Skriftlig spørsmål fra Kjersti Toppe (Sp) til helse- og omsorgsministeren

Dokument nr. 15:1364 (2019-2020)
Innlevert: 19.04.2020
Sendt: 20.04.2020
Besvart: 27.04.2020 av helse- og omsorgsminister Bent Høie

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Hvordan forsvarer helseministeren at kildekoden til mobilapplikasjonen «Smittestopp» ikke blir offentliggjort, og anser statsråden at det å vurdere effekten ved andre smitteverntiltak er et tilstrekkelig tungtveiende hensyn for å ta i bruk sentral lagring av innbyggernes bevegelsesmønster?

Begrunnelse

Folkehelseinstituttets mobilapplikasjon Smittestopp har fått kritikk på særlig to punkter:
For det første fordi kildekoden til applikasjonen ikke blir offentliggjort. I den offentlige debatten har fagpersoner innen både juss og teknologi påpekt at offentliggjøring av kildekoden åpner for å etterprøve myndighetenes påstander om hvordan applikasjonen fungerer og eventuelt avdekke sikkerhetshull i programvaren. I et brev datert 14. april tok det europeiske personvernrådet EDPB til orde for det samme.
For det andre fordi opplysningene om innbyggernes bevegelsesmønster skal lagres på sentrale servere, fremfor lokalt på mobiltelefonen. Ifølge IT-fagmiljøer er ikke sentral lagring nødvendig for å ivareta applikasjonens formål om å stanse smittespredning. Derimot er det nødvendig for å vurdere effekt av smittetiltak og modellere smitteutvikling. Etter spørsmålsstillerens syn er det en vesentlig forskjell mellom å drive smittesporing og å vurdere effekten av andre smitteverntiltak. Det er tvilsomt om det sistnevnte hensynet alene er godt nok grunnlag for en slik omfattende overvåkning av befolkningen. EDPB påpeker dessuten at sentral lagring av befolkningens bevegelsesmønster er i strid med prinsippet om å minimere datainnsamlingen, og at det ut fra hensynet til smittesporing er tilstrekkelig med lokal lagring av informasjon om potensielle smittekontakter. Spørsmålsstilleren savner en tydelig avveining fra regjeringen for om hensynet til å analysere den generelle smittespredningen er tilstrekkelig tungtveiende hvis en langt mindre omfattende datainnsamling er nok for å oppfylle formålet om smittesporing. Særlig fordi applikasjonen først og fremst er blitt markedsført som et smittesporingsverktøy.
Statlig overvåking av innbyggernes bevegelsesmønster og kontakter med andre personer er et stort inngrep i personvernet. Dersom myndighetene skal gå til et slikt skritt, er det derfor avgjørende at man strekker seg lengst mulig for å inngi tillit i befolkningen. Dette handler om at innsamlingen av personopplysninger begrenser seg til et minimum og ikke går lenger enn det som er nødvendig for å stanse smittespredning. Det synes ikke som at myndighetene har strukket seg til det ytterste for å gjøre seg fortjent til tilliten som trengs for at tiltaket skal lykkes.

Bent Høie (H)

Svar

Bent Høie: Representanten Toppe stiller spørsmål om sentrale vurderinger som er gjort i forbindelse med utvikling av applikasjonen Smittestopp som ble lansert torsdag 14. april.
For at vi skal kunne åpne samfunnet forsiktig opp igjen, og samtidig ha kontroll på koronaviruset, må vi erstatte de inngripende tiltakene vi nå har med bedre smittesporing, testing og isolasjon. Smittestopp-applikasjonen er ett av tiltakene for å få til dette. Økt testkapasitet er et annet tiltak.
Formålet med Smittestopp er å bidra til rask oppsporing og formidling av råd til personer som kan være smittet av koronaviruset, og bidra til å følge smitteutbredelse og vurdere effekt av smitteverntiltak på befolkningsnivå. Dette følger av forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19 som ble fastsatt ved kgl.res. 27. mars 2020. Jeg mener at målrettet og mer effektiv sporing, sammen med kunnskap om epidemiutvikling og kontaktmønster, vil gjøre det mulig å trappe ned inngripende tiltak tidligere.
Det er riktig at kildekoden til applikasjonen ikke er offentlig tilgjengelig. Det er mye positivt med åpen kildekode, men det kan også øke risikoen for sikkerhetsbrudd ved at det kan gjøre det lettere for noen med fiendtlige hensikter å foreta et ondsinnet angrep. Vi vurderer hele tiden tiltak som skal bidra til å øke sikkerheten. Departementet har derfor etablert en ekstern ekspertgruppe som har fått tilgang til kildekoden for å gjennomgå den og vurdere eventuelle sårbarheter som må lukkes. Ekspertene er valgt ut av IKT Norge. Gruppen leverte en foreløpig rapport om kildekoden og sikkerhet torsdag 9. april. De uttalte da at sikkerheten i applikasjonen er god når det gjelder lagring og sending av informasjon, men pekte også på konkrete mangler som ikke var utbedret da de leverte sin foreløpige rapport. Folkehelseinstituttet har vurdert og håndtert alle funn, og redegjort for hvilke tiltak som iverksettes. Mange av funnene ble rettet opp før lansering, andre må vurderes nærmere.
Vi har valgt sentral lagring og bruk av posisjonsdata fordi vi mener at det vil gi oss den mest presise og effektive smittesporingen, og det vil fungere best for å følge utviklingen av pandemien og effekten av smitteverntiltakene. Dette er gjort på en måte som sikrer personvernet og som er i tråd med personvernforordningen (GDPR). Smittestopp-applikasjonen vil gi kunnskap om utviklingen av pandemien gjennom anonyme data om hvordan grupper beveger seg i samfunnet og kontaktmønstre i befolkningen. I mange sammenhenger vil det kunne bidra til bedre helse og bedre forståelse av pandemiens spredningsmønster.
Vi må tenke nytt og jobbe på nye måter for å begrense smitten. Norge er i en unik situasjon til å være først ut med å ta i bruk ny teknologi. Vi er en digital befolkning med høy tillit til hverandre og myndighetene. Jeg tror Smittestopp kan bli et svært nyttig verktøy for å beholde kontrollen med smittespredningen i det norske samfunnet.