Datatilsynet har noteret sig, at der i Danmark er ved at blive udviklet en app til sporing af eventuelle kontakter til smittede med COVID-19. Andre europæiske lande har gang i lignende tiltag.
Herudover er der forlydender om et samarbejde mellem Apple og Google om en funktionalitet i deres produkter, der skal kunne noget tilsvarende.
Datatilsynet har ikke kendskab til, hvordan disse løsninger konkret kommer til at fungere i praksis, men da funktionaliteten potentielt kan være indgribende i den enkeltes privatliv, er det en udvikling, som tilsynet følger nøje.
Vanskelige afvejninger
En app med disse formål kan efter Datatilsynets umiddelbare vurdering give et detaljeret overblik over borgernes adfærd og muligvis også deres helbred.
"Vi er opmærksomme på, at det kan være nødvendigt for sundhedsmyndighederne at følge udviklingen og adfærden hos borgerne" siger Cristina Angela Gulisano, direktør i Datatilsynet, og fortsætter:
"Der er tale om nogle vanskelige afvejninger mellem generelle samfundsinteresser og det enkelte individs frihedsrettigheder. På et mere overordnet niveau er databeskyttelsesreglerne dog ikke til hinder for, at regeringen, herunder sundhedsmyndighederne, indsamler en række oplysninger om os i større omfang – f.eks. ved brug af apps."
Den dataansvarlige skal derfor have fokus på, at der sker den fornødne afvejning mellem de behov, der er for løsninger til den helt ekstraordinære situation, og de enkelte borgeres rettigheder, særligt at indsamlingen og brugen af oplysningerne sker på en betryggende og gennemsigtig måde. I situationer, hvor der er en høj risiko for borgernes rettigheder skal der endvidere altid foretages en konsekvensanalyse, inden behandlingen iværksættes, ligesom der i alle tilfælde skal indtænkes databeskyttelse i designet af appen.
Grundlæggende hensyn
Der er dog også nogle andre grundlæggende databeskyttelsesretlige hensyn, som man efter Datatilsynets opfattelse generelt bør have for øje:
- Mindste middels princip: Det er en forudsætning, at der ikke implementeres tiltag, der kunne have været opnået ved brug af løsninger, der er mindre indgribende for den enkelte borger.
- Frivillighed: Det er efter Datatilsynets opfattelse vigtigt, at det er frivilligt for den enkelte borger, om vedkommende vil bruge appen. Det er derfor positivt, at regeringen allerede har meldt ud, at dette også vil være tilfældet.
- Gennemsigtighed: Det skal være tydeligt for borgerne, hvem der står bag løsningen, og hvad der sker med oplysningerne. Dette er afgørende for borgernes tillid til løsningen, men det er også en forudsætning for, at man som borger rent faktisk kan afgøre, om man vil bidrage med sine oplysninger.
- Sikkerhed: Det er vigtigt, at indsamlingen og opbevaringen af oplysninger sker på en sikker og forsvarlig måde. Hvis borgerne udleverer deres helbredsoplysninger eller tillader, at man kan følge deres bevægelsesmønstre, skal de også være betrygget i, at oplysningerne ikke kommer til uvedkommendes kendskab, bruges til andre formål end det oprindelige eller i øvrigt misbruges.
- Midlertidig løsning: COVID-19 har ført til en ekstraordinær – men forventeligt også en tidsbegrænset – situation. Derfor skal sundhedsmyndighederne også forholde sig til, hvor længe, det er nødvendigt at indsamle og opbevare oplysningerne og samtidig sikre, at de indsamlede oplysninger derefter slettes.
- Datatilsynets kontrol: Datatilsynet vil have særligt fokus på at efterprøve og kontrollere, at tekniske løsninger har den fornødne sikkerhed, og at alle data og repræsentationer af disse, der kan henføres til en given borger, også bliver slettet, så snart det ekstraordinære formål ophører.
Europæisk fokus
Brugen af apps i kampen mod COVID-19 er også i spil i andre europæiske lande, og i eksempelvis Norge har man allerede lanceret en frivillig app.
I Det Europæiske Databeskyttelsesråd, som repræsenterer myndighederne i medlemslandene, har man netop sendt et brev til Kommissionen med anbefalinger ift. apps med lignende formål. Læs brevet her.
Kommissionen har efterfølgende offentliggjort en 'toolbox' om samme emne.
Det Europæiske Databeskyttelsesråd forventer i øvrigt meget snart at offentliggøre yderligere vejledning i udformningen af sådanne apps.