger ut datan ”på internet”, för det är ungefär det man gör. Att samla en lång lista av digitala kreti och pleti, lite högt och lite lågt – det är inte informativt på något som helst sätt.

Och här är det viktigt att minnas – allt det här spelar faktiskt roll. Den senaste månaden har jag vid flera tillfällen fått möjlighet att påminna om vikten att värna personlig integritet och mänskliga rättigheten vid utvecklandet av samhällsnyttiga appar. Jag förstår ju givetvis att man snabbt vill komma på och rulla ut smarta lösningar för att få bukt på den pågående pandemin, men innan vi offrar tio-femton år av dataskyddsdiskussioner på Corona-altaret så måste vi ta några djupa andetag och tänka till.

– Det är förstås helt rimligt att man söker nya vägar för att få bukt på något så omfattande och dramatiskt som den rådande coronapandemin, säger Marcin de Kaminski som arbetar med digitala frågor på organisationen Civil rights defenders [till DN].

– Men vi ser en stor risk i att de lösningar som nu växer fram blir mer eller mindre permanenta – det gäller såväl digital övervakning som andra inskränkningar i rörelsefrihet och yttrandefrihet.

– Om man inte ifrågasätter det här kommer det bli en normalitet. Vi som arbetar globalt ser att regeringar hävdar att det är tillfälliga lösningar. Men historien har visat att repression i många sammanhang också blir beständig, säger Marcin de Kaminski på Civil Rights Defenders [till SVT].

Ett liknande resonemang hade jag när jag intervjuades i P3 Nyheter:

– Vi är oroade för vi har sett hur dataregister och digitala tvångsmedel används på ett sätt som inte är förenligt med rättsstatens principer, säger Marcin de Kaminski, chef för Civil Rights Defenders globala avdelning.

Digitaliseringsminister Anders Ygeman (S) förstår oron, men säger att skyddet för data i Sverige är starkt.

– Man ska ta de invändningarna på allvar, samtidigt så har vi ett väl utvecklat dataskydd. Vår utgångspunkt är att individen ska äga sin egen data.

Och precis den poäng Anders Ygeman gör mot slutet är ju det som oroar mig och andra i lösningar såsom den app som släppts av forskare vid Lunds Universitet. Att forskarna själva menar annorlunda spelar på det stora hela när appen och den tekniska datainsamlingen är bortom deras kontroll.

I Arbetaren fick jag utveckla resonemanget något.

Marcin de Kaminski, programchef på människorättsorganisationen Civil Rights Defenders, ser en oroande utveckling i många länder där människors integritet och IT-säkerhet inskränks under coronapandemin. Han menar att många länder runt om i världen tar fram lösningar på kort tid och att viktiga rättsprinciper då sätts åt sidan.

– Vi har haft en innovationsvurm och det är klart att myndigheter försöker hitta verktyg att begränsa smittspridningen i krisen. Men det finns så många problem med att utveckla väldigt integritetsnära tjänster väldigt fort utan att ha några safe guards, säkerhetsspärrar, på plats. Här finns en beröring mellan alla de digitala lösningarna i alla länder, säger han och fortsätter: 

– Vi har också sett att många av de här corona-apparna kopplas till ett digitalt identifikationssystem. Man tänker att informationen då blir mer vidimerad, mer korrekt, men problemet är att om systemet samlar in känslig information om hälsotillstånd genom en säkerställd identifikator som Bank-ID blir det ännu viktigare att fundera över var data tar vägen egentligen. Om det kopplas till enskilda individer genom Bank-ID är det ytterst allvarligt om det passerar genom tredjehandsleverantörer som man inte har koll på, säger Marcin de Kaminski. 

Han säger att exempelvis coronaappen som marknadsförs för forskning vid Lunds universitet, där själva appen i sig är framtagen av en brittisk e-hälsoaktör, är problematisk. Bland annat för att den använder sig av så många externa leverantörer att det är svårt som användare att förstå vem som får tillgång till datan som matas in. 

– Man vet inte om apparna kommer att funka eller hjälpa Sverige framåt i krisen. Man har snabbt introducerat tredjepartsunderleverantörer som man inte har koll på. Risken är också att man implementerar en lösning som man sen har svårt att bli av med. När väl tjänster, appar och tekniska lösningar lanserats, så finns de där för framtida bruk. Därför är det så viktigt att man så långt det är möjligt gör rätt redan från början. Annars riskerar saker som integritet och andra mänskliga rättigheter sättas åt sidan, vilket innebär en risk för såväl individer som grupper som är utsatta och sårbara – men också för en bredare allmänhet.

Och där hoppas jag kunna pausa min del av samtalet för den här gången.

1 thought on “Corona-appar, integritet och dataskydd

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *