«Nordmenn er bevisstløse når det gjelder personvern» mener IT-sjef og kursholder Frode Burdal Klevstul. Vårt inntrykk, basert på arbeidet med Smittestopp, er helt motsatt: Nordmenn har svært høy bevissthet om personvern. Imidlertid er det mange som har mye å tjene på å spre det motsatte inntrykket.
Norge har en svært opplyst offentlig debatt om personvern. En rekke aktivister og idealister jobber for personvern både individuelt og gjennom ulike grupperinger. Vi har journalister som har fulgt debatten gjennom mange år, og vi har forskere som arbeider med problematikken fra flere fagfelter. Norge har i tillegg et eget Datatilsyn som har store fullmakter til å passe på nordmenns personvern.
Personvern er vanskelig
Personvern er komplisert, og det blir ekstra komplisert når ny teknologi utfordrer grenser som er satt. Ytterligere komplisert blir det når personvern må veies opp mot andre hensyn. Dette har blitt svært aktuelt ved bruk av digital smittesporing for å bekjempe koronapandemien. Klevstul gjør lite for å opplyse debatten, og innlegget hans (som også har stått på trykk i Finansavisen og Sandefjords Blad) er fullt av feil.
Hva med Amnestys kritikk av Smittestopp?
Amnestys kritikk av Smittestopp har blitt tatt på stort alvor av mange. Amnesty er en organisasjon man er vant til å stole på og å like. Men hva var det egentlig Amnesty gjorde? Som Klevstul skrev, tok de kontakt med blant annet Justisdepartementet den 2. juni, men ikke for å advare om alvorlige forhold. I brevet listet Amnesty opp 7 krav en digital smitteapp måtte oppfylle for å være i tråd med menneskerettighetene.
Disse syv kravene var: at en app må være helt frivillig og at kildekoden skal være åpen for gransking; at formålet skal være begrenset og data ikke gjøres tilgjengelig for kommersielle formål; at anonymitet skal være sikret; at appen må tilfredsstille relevante lover om databeskyttelse, minimalt med data må samles inn og data må beskyttes; at appen skal monitorers av eksterne eksperter; at appen skal ha en tidsbegrensning; og at appen skal være ikke-diskriminerende. At «minimalt med data må samles inn» har vært sentralt i diskusjonen om bruk av Smittestopp. Bortsett fra dette oppfyller Smittestopp alle kravene fra Amnesty. Alle problemstillingene var også sentrale i hele utviklingsarbeidet av Smittestopp. Dette ble kommunisert til Amnesty. Stor var vår overraskelse da Amnesty allikevel erklærte at den norske smitteappen var en versting på linje med apper i Bahrain og Kuwait.
Å likestille Bahrains, Kuwaits og Norges apper fremstår som helt meningsløst ved nærmere ettersyn. Det er bare på to punkter disse appene har noe felles: de samler inn steds-data og de har sentral lagring av data, en egenskap de deler med nesten 40 prosent av smittesporingsappene MIT har undersøkt. Ellers er motsetningene flere: Smittestopp brukes til informasjon, er regulert gjennom lovverk og har begrenset virkeområde. Appene i Bahrain og Kuwait brukes til håndheving av smittevernlov, har ikke (offentlig kjent) regulering og har et åpent virkeområde.
Jeg kan ikke skjønne annet enn at Amnesty har latt seg misbruke i en aktivist-agenda, eller at de spisset budskapet for å skaffe seg selv oppmerksomhet. Begge deler er uansvarlig og uprofesjonelt.
– Nordmenn er bevisstløse når det gjelder personvern
Hvorfor ble Smittestopp stanset av Datatilsynet?
Klevstul påstår at Datatilsynet først stanset Smittestopp etter at Amnesty kom på banen og erklærte at appen brøt med menneskerettighetene. Til å være selverklært ekspert på personvern er dette uhyre lite presist. Datatilsynet kan sikkert selv svare på om det var Amnesty som fikk dem til å stanse Smittestopp, men den begrunnelsen Datatilsynet faktisk brukte, var at det å samle inn lokasjonsdata (GPS) ikke var et forholdsmessig inngrep i personvernet når det var så lav frekvens av smitte som det var i Norge i juni. Man kan være enig eller uenig med Datatilsynets beslutning, men de har brukt sitt faglige skjønn til å fatte en beslutning. Det framstår som gjennomarbeidet og grundig, og ikke basert på en faglig svært svak rapport fra Amnesty.
Personvern til salgs?
Det foregår en rekke dataangrep mot ulike registre. Noen ganger lykkes dessverre angriperne, slik at persondata kommer på avveie. Det gjennomgående bildet er likevel at det stilles svært strenge krav til alt som har med lagring av persondata i Norge. Den norske stat har så vidt meg bekjent heller aldri solgt nordmenns data til kommersielle formål. Andre aktører ønsker å tjene penger på nordmenns persondata. Alle som har en Facebook-profil vet at Facebook tjener pengene sine på å dele dine data med andre kommersielle organisasjoner. Andre lever av å selge kurs om personvern. For å få solgt slike kurs, trenger man å skape frykt og usikkerhet. Det er dette Klevstul gjør, i stedet for å bidra til en opplyst debatt.
Amnesty mener norsk korona-app er blant de verste i verden