Elementer for å sikre tillitsfull og ansvarlig bruk av apper

Funksjonene i appene kan ha ulik effekt på en rekke rettigheter nedfelt i EUs Charter of Fundamental Rights, slik som menneskeverd, respekt for privatliv og familieliv, personopplysningsvern, bevegelsesfrihet, ikke-diskriminering, frihet til å drive virksomhet og forsamlings- og foreningsfrihet. Inngrepet i privatlivets fred og retten til personopplysningsvern kan være av særlig betydning gitt at noen av funksjonene er basert på en dataintensiv modell.

Det som presenteres under skal gi veiledning om hvordan man kan begrense omfanget av appfunksjonenes inngrep for å sikre overholdelse av EUs lovgivning om personopplysningsvern og privatlivets fred.

Nasjonale helsemyndigheter (eller organer som ivaretar oppgaver av offentlig interesse på helseområdet) som behandlingsansvarlig

Identifisering av hvem som tar stilling til middel og formål med behandlingen av personopplysninger (den behandlingsansvarlige), er avgjørende for å fastslå hvem som er ansvarlig for å overholde EUs regler om personopplysningsvern. Dette gjelder spesielt hvem som skal gi informasjon til brukerne som laster ned appen om hva som vil skje med deres personopplysninger (allerede eksisterende opplysninger eller dem som skal genereres gjennom enheten, slik som en smarttelefon hvor appen blir installert), hvilke rettigheter de har, hvem som er ansvarlig ved eventuelle brudd på informasjonssikkerheten og så videre.

På grunn av personopplysningenes sensitivitet og formålet med behandlingen beskrevet under, mener Kommisjonen at appene bør designes slik at de nasjonale helsemyndighetene (eller organer som ivaretar oppgaver av offentlig interesse på helseområdet) er de behandlingsansvarlige (se fortalepunkt 45 i personvernforordningen). De behandlingsansvarlige er ansvarlige for overholdelse av personvernregelverket (ansvarlighetsprinsippet). Omfanget av slik tilgang bør begrenses basert på prinsippene beskrevet lenger nede.

Dette vil også bidra til større grad av tillit i befolkningen og derfor aksept av appene (og underliggende smittekjederelaterte informasjonssystemer), og det vil sikre at de oppfyller det tiltenkte målet om å beskytte folkehelsen. De underliggende policyene, kravene og kontrollene bør samordnes og innføres på en koordinert måte av de ansvarlige nasjonale helsemyndighetene.

Sikring av at den enkelte borger beholder kontrollen

En avgjørende faktor for at enkeltpersoner skal stole på appene, er at man kan vise at folk har kontroll over egne personopplysninger. For å sikre dette, mener Kommisjonen at spesielt følgende bør være tilstede:

• Installeringen av appen bør være frivillig og uten noen negative konsekvenser for dem som velger å ikke laste ned/bruke appen.
• Ulike appfunksjoner (f.eks. informasjons-, symptomsjekker-, kontaktsporings- og varslingsfunksjoner) bør ikke samles under ett – det bør være mulig for brukeren å gi separate samtykker til hver enkelt funksjon. Dette bør ikke hindre brukeren fra å kombinere ulike appfunksjoner hvis dette tilbys som et alternativ.
• Hvis det brukes nærhetsdata (data generert ved utveksling av Bluetooth Low Energy-signaler (BLE) mellom enheter innenfor en epidemiologisk relevant avstand og i en epidemiologisk relevant periode), bør disse lagres lokalt på brukerens enhet. Hvis disse dataene skal deles med helsemyndigheter, bør de kun deles etter at det er bekreftet at personen er smittet med COVID-19, og under forutsetning av at han/hun velger å dele dem.
• Helsemyndigheter bør gi de enkelte brukerne all nødvendig informasjon i forbindelse med behandlingen av personopplysninger (jf. artikkel 12 og 13 i personvernforordningen og artikkel 5 i kommunikasjonsverndirektivet).
• Den enkelte bruker skal kunne ivareta sine rettigheter etter personvernregelverket (spesielt innsyn, retting og sletting). Eventuelle begrensninger i rettighetene etter personvernforordningen eller kommunikasjonsverndirektivet skal være i overensstemmelse med rettsaktene og være nødvendige, forholdsmessige og fastsatt i lovgivningen.
• Appene skal deaktiveres senest når pandemien erklæres å være under kontroll. Deaktiveringen skal ikke avhenge av brukerens avinstallering.

Rettslig grunnlag for behandling

Installering av apper og lagring av informasjon på brukerens enhet

Som påpekt over er det kun tillatt etter kommunikasjonsdirektivet (art. 5) å lagre informasjon på brukerens enhet eller få tilgang til informasjon som allerede er lagret hvis:

1. brukeren har gitt samtykke eller
2. lagringen og/eller tilgangen er strengt nødvendig for en informasjonssamfunnstjeneste (f.eks. appen) som brukeren eksplisitt har bedt om (f.eks. installert og aktivert).

Lagring av opplysninger på brukerens enhet og tilgang til informasjon som allerede finnes på enheten er normalt nødvendig for at appene skal fungere. Kontaktsporings- og varslingsfunksjonene krever i tillegg at noe annen informasjon må lagres på brukerens enhet (f.eks. midlertidige, periodisk endrende ID-er for brukere av denne funksjonen i nærheten). Videre kan funksjonen kreve at (smittede eller sannsynlig smittede) brukere laster opp nærhetsdata. Slik opplastning er ikke nødvendig for appens funksjon som sådan. Følgelig er ikke vilkårene under mulighet (2) over oppfylt. Det betyr at samtykke (mulighet (1)) er det passende grunnlaget handlingen.

Samtykket skal være frivillig, spesifikt, informert og utvetydig. Det skal gis gjennom en klar og tydelig bekreftelse fra brukeren, hvilket utelukker stilltiende samtykke (f.eks. taushet eller inaktivitet).
Se veiledning fra Personvernrådet om samtykke

Rettslig grunnlag for nasjonale helsemyndigheters behandling – EU-lovgivning eller nasjonal lovgivning

Nasjonale helsemyndigheter behandler typisk personopplysninger når det:

• foreligger en rettslig forpliktelse etter EU-retten eller nasjonal lovgivning som krever slik behandling (og som oppfyller vilkårene i personvernforordningen art. 6 nr. 1 bokstav c og art. 9 nr. 2 bokstav i),
• eller når slik behandling er nødvendig for å gjennomføre en oppgave i allmenhetens interesse som er anerkjent av EU-lovgivning eller nasjonal lovgivning (personvernforordningen art. 6 nr. 1 bokstav e).

Nasjonal lovgivning må komme med spesifikke og passende tiltak som beskytter de registrertes rettigheter og friheter. En generell regel er at jo større inngrep som gjøres i de registrertes friheter, jo sterkere garantier skal det stilles i den aktuelle lovgivningen.

EU- og medlemsstatslovgivning som fantes før utbruddet av COVID-19 og lovgivning som medlemslandene vedtar spesielt for bekjempelsen av epidemiens spredning, kan i prinsippet brukes som rettslig grunnlag for behandlingen av enkeltpersoners opplysninger, hvis det skjer i forbindelse med tiltak som muliggjør overvåking av epidemien, og hvis denne lovgivningen oppfyller vilkårene etter personvernforordningen art. 6 nr. 3.

Tatt i betraktning personopplysningenes karakter (spesielt helseopplysninger som særlige kategorier av personopplysninger), i tillegg til forholdene rundt COVID-19-pandemien, vil det å bruke lovgivning som rettslig grunnlag bidra til rettssikkerhet. Dette fordi den:

• på detaljert måte vil foreskrive behandlingen av spesifikke helsedata og tydelig spesifisere formålene for behandlingen,
• tydelig vil bestemme hvem som er den behandlingsansvarlige, dvs. virksomheten som behandler opplysningene og hvem, utover den behandlingsansvarlige, som kan få tilgang til slike data,
• utelukker muligheten til å behandle slike opplysninger til andre formål enn dem som er bestemt i lovgivningen, og
• stiller spesifikke garantier.

For å ikke undergrave offentlighetens nytte og aksept av appene, bør den nasjonale lovgiver være spesielt oppmerksom på å gjøre den valgte løsningen så inkluderende overfor innbyggerne som mulig.

Helsemyndighetenes behandling av opplysninger med lovgivning som rettslig grunnlag, endrer ikke det faktum at den enkelte borger fortsatt fritt kan velge om han/hun ønsker å installere appen eller ikke, og om vedkommende ønsker å dele dataene med helsemyndighetene. Det skal derfor ikke få negative konsekvenser for brukere som velger å avinstallere appen.

Kontaktsporings- og varslingsapper gir mulighet for å advare/varsle enkeltpersoner. Når denne varslingen skjer direkte gjennom appen, vil Kommisjonen minne om forbudet mot å gjøre enkeltpersoner til gjenstand for en avgjørelse som er utelukkende basert på automatisk behandling, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende (personvernforordningen art. 22).

Dataminimering

Dataene som genereres via enhetene og data som allerede var lagret på enheten, er beskyttet på følgende måter:

• Som «personopplysninger» (opplysninger om en identifisert eller identifiserbar fysisk person) er de beskyttet i henhold til personvernforordningen. Helseopplysninger nyter ekstra beskyttelse.
• Som «lokasjonsdata» (data som behandles i et kommunikasjonsnettverk eller av en elektronisk kommunikasjonstjeneste og som angir den geografiske posisjonen til brukerens terminalutstyr) er de beskyttet under kommunikasjonsverndirektivet (art. 5 nr. 1, 6 og 9).
• All informasjon som er lagret i og hentet fra brukerens terminalutstyr er beskyttet etter kommunikasjonsdirektivet art. 5 nr. 3.

Ikke-personlig data (slik som irreversibelt anonymiserte data) er ikke beskyttet etter personvernforordningen.

Kommisjonen viser til at prinsippet om dataminimering krever at kun personopplysninger som er adekvate, relevante og begrenset til det som er nødvendig for formålet kan behandles. En vurdering av nødvendigheten av behandlingen av personopplysninger og relevansen av slike personopplysninger, skal utføres i lys av det eller de formålene som følges.

Kommisjonen bemerker som eksempel at hvis formålet med funksjonen er symptomsjekking eller telemedisin, krever ikke disse formålene tilgang til kontaktlisten brukeren har på enheten.

Ved å generere og behandle mindre data begrenser man sikkerhetsrisiko. Overholdelse av dataminimeringstiltak vil derfor også gi sikkerhetsgarantier.

Informasjonsfunksjon

En app som utelukkende har denne funksjonen, vil ikke trenge å behandle noen helseopplysninger om enkeltpersoner. Den vil utelukkende gi informasjon. For å oppnå formålet skal ingen informasjon lagret på eller hentet fra terminalutstyr behandles, annet enn det som måtte være nødvendig for å gi informasjonen.

Symptomsjekke- og telemedisinfunksjon

Hvis appen har én av eller begge disse funksjonene, vil den behandle helseopplysninger. Derfor bør en liste over data som kan behandles spesifiseres i lovgivningen som ligger til grunn for helsemyndighetenes behandling.

I tillegg kan det være at helsemyndighetene trenger telefonnumrene til brukerne som har benyttet seg av symptomsjekkefunksjonen og lastet opp sine resultater. Informasjon lagret på eller hentet fra terminalutstyr kan kun behandles i den utstrekning det er nødvendig for at appen skal fungere etter formålet.

Kontaktsporings- og varslingsfunksjon

Majoriteten av COVID-19-smittetilfellene skjer via dråper som beveger seg over en begrenset avstand. Det er derfor av avgjørende betydning å identifisere personer som har vært i nærheten av en smittet person så fort som mulig, for å bryte smittekjeden. Vurderingen av hvilken avstand og hvilken tidslengde som skal legges til grunn bør gjøres på epidemiologisk grunnlag. Å bryte smittekjeden er særlig viktig for å unngå oppblussing av smitte i gjenåpningsfasen.

Nærhetsdata kan være nødvendig for dette formålet. For å måle nærkontakt og avstand virker Bluetooth Low Energy (BLE) å være mer presis og derfor mer passende å bruke, enn geolokasjonsdata (GNSS/GPS, eller mobillokaliseringsdata). BLE gjør det mulig å unngå sporing (i motsetning til geolokasjonsdata). Kommisjonen anbefaler derfor at det brukes BLE-kommunikasjonsdata (eller data generert med liknende teknologi) for å spore nærkontakt.

Lokasjonsdata er ikke nødvendig for kontaktsporingsfunksjoner, fordi deres formål ikke er å følge enkeltindividers bevegelser eller å håndheve regler. Det vil dessuten være vanskelig å legitimere behandling av lokasjonsdata i forbindelse med kontaktsporing sett i lys av dataminimeringsprinsippet, og det kan skape sikkerhets- og personversutfordringer. Av denne grunn anbefaler Kommisjonen at man ikke bruker lokasjonsdata i denne konteksten.

Uavhengig av hvilke tekniske virkemidler som benyttes for å spore nærkontakt, fremstår det ikke som nødvendig å lagre det eksakte tidspunkt kontakten skjedde eller hvilket sted (hvis tilgjengelig). Det kan likevel være nyttig å lagre hvilken dag kontakten skjedde for å avgjøre om kontakten skjedde mens personen utviklet symptomer (eller 48 timer før siden man er smittsom i 48 timer før symptomene vises), og for å utforme den oppfølgende beskjeden med rådgivning om hvor lenge vedkommende skal i karantene.

Nærhetsdata bør kun genereres og behandles hvis det er en faktisk risiko for smitte (avhengig av nærhet og varighet av kontakt).

Det bør bemerkes at nødvendigheten og proporsjonaliteten av innsamlingen av data vil avhenge av faktorer som for eksempel i hvilken utstrekning testmuligheter er tilgjengelige, spesielt når tiltak som karantene allerede er bestemt. Varsling av personer som har vært i nærkontakt med en smittet person kan gjøres på to måter:

Ved den første tilnærmingen sendes et varsel automatisk via appen til nærkontaktene når en bruker varsler appen om at han eller hun har testet positivt, med godkjenning eller bekreftelse fra helsemyndigheter, eksempelvis via en QR- eller TAN-kode (desentralisert behandling). Innholdet i varslet bør helst utformes av helsemyndighetene. Ved den andre tilnærmingen lagres de vilkårlige, midlertidige identifikatorene på en backend-server hos helsemyndighetene (backend-serverløsningen). Brukere kan ikke identifiseres direkte gjennom disse dataene. Brukere som har vært i nærkontakt med en som er bekreftet smittet, vil ved hjelp av identifikatorene bli varslet på sin enhet. Hvis helsemyndighetene også ønsker å kontakte brukere som har vært i nærkontakt med en smittet person via telefon eller SMS, må de innhente samtykke fra disse brukerne til å hente inn telefonnumrene deres.

Begrense utlevering/tilgang til data

Informasjonsfunksjon

Ingen informasjon lagret på eller hentet fra terminalutstyr, kan deles med helsemyndighetene annet enn når det er nødvendig for informasjonsfunksjonen. Fordi denne funksjonen kun legger til rette for kommunikasjon, vil helsemyndighetene ikke få tilgang til andre data.

Symptomsjekke- og telemedisinfunksjon

Symptomsjekkefunksjonen kan være nyttig for at medlemsstatene skal kunne gi veiledning til sine innbyggere om hvorvidt de bør testes, eller gi informasjon om isolasjon og om når og hvordan man skal oppsøke helsehjelp, spesielt for risikogrupper. Denne funksjonen kan også supplere overvåkingen som gjøres i primærhelsetjenesten, og bidra til å gi et bilde av virusets smitterate i befolkningen. Det kan derfor bestemmes at de ansvarlige helsemyndighetene og nasjonale smittevernsmyndigheter kan få tilgang til informasjonen som er gitt av pasienten. ECDC kan motta aggregert data fra de nasjonale myndighetene med ansvar for smittevernsovervåking.

Hvis man velger å tillate kontakt med helsearbeidere fremfor kun via appen i seg selv, er det også nødvendig å oppgi brukernes telefonnummer til de nasjonale helsemyndighetene.

Kontaktsporings- og varslingsfunksjon

Den smittede personens opplysninger

Appene genererer pseudo-vilkårlig flyktige og periodisk endrende identifikatorer for de telefonene som er i kontakt med brukeren. Et alternativ er at identifikatorene blir lagret på brukerens enhet (såkalt desentralisert behandling). Et annet alternativ er at disse midlertidige identifikatorene lagres på en server som helsemyndighetene har tilgang til (såkalt backend-serverløsning). Den desentraliserte løsningen er mer i tråd med prinsippet om dataminimering. Helsemyndigheter bør kun ha tilgang til nærhetsdata fra enheten til en smittet person for å kunne kontakte personer som kan ha blitt smittet.

Disse dataene vil kun være tilgjengelige for helsemyndighetene etter at den smittede personen (etter vedkommende er testet) proaktivt deler disse dataene med dem.

Den smittede personen skal ikke få informasjon om identiteten til dem han/hun potensielt har smittet og som dermed skal varsles.

Opplysninger om dem som har vært i (epidemiologisk) nærkontakt med en smittet person

Identiteten til den smittede skal ikke utleveres til de personene han/hun har vært i nærkontakt med. Det er tilstrekkelig å gi dem beskjed om at de har vært i epidemiologisk nærkontakt med en smittet person i løpet av de foregående 16 dagene. Som bemerket over skal data om tidspunkt og sted for nærkontakten ikke lagres. Det er derfor heller ikke hverken relevant eller mulig å kommunisere disse dataene.

For oppsporing av epidemiologiske kontakter til en appbruker som er bekreftet smittet, bør de nasjonale helsemyndighetene kun få informasjon om identifikatoren til personen som den smittede har vært i kontakt med fra 48 timer før symptomene oppsto til 14 dager etter symptomene oppsto, på grunnlag av nærhet og varighet av kontakten.

ECDC kan motta aggregert data fra de nasjonale myndighetene med ansvar for smittevernsovervåking om indikatorer definert i samarbeid med medlemsstatene.

Fastleggelse av de presise formålene med behandlingen

Det rettslige grunnlaget (EU-lovgivning eller medlemsstatslovgivning) bør fastsette formålet med behandlingen. Formålet skal være spesifikt, slik at det ikke er noen tvil om hvilken type personopplysninger som er nødvendige å behandle for å nå det ønskede målet.

Det/de spesifikke formålet/formålene vil avhenge av appens funksjoner. Det kan være at det foreligger flere formål for hver funksjonalitet i en app. For å kunne gi enkeltpersoner full kontroll over sine data, anbefaler Kommisjonen at man ikke samler ulike funksjoner i ett. Under enhver omstendighet skal den enkelte ha muligheten til å velge mellom de ulike funksjonene med hvert sitt formål.

Kommisjonen fraråder at dataene som samles inn etter de ovenstående betingelsene brukes til andre formål enn kampen mot COVID-19. Dersom formål slik som vitenskapelig forskning og statistikk skulle bli nødvendige, bør de inkluderes i den opprinnelige listen over formål og kommuniseres tydelig til brukerne.

Informasjonsfunksjon

Formålet med denne funksjonen er å gi informasjon som er relevant fra helsemyndighetenes ståsted i forbindelse med krisen.

Symptomsjekke- og telemedisinfunksjon

Symptomsjekkefunksjonen kan gi en indikasjon på hvor mange av dem som rapporterer om COVID-19-symptomer, som faktisk er smittede (f.eks. ved testing av alle eller et tilfeldig utvalg personer med slike symptomer, hvis man har kapasitet til det). Denne identifiseringen av formålet skal gjøre det klart at helseopplysninger vil behandles for å

1. gi enkeltpersoner muligheten til å selv vurdere om de har symptomer på COVID-19, basert på et en rekke spørsmål, eller
2. oppsøke legehjelp hvis man har utviklet symptomer på COVID-19.

Kontaktsporings- og varslingsfunksjon

Å angi formålet som «forebygging av ytterligere COVID-19-smitte» er ikke spesifikt nok. I dette tilfellet anbefaler Kommisjonen at man spesifiserer tydeligere, for eksempel: «oppbevaring av kontakter for de personene som bruker applikasjonen og som kan ha vært eksponert for COVID-19-smitte, for å kunne advare personer som kan ha blitt smittet».

Fastsetting av strenge begrensninger for datalagring

Prinsippet om lagringsbegrensning krever at personopplysninger ikke lagres lenger enn nødvendig. Tidsfrister bør settes på bakgrunn av medisinsk relevans (avhengig av appens formål, inkubasjonstid og lignende) i tillegg til den tiden det realistisk sett vil ta å fatte nødvendige administrative tiltak.

Informasjonsfunksjon

Hvis det samles inn data mens man installerer denne funksjonen, skal det slettes umiddelbart. Det er ingen legitim grunn til å beholde slik data.

Symptomsjekke- og telemedisinfunksjon

Slik data bør slettes av helsemyndigheter etter maks en måned (inkubasjonstid pluss en margin), eller etter at personen er testet med negativt resultat. Helsemyndighetene kan beholde dataene i lengre tid for overvåkingsrapportering og forskning, forutsatt at det er i anonymisert form.

Kontaktsporings- og varslingsfunksjon

Nærhetsdata bør slettes så snart de ikke lenger er nødvendige for formålet om å varsle brukerne. Dette bør være tilfellet etter maks én måned (inkubasjonstid pluss en margin) eller etter at personen har testet negativt. Helsemyndighetene kan beholde nærhetsdata i lengre tid for overvåkingsrapportering og forskning, forutsatt at det er i anonymisert form.

Dataene bør lagres på brukerens enhet, og kun data som har blitt kommunisert av brukerne og som er nødvendig for å oppnå formålet, bør lastes opp på serveren som er tilgjengelig for helsemyndighetene når denne muligheten er valgt (det vil si at kun data om «nærkontakter» til en person som har testet positivt for COVID-19 skal lastes opp på serveren).

Ivaretakelse av datasikkerheten

Kommisjonen anbefaler at data bør lagres på enkeltpersonenes terminalenheter i en kryptert form, hvor man benytter de nyeste og sikreste krypteringsteknikkene. Dersom dataene lagres på en sentral server, skal tilgang, inkludert administrativ tilgang, logges.

Nærhetsdata bør kun genereres og lagres på brukerens terminalenhet i kryptert og pseudonymisert format. For å sikre seg mot sporing gjort av tredjeparter, bør det være mulig å aktivere bluetooth uten å aktivere andre lokaliseringstjenester.

Under innsamlingen av nærhetsdata via BLE, er det å foretrekke å lage og lagre midlertidige bruker-ID-er som endres jevnlig, heller enn å lagre den enhetens faktiske ID. Dette tiltaket gir ytterligere beskyttelse mot avlytting og sporing utført av hackere og gjør det derfor vanskeligere å identifisere enkeltpersoner.

Kommisjonen anbefaler at appens kildekode skal offentliggjøres og gjøres tilgjengelig for gjennomgang.

Ytterligere tiltak for å sikre dataene som behandles kan særlig være automatisk sletting eller anonymisering av dataene etter et bestemt tidspunkt. Som et generelt prinsipp bør graden av sikkerhet svare til mengden av personopplysningene som behandles og hvor sensitive disse er.

All overføring fra den personlige enheten til nasjonale helsemyndigheter skal være kryptert.

Der nasjonal lovgivning bestemmer at personopplysningene som samles inn også kan behandles for formål knyttet til vitenskapelig forskning, bør i prinsippet pseudonymisering brukes.

Sikring av dataenes nøyaktighet

Å sikre nøyaktigheten av dataene som behandles, er ikke bare en forutsetning for appens effektivitet, men også et krav etter lovgivningen om personopplysningsvern.

I denne sammenhengen er det avgjørende å sikre nøyaktigheten av informasjon om hvorvidt kontakt med en smittet person har funnet sted (epidemiologisk avstand og tid), for å minimere risikoen for falske positiver. Dette bør omfatte scenarier der to brukere av appen er i kontakt på gaten, på offentlig transport eller i en bygning. Det er usannsynlig at lokaliseringsdata basert på mobilnettet er tilstrekkelig nøyaktig til dette formålet.

Det anbefales derfor at man baserer seg på teknologi som kan gi et mer presist bilde av kontakten (slik som Bluetooth).

Involvering av databeskyttelsesmyndigheter

Datatilsynsmyndighetene bør fullt ut involveres og konsulteres i forbindelse med utviklingen av apper, og de bør løpende følge med på appenes utrulling. Fordi behandlingen av data i forbindelse med appene vil være å regne som behandling i et stort omfang av særlige kategorier av data (helsedata), gjør Kommisjonen oppmerksom på personvernforordningens artikkel 35 om vurdering av personvernkonsekvenser.