Veiledning om apper til støtte for bekjempelse av Covid-19-pandemien i forbindelse med databeskyttelse

Veiledning om apper til støtte for bekjempelse av Covid-19-pandemien i forbindelse med databeskyttelse

Europakommisjonen har skrevet en veiledning om personopplysningsvern i forbindelse med utviklingen av nye apper som brukes i bekjempelsen av koronaviruset. Dette er den norske oversettelsen av pressemeldingen og veiledningen.

Pressemelding

Utviklingen av slike apper, og innbyggernes bruk av dem, kan ha stor betydning for håndteringen av viruset. Det kan spille en viktig rolle i strategier for letting av tiltak som begrenser bevegelsesfriheten ved å supplere andre tiltak, slik som økt testkapasitet.

Det er viktig å sikre at EU-borgere fullt ut kan stole på slike innovative digitale løsninger, og at de kan bruke dem uten frykt. Det er nødvendig med størst mulig deltakelse blant EU-borgere for å kunne utnytte det fulle potensialet av sporingsapper.

EU-reglene, spesielt personvernforordningen (GDPR) og kommunikasjonsverndirektivet (ePrivacy-direktivet), gir de beste garantiene for tillit slik at disse appene skal kunne brukes bredt og nøyaktig (for eksempel frivillig bruk, dataminimering og tidsbegrensning). Denne veiledningen har som mål å skape de rammene som er nødvendige for å sikre tilstrekkelig beskyttelse av borgernes personopplysninger og begrense inngrepets størrelse når denne typen apper brukes. Det europeiske Personvernrådet har blitt hørt i forbindelse med utkastet til veiledningen.

Ved å bruke disse standardene kan slike verktøys fulle effektivitet og overholdelse av reglene sikres – også i krisetider.

Tillit er nøkkelen

Visepresidenten for verdier og gjennomsiktighet i Europakommisjonen, Věra Jourová, har uttalt: «Dette er den første globale krisen hvor vi kan utnytte teknologiens muligheter fullt ut til å tilby effektive løsninger og støtte strategier for å bekjempe pandemien. Europeernes tillitt vil være nøkkelen til suksess for bruken av sporingsapper. Overholdelse av EUs regler for personopplysningsvern vil bidra til å sikre at vårt privatliv og fundamentale rettigheter vil opprettholdes, og den europeiske tilnærmingen vil være gjennomsiktig og forholdsmessig.»

Kommissæren for rettslige anliggender i Kommisjonen, Didier Reynders, har sagt: «Bruken av mobilapper har potensiale til å virkelig bidra i kampen mot koronaviruset, for eksempel ved å hjelpe brukere til å diagnostisere seg selv, ved å være et trygt kommunikasjonsmiddel mellom leger og pasienter, ved å varsle brukere som står i fare for å bli smittet av viruset og for å hjelpe oss med å lette på tiltakene som begrenser bevegelsesfriheten. Samtidig er det snakk om å samle inn svært sensitive data om innbyggernes helse, og vi er pliktige til å beskytte disse. Vår veiledning skal bidra til en sikker utvikling av apper og skal beskytte våre innbyggeres personopplysninger i samsvar med EUs strenge regler for personopplysningsvern. Vi vil komme ut av helsekrisen med våre grunnleggende rettigheter i behold.»

Hvilken type apper og funksjoner er det snakk om?

Veiledningen har fokus på frivillige apper med én eller flere av de følgende funksjonene:

  • korrekt informasjon til brukere om koronaviruspandemien,
  • spørreskjemaer for selvevaluering og veiledning til enkeltpersoner (symptomsjekkingsfunksjonalitet),
  • varsler for folk som har vært i nærheten av en smittet person om å teste seg eller isolere seg (kontaktsporings- og advarselsfunksjon) og
  • et kommunikasjonsforum mellom leger og pasienter i isolasjon, herunder videre diagnose og behandlingsråd (telemedisin).

Viktige forutsetninger

  1. De nasjonale helsemyndighetenes rolle: Det skal fra starten av være tydelig hvem som er ansvarlig for å overholde EUs regler for personopplysningsvern. På grunn av dataenes høysensitive karakter og appenes endelige formål, finner Kommisjonen at de nasjonale helsemyndighetene bør påta seg denne rollen. De vil da være ansvarlige for å sikre at bruken av innsamlet data er i samsvar med personvernforordningen (GDPR), i tillegg til å tilby brukerne tilstrekkelig informasjon i forbindelse med databehandlingen.
  2. Brukere har fortsatt full kontroll over sine personopplysninger: Det skal være frivillig for brukerne å installere en app på sin enhet. Brukeren skal kunne gi separat samtykke til hver funksjon i appen. Hvis nærhetsdata brukes bør disse lagres på brukerens enhet og kun deles med brukerens samtykke. Brukere skal kunne utøve sine rettigheter i henhold til personvernforordningen.
  3. Begrenset bruk av personopplysninger: En app skal følge prinsippet om dataminimering, hvilket betyr at det kun samles inn og behandles personopplysninger som er relevante for og begrenset til det aktuelle formålet. Kommisjonen mener lokasjonsdata ikke er nødvendig for formålet med kontakt- og smittesporing og anbefaler at lokasjonsdata ikke brukes i denne forbindelse.
  4. Strenge grenser for datalagring: Personopplysninger skal ikke lagres lenger enn nødvendig. Tidsfristene bør settes på bakgrunn av medisinsk relevans og den tid som det forventelig vil ta å treffe de nødvendige administrative tiltak.
  5. Datasikkerhet: Data bør lagres på brukerens enhet og være kryptert.
  6. Sikring av den behandlede dataenss nøyaktighet: Det er et vilkår i henhold til EUs regler om personopplysningsvern at enhver personopplysning som behandles av en tredjepart, skal være korrekt. For å sikre størst mulig nøyaktighet, hvilket også er avgjørende for effektiviteten av kontaktsporingsapper, bør teknologi som bluetooth brukes for å gi en mer nøyaktig vurdering av enkeltpersoners kontakt med hverandre.
  7. De nasjonale datatilsynsmyndighetenes rolle: Datatilsynsmyndigheter bør fullt ut involveres og høres i forbindelse med utviklingen av apper og bør løpende følge med på utvikling og bruk av disse appene.