Ikke ha dårlig samvittighet om du ikke laster ned Smittestopp-appen

En kognitiv dissonans befestes i disse dager i diverse kommentarfelt. Det hjelper ikke stort at myndighetene på orwellisk vis bidrar til at folk flest glemmer å lytte til fagfolk, men i stedet overfokuserer på at det bare finnes en måte å få frihet på; overvåking med geolokalisering lagret sentralt utenfor landets grenser.

Det er et falskt dilemma at valget står mellom å forhindre folk å dø eller personvern. Det finnes ikke bare én måte å lage en app på, og det er ikke slik at det ene utelukker det andre. Andre land i Europa har laget smittesporingsapper som ikke kompromitterer personvernet. Det er med andre ord ikke bare én måte å gjøre dette på.   

«Enten er du med oss eller så du mot oss». Det sosiale presset øker.  Vil enkelte arbeidsgivere kreve at ansatte skal installere appen før de kommer tilbake på jobb? Kanskje. Er det fremdeles frivillig da? Neppe

Fra leder i VG 16.04.20 står det: «I Norge har vi stor tillit til våre myndigheter. Ved innføringen av en så inngripende app som “Smittestopp”, må en del av kontrakten mellom oss og dem, være at appen og alt som tilligger den, bare brukes i kampen mot smittespredning. Og - at den legges vekk den dagen koronaen er borte.»

Men det finnes allerede flere innenfor de medisinske fagmiljøene som mener at koronaviruset antakelig aldri forsvinner. Så hva da med Smittestopp? Etter en tid når diskusjonen kjølner og folk har vent seg til den nye temperaturen vil da ‘de ekstraordinære’ omstendighetene være den nye normalen vi måler temperaturen ut ifra? På hvilket tidspunkt blir den midlertidige løsningen permanent? Antakeligvis skjer det sakte, nesten umerkelig.

Husker du årsavgiften, nå kalt bilforsikringsavgiften eller trafikkforsikringsavgift? Den ble innført basert på en midlertidig lov fra 1917. Ingenting er så permanent som en midlertidig løsning. Koronaloven eller «Midlertidig lov om forskriftshjemmel for å avhjelpe konsekvenser av utbrudd av Covid-19 mv.» som hadde varighet på 1 måned er nå vedtatt forlenget til 27.mai 2020.

Grensen flyttes litt etter litt, ganske umerkelig og med edle motiver til og med. Når aksepterer vi neste utgliding og bukkesprang over GDPR? Vil vi ha lettere for å gi fra oss personopplysningene våre ved en senere anledning? Kanskje. Ville du gitt fra deg personopplysninger og sett bort fra gjeldende lovgiving med hvilepuls? Hvis svaret er nei, så kanskje man ikke burde gjøre det med krisepuls og for en midlertidig løsning som er laget i med hastverk?

I en artikkel fra «New York Times» dokumenteres det at kommersielle selskap som Facebook og Google, Snap og Instagram, ja, hundrevis av kommersielle aktører overvåker deg allerede, så hvorfor bråke når staten også vil det? GDPR har omsider blitt innført for å regulere markedet og beskytte individer. Men er det nok beskyttelse? Faktum at det nærmest er ‘vill vest’ utenfor Europa (GDPR gjelder blant annet ikke i USA), er det et godt argument for at staten skal være like cowboy? Hvis du blir stoppet for at du har brutt fartsgrensen hjelper neppe argumentet at ‘alle andre gjør det også’. Og er ikke det å sammenlikne private aktører med staten i utgangspunktet helt feil? Den norske stat har både lovgivende og dømmende myndighet over deg, det kommer aldri Facebook eller Snap til å ha.

I Norge har vi tillit til myndighetene. Et godt lovverk og det faktum at lovverket respekteres av alle aktører bidrar til dette. Det er trolig ingen skjulte motiver bak sentral lagring av data og kontinuerlig overvåking. Vi tror det er gode og velmenende motiver som driver dette. Det er dessverre ingen som kan utelukke at det vil komme nye, og minst like edle motiver for å utvide og/eller endre funksjonaliteten. Det samme gjelder for hvor lenge dataene lagres. Kanskje burde den kunne kobles til politiets strafferegister, eller til UDI’s registre eller til registre i Altinn, osv? Formålsutgliding er ikke usannsynlig.

I politiregisterloven § 12 står det at «opplysningene i [straffe]registeret skal kun brukes i strafferettspleien». I 2018 avsa likevel høyesterett en dom som gave en mor rett til å bruke data fra DNA-registeret i en farskapssak. Ergo har domstolen overprøvd og bestemt at det lovgivende forsamling opprinnelig vedtok ikke lenger gjelder. Strafferegisteret som kun skal brukes i straffesaker har allikevel blitt brukt til å bestemme farsskap i en sivil sak.

Den ene demokratiske staten etter den andre velger å lage app’er som sporer befolkningen på samme måte som man i årevis har kritisert totalitære stater for. Kryptolog og professor Kristian Gjøsteen ved NTNU er blant hundrevis av IT-eksperter som har signert et opprop mot sporingsapper av typen norske myndigheter har utviklet. Han sier at «Norge kan gi legitimitet til overvåking i Kina og andre land» som kan bruke løsninger til overvåking eller andre formål som ikke er å bekjempe korona. Har man først fått en global aksept for disse appene kan det bli nærmest umulig å forby de senere.

Hastverk er lastverk. All erfaring fra softwareutvikling tilsier at hurtigutviklede løsninger kan ha kritiske sikkerhetshull som kan utnyttes av kriminelle. I det minste kan det ikke utelukkes, og det kan i så fall få alvorlige konsekvenser. Der fagmiljøene anbefaler åpen kildekode har FHI valgt lukket. Lukket kildekode kan tilsynelatende virke som en smart løsning. Det finnes absolutt gode argumenter for lukket kildekode. Men, fordelen med åpen kildekode er at man kan dra veksel på et fagmiljø bestående av millioner av høyst datakyndige eksperter, både de med formell utdannelse og selvlærte, til å teste og leke seg med og forslå forbedringer til koden. Dette fører til en mer robust og sikker kode som inneholder færre feil som kan utnyttes av kriminelle. Etter bare fire dager kunne vi lese at du med app’en kan spore naboens bevegelser og at det er lett å sende falske sms’er. Bare for å utelukke misforståelser: Åpen kildekode gjør ikke at noen kan endre på koden i appen du har lastet ned.

Men, om vi for et øyeblikk ser bort ifra at vi oppfordres til å frivillig oppgi lovgitte rettigheter til å holde private data privat, at det ikke finnes kun én teknologisk løsning, at appen er laget med stort hastverk på veldig kort tid, at kildekoden ikke er åpen slik store aktører som som Apple og Google har valgt, at ekspertgruppen på 8 mennesker som gjennomgikk appen før den var ferdig utviklet var skeptisk til dataintegriteten og kun fikk vurdere et uferdig produkt, at appen fremdeles bruker uforholdsmessig mye batterikapasitet som gjør at mange uansett vil skru av GPS og bluetooth, at det ble funnet 2 sikkerhetshull i løpet av appens 4 første dager (som vi vet om), at Personvernråd i EU mener norsk app bryter med viktig personvernprinsipp og dataminimering og at FHI i sin sikkerhetsvurdering ikke har nevnt muligheten for tyveri av data eller overvåking fra andre personer.

Hvis vi ser bort fra alt dette(!), og fokuserer på formålet, vil appen egentlig bidra til å redusere og spore smitte? Vil den redde liv? Høyst usikkert sier enkelte eksperter som er opptatt av samspillet mellom teknologi, data og mennesker. Er det teknologien i seg selv som er løsningen? Må vi ha en app på telefonen for å føle oss tryggere og for å få tilbake hvilepulsen?

For at appen skal ha noe å varsle om må det finnes data. Dataene kommer fra MSIS. Dersom du tester positivt for Covid-19 registreres du i MSIS av lab/helsepersonell. Per 24.april er ca 28000 testet pr million innbyggere, det vil si ca 2,8%. Dette er bra i forhold til andre land, men gir likevel en veldig liten datamengde. Vi vet at mange er testet flere ganger så prosentandelen av befolkningen som er testet er lavere.

Hvor effektiv og treffsikker er det mulig å være når over 97% av dataene ikke er verifisert/testet? Mange har trolig også hatt, eller har, covid-19 uten å ha vært klar over det og er følgelig ikke registrert MSIS. Mørketallene ER store. Ifølge kryptograf Schneier er sporingsappene verre enn ingenting og kan føre til mer overvåking.

Man vet bare noe om individets smitte- og sykdomssituasjon frem til det øyeblikket vedkommende er testet. Etter testen kan personen like gjerne bli smittet på vei ut døra fra testområdet eller på bussen på vei hjem, eller i butikken, eller dagen etter… I tillegg kan man teste negativt, men være positiv og dermed registreres man heller ikke. En app som Smittestopp gjør det mer viktig, mye mer viktig, med storskala repetitiv testing for at den skal ha den grad av pålitelighet som ønskes.

Hva er bedre enn en tilsynelatende upålitelig app?

• Økonomisk støtte fra Norge til vaksineforsking
• Massiv repetitiv testing
• Disiplinert sosial distansering frem til vi har en vaksine
• Vaksine til alle

En overvåkingsapp er med andre ord ikke redningen for et fritt og åpent samfunn. Det er ingen grunn til å ha dårlig samvittighet om man velger å la være å laste ned og bruke denne appen.

Leila Langø
Forbundsleder i IT forbundet i Delta