Datatilsynet har varslet Folkehelseinstituttet (FHI) om vedtak om pålegg knyttet til appen Smittestopp. Bakgrunnen er at vi mener det er mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalysen som er gjort i forbindelse med app-løsningen.
I behandlingsprotokollen er formålet med Smittestopp angitt som "digital smittesporing". Dette mener Datatilsynet ikke er presist nok.
Mandag 21. desember 2020 lanserte Folkehelseinstituttet (FHI) den nye appen Smittestopp. - Personvernet er så langt vi kan se ivaretatt, sa Bjørn Erik Thon.
- Appen har i realiteten flere formål slik som oppsporing og varsling om covid-19-smitte, overvåking av befolkningens bevegelser, analysearbeid og forskning. Dette skal fremgå av en protokoll, sier direktør Bjørn Erik Thon.
Når det gjelder risiko- og sårbarhetsanalysen (ROS-analysen), mangler det vurderinger for sentrale deler av løsningen: befolkningsvarsling ved covid-19-smitte, anonymisering av personopplysninger og analysearbeid. Formålet med en slik analyse er å få frem risikoen ved en teknisk løsning, slik at man kan iverksette risikoreduserende tiltak. Først nå risikoen er kjent, kan man ta stilling til om løsningen og en eventuell restrisiko er akseptabel.
- Folkehelseinstituttet har ikke dokumentert at disse nødvendige vurderingene av sentrale deler av løsningen er gjort før Smittestopp ble anskaffet og gjort tilgjengelig for befolkningen, sier Thon.
Datatilsynet fortsetter arbeidet med kontrollsaken mot FHI og appen Smittestopp. Vi vil blant annet se videre på problemstillinger knyttet til formål, nytteverdi, innsamling og lagring av personopplysninger, samt sikkerhet i løsningen.