Veiledning om apper til støtte for bekjempelse av Covid-19-pandemien i forbindelse med databeskyttelse

Veiledning om apper til støtte for bekjempelse av Covid-19-pandemien i forbindelse med databeskyttelse

Europakommisjonen har skrevet en veiledning om personopplysningsvern i forbindelse med utviklingen av nye apper som brukes i bekjempelsen av koronaviruset. Dette er den norske oversettelsen av pressemeldingen og veiledningen.

Pressemelding

Utviklingen av slike apper, og innbyggernes bruk av dem, kan ha stor betydning for håndteringen av viruset. Det kan spille en viktig rolle i strategier for letting av tiltak som begrenser bevegelsesfriheten ved å supplere andre tiltak, slik som økt testkapasitet.

Det er viktig å sikre at EU-borgere fullt ut kan stole på slike innovative digitale løsninger, og at de kan bruke dem uten frykt. Det er nødvendig med størst mulig deltakelse blant EU-borgere for å kunne utnytte det fulle potensialet av sporingsapper.

EU-reglene, spesielt personvernforordningen (GDPR) og kommunikasjonsverndirektivet (ePrivacy-direktivet), gir de beste garantiene for tillit slik at disse appene skal kunne brukes bredt og nøyaktig (for eksempel frivillig bruk, dataminimering og tidsbegrensning). Denne veiledningen har som mål å skape de rammene som er nødvendige for å sikre tilstrekkelig beskyttelse av borgernes personopplysninger og begrense inngrepets størrelse når denne typen apper brukes. Det europeiske Personvernrådet har blitt hørt i forbindelse med utkastet til veiledningen.

Ved å bruke disse standardene kan slike verktøys fulle effektivitet og overholdelse av reglene sikres – også i krisetider.

Tillit er nøkkelen

Visepresidenten for verdier og gjennomsiktighet i Europakommisjonen, Věra Jourová, har uttalt: «Dette er den første globale krisen hvor vi kan utnytte teknologiens muligheter fullt ut til å tilby effektive løsninger og støtte strategier for å bekjempe pandemien. Europeernes tillitt vil være nøkkelen til suksess for bruken av sporingsapper. Overholdelse av EUs regler for personopplysningsvern vil bidra til å sikre at vårt privatliv og fundamentale rettigheter vil opprettholdes, og den europeiske tilnærmingen vil være gjennomsiktig og forholdsmessig.»

Kommissæren for rettslige anliggender i Kommisjonen, Didier Reynders, har sagt: «Bruken av mobilapper har potensiale til å virkelig bidra i kampen mot koronaviruset, for eksempel ved å hjelpe brukere til å diagnostisere seg selv, ved å være et trygt kommunikasjonsmiddel mellom leger og pasienter, ved å varsle brukere som står i fare for å bli smittet av viruset og for å hjelpe oss med å lette på tiltakene som begrenser bevegelsesfriheten. Samtidig er det snakk om å samle inn svært sensitive data om innbyggernes helse, og vi er pliktige til å beskytte disse. Vår veiledning skal bidra til en sikker utvikling av apper og skal beskytte våre innbyggeres personopplysninger i samsvar med EUs strenge regler for personopplysningsvern. Vi vil komme ut av helsekrisen med våre grunnleggende rettigheter i behold.»

Hvilken type apper og funksjoner er det snakk om?

Veiledningen har fokus på frivillige apper med én eller flere av de følgende funksjonene:

  • korrekt informasjon til brukere om koronaviruspandemien,
  • spørreskjemaer for selvevaluering og veiledning til enkeltpersoner (symptomsjekkingsfunksjonalitet),
  • varsler for folk som har vært i nærheten av en smittet person om å teste seg eller isolere seg (kontaktsporings- og advarselsfunksjon) og
  • et kommunikasjonsforum mellom leger og pasienter i isolasjon, herunder videre diagnose og behandlingsråd (telemedisin).

Viktige forutsetninger

  1. De nasjonale helsemyndighetenes rolle: Det skal fra starten av være tydelig hvem som er ansvarlig for å overholde EUs regler for personopplysningsvern. På grunn av dataenes høysensitive karakter og appenes endelige formål, finner Kommisjonen at de nasjonale helsemyndighetene bør påta seg denne rollen. De vil da være ansvarlige for å sikre at bruken av innsamlet data er i samsvar med personvernforordningen (GDPR), i tillegg til å tilby brukerne tilstrekkelig informasjon i forbindelse med databehandlingen.
  2. Brukere har fortsatt full kontroll over sine personopplysninger: Det skal være frivillig for brukerne å installere en app på sin enhet. Brukeren skal kunne gi separat samtykke til hver funksjon i appen. Hvis nærhetsdata brukes bør disse lagres på brukerens enhet og kun deles med brukerens samtykke. Brukere skal kunne utøve sine rettigheter i henhold til personvernforordningen.
  3. Begrenset bruk av personopplysninger: En app skal følge prinsippet om dataminimering, hvilket betyr at det kun samles inn og behandles personopplysninger som er relevante for og begrenset til det aktuelle formålet. Kommisjonen mener lokasjonsdata ikke er nødvendig for formålet med kontakt- og smittesporing og anbefaler at lokasjonsdata ikke brukes i denne forbindelse.
  4. Strenge grenser for datalagring: Personopplysninger skal ikke lagres lenger enn nødvendig. Tidsfristene bør settes på bakgrunn av medisinsk relevans og den tid som det forventelig vil ta å treffe de nødvendige administrative tiltak.
  5. Datasikkerhet: Data bør lagres på brukerens enhet og være kryptert.
  6. Sikring av den behandlede dataenss nøyaktighet: Det er et vilkår i henhold til EUs regler om personopplysningsvern at enhver personopplysning som behandles av en tredjepart, skal være korrekt. For å sikre størst mulig nøyaktighet, hvilket også er avgjørende for effektiviteten av kontaktsporingsapper, bør teknologi som bluetooth brukes for å gi en mer nøyaktig vurdering av enkeltpersoners kontakt med hverandre.
  7. De nasjonale datatilsynsmyndighetenes rolle: Datatilsynsmyndigheter bør fullt ut involveres og høres i forbindelse med utviklingen av apper og bør løpende følge med på utvikling og bruk av disse appene.

Bakgrunn

COVID-19-pandemien har skapt utfordringer uten sidestykke for EU og medlemslandene, deres helsesystemer, livsstil, økonomisk stabilitet og verdier. Digital teknologi og data spiller en verdifull rolle i bekjempelsen av denne krisen. Mobilapplikasjoner som typisk installeres på smarttelefoner (apper), kan hjelpe offentlige helsemyndigheter på nasjonalt plan og på EU-nivå med å overvåke og begrense COVID-19-pandemien og er særlig relevant i fasen hvor man letter på tiltakene som begrenser bevegelsesfriheten. De kan gi direkte veiledning til innbyggere og støtte kontaktsporingstiltak. I en rekke land, både i og utenfor EU, har nasjonale eller regionale myndigheter eller utviklere kunngjort at de vil lansere applikasjoner med ulike funksjoner for å hjelpe til i bekjempelsen av viruset.

Den 8. april 2020 vedtok Kommisjonen en anbefaling om en felles EU-verktøykasse om bruken av teknologi og data for å bekjempe koronakrisen, spesielt i forbindelse med mobilapper og bruken av anonyme mobildata. Formålet med anbefalingen er blant annet å utvikle en felles europeisk tilnærming («verktøykasse») for bruken av mobilapper, koordinert på EU-nivå, som skal gjøre innbyggerne i stand til å gjøre effektive sosiale distanseringstiltak, og for å advare, forbygge og spore kontakter for å bidra til å begrense spredningen av COVID-19. Anbefalingen fastsetter noen generelle prinsipper som skal ligge til grunn for utviklingen av en slik verktøykasse og det fastsettes at Kommisjonen vil kunngjøre ytterligere retningslinjer, inkludert om personopplysningsvern- og personvernkonsekvensene ved bruken av applikasjoner på dette området.

Med en felles europeisk kjøreplan for letting av smittevernstiltak, kom Kommisjonen i samarbeid med presidenten for Det europeiske råd med en rekke prinsipper som skal være retningsgivende for utfasingen av smittevernstiltak i forbindelse med utbruddet.

Mobilapplikasjoner, inkludert kontaktsporingsfunksjoner, kan spille en viktig rolle i denne sammenhengen. Avhengig av applikasjonenes funksjoner og i hvilken grad befolkningen bruker dem, kan de ha en viktig rolle i sykdomsdiagnostisering, behandling og håndtering av COVID-19 både i og utenfor sykehusene. De er spesielt relevante når man opphever tiltak som begrenser bevegelsesfriheten og risikoen for smitte øker fordi flere og flere mennesker er i kontakt med hverandre. Disse applikasjonene kan bidra til å bryte smittekjeden raskere og mer effektivt enn alminnelige smittevernstiltak, og de kan redusere risikoen for spredning betydelig. De bør derfor være et viktig element i gjenåpningsstrategien ved å supplere andre tiltak slik som økt testkapasitet.

En viktig forutsetning for utvikling, aksept og bruk av slike apper av enkeltpersoner er tillit. Folk må kunne stole på at fundamentale rettigheter er sikret og at appene kun vil bli brukt for de spesifikt definerte formålene, at de ikke vil bli brukt til masseovervåking og at enkeltpersoner har kontroll over egne data. Dette er grunnlaget for nøyaktigheten og effektiviteten slike apper kan ha i bekjempelsen av spredningen av viruset. Det er derfor nødvendig å finne løsninger som er minst mulig inngripende og fullt ut i samsvar med kravene til personopplysningsvern og privatliv etter EU-lovgivningen. I tillegg skal appene deaktiveres senest når pandemien erklæres som under kontroll. Appene bør også inneholde avanserte informasjonssikkerhetstiltak.

Veiledningens virkeområde

For å sikre en ensartet tilnærming i hele EU og gi veiledning til medlemsstatene og apputviklere, beskriver denne veiledningen hvilke krav og funksjoner appene bør oppfylle for å sikre overholdelse av EU-reglene om personopplysningsvern og privatliv, spesielt personvernforordningen (GDPR) og kommunikasjonsverndirektivet (ePrivacy-direktivet). Denne veiledningen omfatter ikke ytterligere betingelser eller begrensninger som medlemsstatene kan ha i sin nasjonale lovgivning når det gjelder behandling av helseopplysninger.

Denne veiledningen tar hensyn til bidrag fra Personvernrådet og diskusjoner i e-helsenettverket.

Veiledningen er ikke juridisk bindende. Den berører ikke EU-domstolens rolle. EU-domstolen er den eneste institusjonen som kan gi en autoritativ tolkning av EU-retten.

Denne veiledningen gjelder kun frivillige apper til støtte for bekjempelsen av COVID-19-pandemien (apper som lastes ned, installeres og brukes på en frivillig basis av brukerne) med én eller flere av følgende funksjoner:

  • gi korrekt informasjon til brukere om koronaviruspandemien,
  • tilby spørreskjemaer til selvevaluering og til veiledning for enkeltpersoner (symptomsjekkefunksjonalitet),
  • varsler til personer som har vært i nærheten av en smittet person med en viss varighet for å gi informasjon som hvorvidt man skal gå i selvkarantene og hvor man kan bli testet (kontaktsporings- og advarselsfunksjon),
  • tilby et kommunikasjonsforum mellom pasienter og leger i situasjoner med selvisolasjon eller der videre diagnose og behandlingsråd blir tilbudt (økt bruk av telemedisin).

I henhold til kommunikasjonsverndirektivet er det kun mulig å pålegge bruk av en app som omfatter retten til kommunikasjonsfortrolighet etter artikkel 5 ved lovgivning som er nødvendig, passende og forholdsmessig med henblikk på å beskytte spesifikke mål. På grunn av den høye graden av inngripen en slik tilnærming vil innebære og utfordringene knyttet til det, inkludert utfordringen med å få på plass tilstrekkelige garantier, mener Kommisjonen at det er behov for en grundig analyse før en slik tilnærming velges. Kommisjonen anbefaler derfor at det brukes frivillige apper.

Denne veiledningen omfatter ikke apper som er ment til å håndheve karantenekrav (inkludert de som er obligatoriske).

Appenes bidrag i bekjempelse av COVID-19

Symptomsjekkefunksjonen er verktøy hvor offentlige helsemyndigheter kan gi råd til borgere om testing av COVID-19, gi informasjon om isolasjon eller gi informasjon om hvordan man unngår å smitte andre og om når man bør oppsøke helsehjelp. Den kan også supplere overvåkingen i primærhelsetjenesten og brukes til bedre informasjon om smitteraten i befolkningen.

Kontaktsporings- og varslingsfunksjoner er verktøy som kan identifisere personer som har vært i kontakt med en person som er smittet med COVID-19 og som kan informere om passende tiltak slik som selvkarantene, testing eller rådgivning om hva man skal gjøre dersom man får symptomer. Denne funksjonen er derfor nyttig både for enkeltpersoner og for helsemyndighetene. Den kan også spille en viktig rolle i håndteringen av smittevernstiltak i forbindelse med deeskalerings-scenarioer. Virkningen kan forsterkes med en strategi som støtter mer omfattende testing av personer med milde symptomer.

Begge funksjonene kan være relevante kilder til data for offentlige helsemyndigheter og lette overføringen av slik data til nasjonale smittevernsmyndigheter og til Det europeiske smittevernbyrået (ECDC). Dette vil bidra til å forstå smittemønstre og – hvis det kombineres med testresultater – estimere den positive prognoseverdien av luftveissymptomer i et gitt samfunn og således gi informasjon om omfanget av viruset i omløp.

Estimatenes grad av pålitelighet har direkte sammenheng med antallet og påliteligheten av data som har kommet inn.

Kombinert med passende teststrategier kan derfor både symptomsjekk- og kontaktsporingsfunksjonene gi opplysninger om omfanget av virustilfeller i omløp og bidra til å vurdere virkningen av sosial distansering og isolasjonstiltak. Som fastsatt i anbefalingen bør man sikre kompatibilitet mellom IT-løsningene i de forskjellige medlemslandene for å legge til rette for grenseoverskridende samarbeid og for å sikre kontaktsporing mellom brukere av ulike apper (hvilket er spesielt viktig når borgerne krysser grenser). Når en smittet person er i kontakt med en bruker med et annet lands app, bør det være mulig å sende personopplysninger om denne brukeren på tvers av grensene til det relevante medlemslandet, i det omfanget som er strengt nødvendig. Arbeid med denne problemstillingen vil være en del av verktøykassen som er kunngjort i anbefalingen.

Kompatibilitet bør sikres både når det gjelder tekniske krav og ved å forbedre kommunikasjonen og samarbeidet mellom de nasjonale helsemyndighetene. Det kan også brukes en modell for bestemt samarbeid som en styringsmodell for kontaktsporingsapper under COVID-19-pandemien.

Elementer for å sikre tillitsfull og ansvarlig bruk av apper

Funksjonene i appene kan ha ulik effekt på en rekke rettigheter nedfelt i EUs Charter of Fundamental Rights, slik som menneskeverd, respekt for privatliv og familieliv, personopplysningsvern, bevegelsesfrihet, ikke-diskriminering, frihet til å drive virksomhet og forsamlings- og foreningsfrihet. Inngrepet i privatlivets fred og retten til personopplysningsvern kan være av særlig betydning gitt at noen av funksjonene er basert på en dataintensiv modell.

Det som presenteres under skal gi veiledning om hvordan man kan begrense omfanget av appfunksjonenes inngrep for å sikre overholdelse av EUs lovgivning om personopplysningsvern og privatlivets fred.

Nasjonale helsemyndigheter (eller organer som ivaretar oppgaver av offentlig interesse på helseområdet) som behandlingsansvarlig

Identifisering av hvem som tar stilling til middel og formål med behandlingen av personopplysninger (den behandlingsansvarlige), er avgjørende for å fastslå hvem som er ansvarlig for å overholde EUs regler om personopplysningsvern. Dette gjelder spesielt hvem som skal gi informasjon til brukerne som laster ned appen om hva som vil skje med deres personopplysninger (allerede eksisterende opplysninger eller dem som skal genereres gjennom enheten, slik som en smarttelefon hvor appen blir installert), hvilke rettigheter de har, hvem som er ansvarlig ved eventuelle brudd på informasjonssikkerheten og så videre.

På grunn av personopplysningenes sensitivitet og formålet med behandlingen beskrevet under, mener Kommisjonen at appene bør designes slik at de nasjonale helsemyndighetene (eller organer som ivaretar oppgaver av offentlig interesse på helseområdet) er de behandlingsansvarlige (se fortalepunkt 45 i personvernforordningen). De behandlingsansvarlige er ansvarlige for overholdelse av personvernregelverket (ansvarlighetsprinsippet). Omfanget av slik tilgang bør begrenses basert på prinsippene beskrevet lenger nede.

Dette vil også bidra til større grad av tillit i befolkningen og derfor aksept av appene (og underliggende smittekjederelaterte informasjonssystemer), og det vil sikre at de oppfyller det tiltenkte målet om å beskytte folkehelsen. De underliggende policyene, kravene og kontrollene bør samordnes og innføres på en koordinert måte av de ansvarlige nasjonale helsemyndighetene.

Sikring av at den enkelte borger beholder kontrollen

En avgjørende faktor for at enkeltpersoner skal stole på appene, er at man kan vise at folk har kontroll over egne personopplysninger. For å sikre dette, mener Kommisjonen at spesielt følgende bør være tilstede:

  • Installeringen av appen bør være frivillig og uten noen negative konsekvenser for dem som velger å ikke laste ned/bruke appen.
  • Ulike appfunksjoner (f.eks. informasjons-, symptomsjekker-, kontaktsporings- og varslingsfunksjoner) bør ikke samles under ett – det bør være mulig for brukeren å gi separate samtykker til hver enkelt funksjon. Dette bør ikke hindre brukeren fra å kombinere ulike appfunksjoner hvis dette tilbys som et alternativ.
  • Hvis det brukes nærhetsdata (data generert ved utveksling av Bluetooth Low Energy-signaler (BLE) mellom enheter innenfor en epidemiologisk relevant avstand og i en epidemiologisk relevant periode), bør disse lagres lokalt på brukerens enhet. Hvis disse dataene skal deles med helsemyndigheter, bør de kun deles etter at det er bekreftet at personen er smittet med COVID-19, og under forutsetning av at han/hun velger å dele dem.
  • Helsemyndigheter bør gi de enkelte brukerne all nødvendig informasjon i forbindelse med behandlingen av personopplysninger (jf. artikkel 12 og 13 i personvernforordningen og artikkel 5 i kommunikasjonsverndirektivet).
  • Den enkelte bruker skal kunne ivareta sine rettigheter etter personvernregelverket (spesielt innsyn, retting og sletting). Eventuelle begrensninger i rettighetene etter personvernforordningen eller kommunikasjonsverndirektivet skal være i overensstemmelse med rettsaktene og være nødvendige, forholdsmessige og fastsatt i lovgivningen.
  • Appene skal deaktiveres senest når pandemien erklæres å være under kontroll. Deaktiveringen skal ikke avhenge av brukerens avinstallering.

Rettslig grunnlag for behandling

Installering av apper og lagring av informasjon på brukerens enhet

Som påpekt over er det kun tillatt etter kommunikasjonsdirektivet (art. 5) å lagre informasjon på brukerens enhet eller få tilgang til informasjon som allerede er lagret hvis:

  1. brukeren har gitt samtykke eller
  2. lagringen og/eller tilgangen er strengt nødvendig for en informasjonssamfunnstjeneste (f.eks. appen) som brukeren eksplisitt har bedt om (f.eks. installert og aktivert).

Lagring av opplysninger på brukerens enhet og tilgang til informasjon som allerede finnes på enheten er normalt nødvendig for at appene skal fungere. Kontaktsporings- og varslingsfunksjonene krever i tillegg at noe annen informasjon må lagres på brukerens enhet (f.eks. midlertidige, periodisk endrende ID-er for brukere av denne funksjonen i nærheten). Videre kan funksjonen kreve at (smittede eller sannsynlig smittede) brukere laster opp nærhetsdata. Slik opplastning er ikke nødvendig for appens funksjon som sådan. Følgelig er ikke vilkårene under mulighet (2) over oppfylt. Det betyr at samtykke (mulighet (1)) er det passende grunnlaget handlingen.

Samtykket skal være frivillig, spesifikt, informert og utvetydig. Det skal gis gjennom en klar og tydelig bekreftelse fra brukeren, hvilket utelukker stilltiende samtykke (f.eks. taushet eller inaktivitet).
Se veiledning fra Personvernrådet om samtykke

Rettslig grunnlag for nasjonale helsemyndigheters behandling – EU-lovgivning eller nasjonal lovgivning

Nasjonale helsemyndigheter behandler typisk personopplysninger når det:

  • foreligger en rettslig forpliktelse etter EU-retten eller nasjonal lovgivning som krever slik behandling (og som oppfyller vilkårene i personvernforordningen art. 6 nr. 1 bokstav c og art. 9 nr. 2 bokstav i),
  • eller når slik behandling er nødvendig for å gjennomføre en oppgave i allmenhetens interesse som er anerkjent av EU-lovgivning eller nasjonal lovgivning (personvernforordningen art. 6 nr. 1 bokstav e).

Nasjonal lovgivning må komme med spesifikke og passende tiltak som beskytter de registrertes rettigheter og friheter. En generell regel er at jo større inngrep som gjøres i de registrertes friheter, jo sterkere garantier skal det stilles i den aktuelle lovgivningen.

EU- og medlemsstatslovgivning som fantes før utbruddet av COVID-19 og lovgivning som medlemslandene vedtar spesielt for bekjempelsen av epidemiens spredning, kan i prinsippet brukes som rettslig grunnlag for behandlingen av enkeltpersoners opplysninger, hvis det skjer i forbindelse med tiltak som muliggjør overvåking av epidemien, og hvis denne lovgivningen oppfyller vilkårene etter personvernforordningen art. 6 nr. 3.

Tatt i betraktning personopplysningenes karakter (spesielt helseopplysninger som særlige kategorier av personopplysninger), i tillegg til forholdene rundt COVID-19-pandemien, vil det å bruke lovgivning som rettslig grunnlag bidra til rettssikkerhet. Dette fordi den:

  • på detaljert måte vil foreskrive behandlingen av spesifikke helsedata og tydelig spesifisere formålene for behandlingen,
  • tydelig vil bestemme hvem som er den behandlingsansvarlige, dvs. virksomheten som behandler opplysningene og hvem, utover den behandlingsansvarlige, som kan få tilgang til slike data,
  • utelukker muligheten til å behandle slike opplysninger til andre formål enn dem som er bestemt i lovgivningen, og
  • stiller spesifikke garantier.

For å ikke undergrave offentlighetens nytte og aksept av appene, bør den nasjonale lovgiver være spesielt oppmerksom på å gjøre den valgte løsningen så inkluderende overfor innbyggerne som mulig.

Helsemyndighetenes behandling av opplysninger med lovgivning som rettslig grunnlag, endrer ikke det faktum at den enkelte borger fortsatt fritt kan velge om han/hun ønsker å installere appen eller ikke, og om vedkommende ønsker å dele dataene med helsemyndighetene. Det skal derfor ikke få negative konsekvenser for brukere som velger å avinstallere appen.

Kontaktsporings- og varslingsapper gir mulighet for å advare/varsle enkeltpersoner. Når denne varslingen skjer direkte gjennom appen, vil Kommisjonen minne om forbudet mot å gjøre enkeltpersoner til gjenstand for en avgjørelse som er utelukkende basert på automatisk behandling, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende (personvernforordningen art. 22).

Dataminimering

Dataene som genereres via enhetene og data som allerede var lagret på enheten, er beskyttet på følgende måter:

  • Som «personopplysninger» (opplysninger om en identifisert eller identifiserbar fysisk person) er de beskyttet i henhold til personvernforordningen. Helseopplysninger nyter ekstra beskyttelse.
  • Som «lokasjonsdata» (data som behandles i et kommunikasjonsnettverk eller av en elektronisk kommunikasjonstjeneste og som angir den geografiske posisjonen til brukerens terminalutstyr) er de beskyttet under kommunikasjonsverndirektivet (art. 5 nr. 1, 6 og 9).
  • All informasjon som er lagret i og hentet fra brukerens terminalutstyr er beskyttet etter kommunikasjonsdirektivet art. 5 nr. 3.

Ikke-personlig data (slik som irreversibelt anonymiserte data) er ikke beskyttet etter personvernforordningen.

Kommisjonen viser til at prinsippet om dataminimering krever at kun personopplysninger som er adekvate, relevante og begrenset til det som er nødvendig for formålet kan behandles. En vurdering av nødvendigheten av behandlingen av personopplysninger og relevansen av slike personopplysninger, skal utføres i lys av det eller de formålene som følges.

Kommisjonen bemerker som eksempel at hvis formålet med funksjonen er symptomsjekking eller telemedisin, krever ikke disse formålene tilgang til kontaktlisten brukeren har på enheten.

Ved å generere og behandle mindre data begrenser man sikkerhetsrisiko. Overholdelse av dataminimeringstiltak vil derfor også gi sikkerhetsgarantier.

Informasjonsfunksjon

En app som utelukkende har denne funksjonen, vil ikke trenge å behandle noen helseopplysninger om enkeltpersoner. Den vil utelukkende gi informasjon. For å oppnå formålet skal ingen informasjon lagret på eller hentet fra terminalutstyr behandles, annet enn det som måtte være nødvendig for å gi informasjonen.

Symptomsjekke- og telemedisinfunksjon

Hvis appen har én av eller begge disse funksjonene, vil den behandle helseopplysninger. Derfor bør en liste over data som kan behandles spesifiseres i lovgivningen som ligger til grunn for helsemyndighetenes behandling.

I tillegg kan det være at helsemyndighetene trenger telefonnumrene til brukerne som har benyttet seg av symptomsjekkefunksjonen og lastet opp sine resultater. Informasjon lagret på eller hentet fra terminalutstyr kan kun behandles i den utstrekning det er nødvendig for at appen skal fungere etter formålet.

Kontaktsporings- og varslingsfunksjon

Majoriteten av COVID-19-smittetilfellene skjer via dråper som beveger seg over en begrenset avstand. Det er derfor av avgjørende betydning å identifisere personer som har vært i nærheten av en smittet person så fort som mulig, for å bryte smittekjeden. Vurderingen av hvilken avstand og hvilken tidslengde som skal legges til grunn bør gjøres på epidemiologisk grunnlag. Å bryte smittekjeden er særlig viktig for å unngå oppblussing av smitte i gjenåpningsfasen.

Nærhetsdata kan være nødvendig for dette formålet. For å måle nærkontakt og avstand virker Bluetooth Low Energy (BLE) å være mer presis og derfor mer passende å bruke, enn geolokasjonsdata (GNSS/GPS, eller mobillokaliseringsdata). BLE gjør det mulig å unngå sporing (i motsetning til geolokasjonsdata). Kommisjonen anbefaler derfor at det brukes BLE-kommunikasjonsdata (eller data generert med liknende teknologi) for å spore nærkontakt.

Lokasjonsdata er ikke nødvendig for kontaktsporingsfunksjoner, fordi deres formål ikke er å følge enkeltindividers bevegelser eller å håndheve regler. Det vil dessuten være vanskelig å legitimere behandling av lokasjonsdata i forbindelse med kontaktsporing sett i lys av dataminimeringsprinsippet, og det kan skape sikkerhets- og personversutfordringer. Av denne grunn anbefaler Kommisjonen at man ikke bruker lokasjonsdata i denne konteksten.

Uavhengig av hvilke tekniske virkemidler som benyttes for å spore nærkontakt, fremstår det ikke som nødvendig å lagre det eksakte tidspunkt kontakten skjedde eller hvilket sted (hvis tilgjengelig). Det kan likevel være nyttig å lagre hvilken dag kontakten skjedde for å avgjøre om kontakten skjedde mens personen utviklet symptomer (eller 48 timer før siden man er smittsom i 48 timer før symptomene vises), og for å utforme den oppfølgende beskjeden med rådgivning om hvor lenge vedkommende skal i karantene.

Nærhetsdata bør kun genereres og behandles hvis det er en faktisk risiko for smitte (avhengig av nærhet og varighet av kontakt).

Det bør bemerkes at nødvendigheten og proporsjonaliteten av innsamlingen av data vil avhenge av faktorer som for eksempel i hvilken utstrekning testmuligheter er tilgjengelige, spesielt når tiltak som karantene allerede er bestemt. Varsling av personer som har vært i nærkontakt med en smittet person kan gjøres på to måter:

Ved den første tilnærmingen sendes et varsel automatisk via appen til nærkontaktene når en bruker varsler appen om at han eller hun har testet positivt, med godkjenning eller bekreftelse fra helsemyndigheter, eksempelvis via en QR- eller TAN-kode (desentralisert behandling). Innholdet i varslet bør helst utformes av helsemyndighetene. Ved den andre tilnærmingen lagres de vilkårlige, midlertidige identifikatorene på en backend-server hos helsemyndighetene (backend-serverløsningen). Brukere kan ikke identifiseres direkte gjennom disse dataene. Brukere som har vært i nærkontakt med en som er bekreftet smittet, vil ved hjelp av identifikatorene bli varslet på sin enhet. Hvis helsemyndighetene også ønsker å kontakte brukere som har vært i nærkontakt med en smittet person via telefon eller SMS, må de innhente samtykke fra disse brukerne til å hente inn telefonnumrene deres.

Begrense utlevering/tilgang til data

Informasjonsfunksjon

Ingen informasjon lagret på eller hentet fra terminalutstyr, kan deles med helsemyndighetene annet enn når det er nødvendig for informasjonsfunksjonen. Fordi denne funksjonen kun legger til rette for kommunikasjon, vil helsemyndighetene ikke få tilgang til andre data.

Symptomsjekke- og telemedisinfunksjon

Symptomsjekkefunksjonen kan være nyttig for at medlemsstatene skal kunne gi veiledning til sine innbyggere om hvorvidt de bør testes, eller gi informasjon om isolasjon og om når og hvordan man skal oppsøke helsehjelp, spesielt for risikogrupper. Denne funksjonen kan også supplere overvåkingen som gjøres i primærhelsetjenesten, og bidra til å gi et bilde av virusets smitterate i befolkningen. Det kan derfor bestemmes at de ansvarlige helsemyndighetene og nasjonale smittevernsmyndigheter kan få tilgang til informasjonen som er gitt av pasienten. ECDC kan motta aggregert data fra de nasjonale myndighetene med ansvar for smittevernsovervåking.

Hvis man velger å tillate kontakt med helsearbeidere fremfor kun via appen i seg selv, er det også nødvendig å oppgi brukernes telefonnummer til de nasjonale helsemyndighetene.

Kontaktsporings- og varslingsfunksjon

Den smittede personens opplysninger

Appene genererer pseudo-vilkårlig flyktige og periodisk endrende identifikatorer for de telefonene som er i kontakt med brukeren. Et alternativ er at identifikatorene blir lagret på brukerens enhet (såkalt desentralisert behandling). Et annet alternativ er at disse midlertidige identifikatorene lagres på en server som helsemyndighetene har tilgang til (såkalt backend-serverløsning). Den desentraliserte løsningen er mer i tråd med prinsippet om dataminimering. Helsemyndigheter bør kun ha tilgang til nærhetsdata fra enheten til en smittet person for å kunne kontakte personer som kan ha blitt smittet.

Disse dataene vil kun være tilgjengelige for helsemyndighetene etter at den smittede personen (etter vedkommende er testet) proaktivt deler disse dataene med dem.

Den smittede personen skal ikke få informasjon om identiteten til dem han/hun potensielt har smittet og som dermed skal varsles.

Opplysninger om dem som har vært i (epidemiologisk) nærkontakt med en smittet person

Identiteten til den smittede skal ikke utleveres til de personene han/hun har vært i nærkontakt med. Det er tilstrekkelig å gi dem beskjed om at de har vært i epidemiologisk nærkontakt med en smittet person i løpet av de foregående 16 dagene. Som bemerket over skal data om tidspunkt og sted for nærkontakten ikke lagres. Det er derfor heller ikke hverken relevant eller mulig å kommunisere disse dataene.

For oppsporing av epidemiologiske kontakter til en appbruker som er bekreftet smittet, bør de nasjonale helsemyndighetene kun få informasjon om identifikatoren til personen som den smittede har vært i kontakt med fra 48 timer før symptomene oppsto til 14 dager etter symptomene oppsto, på grunnlag av nærhet og varighet av kontakten.

ECDC kan motta aggregert data fra de nasjonale myndighetene med ansvar for smittevernsovervåking om indikatorer definert i samarbeid med medlemsstatene.

Fastleggelse av de presise formålene med behandlingen

Det rettslige grunnlaget (EU-lovgivning eller medlemsstatslovgivning) bør fastsette formålet med behandlingen. Formålet skal være spesifikt, slik at det ikke er noen tvil om hvilken type personopplysninger som er nødvendige å behandle for å nå det ønskede målet.

Det/de spesifikke formålet/formålene vil avhenge av appens funksjoner. Det kan være at det foreligger flere formål for hver funksjonalitet i en app. For å kunne gi enkeltpersoner full kontroll over sine data, anbefaler Kommisjonen at man ikke samler ulike funksjoner i ett. Under enhver omstendighet skal den enkelte ha muligheten til å velge mellom de ulike funksjonene med hvert sitt formål.

Kommisjonen fraråder at dataene som samles inn etter de ovenstående betingelsene brukes til andre formål enn kampen mot COVID-19. Dersom formål slik som vitenskapelig forskning og statistikk skulle bli nødvendige, bør de inkluderes i den opprinnelige listen over formål og kommuniseres tydelig til brukerne.

Informasjonsfunksjon

Formålet med denne funksjonen er å gi informasjon som er relevant fra helsemyndighetenes ståsted i forbindelse med krisen.

Symptomsjekke- og telemedisinfunksjon

Symptomsjekkefunksjonen kan gi en indikasjon på hvor mange av dem som rapporterer om COVID-19-symptomer, som faktisk er smittede (f.eks. ved testing av alle eller et tilfeldig utvalg personer med slike symptomer, hvis man har kapasitet til det). Denne identifiseringen av formålet skal gjøre det klart at helseopplysninger vil behandles for å

  1. gi enkeltpersoner muligheten til å selv vurdere om de har symptomer på COVID-19, basert på et en rekke spørsmål, eller
  2. oppsøke legehjelp hvis man har utviklet symptomer på COVID-19.

Kontaktsporings- og varslingsfunksjon

Å angi formålet som «forebygging av ytterligere COVID-19-smitte» er ikke spesifikt nok. I dette tilfellet anbefaler Kommisjonen at man spesifiserer tydeligere, for eksempel: «oppbevaring av kontakter for de personene som bruker applikasjonen og som kan ha vært eksponert for COVID-19-smitte, for å kunne advare personer som kan ha blitt smittet».

Fastsetting av strenge begrensninger for datalagring

Prinsippet om lagringsbegrensning krever at personopplysninger ikke lagres lenger enn nødvendig. Tidsfrister bør settes på bakgrunn av medisinsk relevans (avhengig av appens formål, inkubasjonstid og lignende) i tillegg til den tiden det realistisk sett vil ta å fatte nødvendige administrative tiltak.

Informasjonsfunksjon

Hvis det samles inn data mens man installerer denne funksjonen, skal det slettes umiddelbart. Det er ingen legitim grunn til å beholde slik data.

Symptomsjekke- og telemedisinfunksjon

Slik data bør slettes av helsemyndigheter etter maks en måned (inkubasjonstid pluss en margin), eller etter at personen er testet med negativt resultat. Helsemyndighetene kan beholde dataene i lengre tid for overvåkingsrapportering og forskning, forutsatt at det er i anonymisert form.

Kontaktsporings- og varslingsfunksjon

Nærhetsdata bør slettes så snart de ikke lenger er nødvendige for formålet om å varsle brukerne. Dette bør være tilfellet etter maks én måned (inkubasjonstid pluss en margin) eller etter at personen har testet negativt. Helsemyndighetene kan beholde nærhetsdata i lengre tid for overvåkingsrapportering og forskning, forutsatt at det er i anonymisert form.

Dataene bør lagres på brukerens enhet, og kun data som har blitt kommunisert av brukerne og som er nødvendig for å oppnå formålet, bør lastes opp på serveren som er tilgjengelig for helsemyndighetene når denne muligheten er valgt (det vil si at kun data om «nærkontakter» til en person som har testet positivt for COVID-19 skal lastes opp på serveren).

Ivaretakelse av datasikkerheten

Kommisjonen anbefaler at data bør lagres på enkeltpersonenes terminalenheter i en kryptert form, hvor man benytter de nyeste og sikreste krypteringsteknikkene. Dersom dataene lagres på en sentral server, skal tilgang, inkludert administrativ tilgang, logges.

Nærhetsdata bør kun genereres og lagres på brukerens terminalenhet i kryptert og pseudonymisert format. For å sikre seg mot sporing gjort av tredjeparter, bør det være mulig å aktivere bluetooth uten å aktivere andre lokaliseringstjenester.

Under innsamlingen av nærhetsdata via BLE, er det å foretrekke å lage og lagre midlertidige bruker-ID-er som endres jevnlig, heller enn å lagre den enhetens faktiske ID. Dette tiltaket gir ytterligere beskyttelse mot avlytting og sporing utført av hackere og gjør det derfor vanskeligere å identifisere enkeltpersoner.

Kommisjonen anbefaler at appens kildekode skal offentliggjøres og gjøres tilgjengelig for gjennomgang.

Ytterligere tiltak for å sikre dataene som behandles kan særlig være automatisk sletting eller anonymisering av dataene etter et bestemt tidspunkt. Som et generelt prinsipp bør graden av sikkerhet svare til mengden av personopplysningene som behandles og hvor sensitive disse er.

All overføring fra den personlige enheten til nasjonale helsemyndigheter skal være kryptert.

Der nasjonal lovgivning bestemmer at personopplysningene som samles inn også kan behandles for formål knyttet til vitenskapelig forskning, bør i prinsippet pseudonymisering brukes.

Sikring av dataenes nøyaktighet

Å sikre nøyaktigheten av dataene som behandles, er ikke bare en forutsetning for appens effektivitet, men også et krav etter lovgivningen om personopplysningsvern.

I denne sammenhengen er det avgjørende å sikre nøyaktigheten av informasjon om hvorvidt kontakt med en smittet person har funnet sted (epidemiologisk avstand og tid), for å minimere risikoen for falske positiver. Dette bør omfatte scenarier der to brukere av appen er i kontakt på gaten, på offentlig transport eller i en bygning. Det er usannsynlig at lokaliseringsdata basert på mobilnettet er tilstrekkelig nøyaktig til dette formålet.

Det anbefales derfor at man baserer seg på teknologi som kan gi et mer presist bilde av kontakten (slik som Bluetooth).

Involvering av databeskyttelsesmyndigheter

Datatilsynsmyndighetene bør fullt ut involveres og konsulteres i forbindelse med utviklingen av apper, og de bør løpende følge med på appenes utrulling. Fordi behandlingen av data i forbindelse med appene vil være å regne som behandling i et stort omfang av særlige kategorier av data (helsedata), gjør Kommisjonen oppmerksom på personvernforordningens artikkel 35 om vurdering av personvernkonsekvenser.