Under de senaste dagarna har diskussionerna kring användningen av data för att bekämpa coronapandemin ökat.
Vi har därför skrivit ett ad hoc-dokument v0.3 (PDF, engelska) om efterlevnad av GDPR och vill ta tillfället i akt att ge en första översikt över dessa projekt.
Översikt över olika åtgärder och projekt
Det talas mycket om olika coronaåtgärder och projekt som syftar till att begränsa spridningen av viruset med hjälp av data. Dessa inkluderar till exempel:
- Informationsportaler (t.ex. information för självdiagnos eller kartor över riskområden),
- anonym dataanalys (särskilt från mobiltelefonnät),
- appar som försöker registrera möjliga infektionssituationer (kontaktspårning),
- appar för att kontrollera karantänåtgärder
- försök att spåra smittade personer via olika data, t.ex. spårning av mobiltelefoner eller användning av kreditkortsuppgifter.
I en artikel på GDPRhub.eu, noyb sammanställt en första översikt över konkreta appar och projekt i och utanför Europa, för att belysa även denna fråga.
De allra flesta av dessa tillvägagångssätt ligger långt ifrån problematiska former av massövervakning eller "kinesiska tillvägagångssätt".
GDPR tillåter att data används i händelse av epidemier - frågan är inte om, utan hur.
I motsats till många inledande rapporter finns det ingen allmän konflikt mellan dataskydd (särskilt GDPR) och användningen av personuppgifter i kampen mot en epidemi. Uttalanden som hävdar att dataskyddet måste "avstås" verkar vara baserade på en felaktig förståelse av lagen.
Max Schrems, hedersordförande i noyb: "GDPR föreskriver uttryckligen databehandling i kampen mot epidemier. Dataskyddslagar får därför inte "avstås", utan helt enkelt observeras."
Enligt skälen i artiklarna 6.1 d och 9.2 i i GDPR är det tillåtet att behandla uppgifter t.ex. för att bekämpa "gränsöverskridande hot mot människors hälsa" eller för att bekämpa "epidemier".
GDPR innehåller dock också regler för att begränsa intrånget i våra grundläggande rättigheter till ett minimum, även i kampen mot coronaviruset.
Max Schrems: "Lagarna föreskriver användning av uppgifter i kampen mot corona, men bara på rimliga sätt. Lagen begränsar användningen av uppgifter till vad som är absolut nödvändigt. Tillsammans med koncept som 'Privacy by Design' är det möjligt att utveckla juridiskt sunda appar och system som hjälper till att bekämpa denna epidemi. Så frågan är inte om det är möjligt att använda personuppgifter, utan hur man gör det på rätt sätt."
Det finns ett stort utrymme mellan överdriven massövervakning och insamling och specifik behandling av viss viktig information. När det gäller de grundläggande rättigheterna kan användningen av data också utgöra "ett mindre betungande sätt" jämfört med de nuvarande begränsningarna av rörelsefriheten eller näringsfriheten.
Schrems:"Frivilliga appar som t.ex. bygger på lokalt lagrad och krypterad självspårning kan vara användbara. Om sådana data endast dekrypteras i händelse av ett positivt coronatest kan sådana system bevisligen skydda användarnas integritet. Sådana tillvägagångssätt är mer som att bära en privat lavinsändare - i motsats till ett centraliserat statligt övervakningssystem."
För att stödja projekt i implementeringen av lösningar som uppfyller kraven på dataskydd har noyb publicerat ett ad hoc-dokument om appar för kontaktspårning.
Förtroende är nödvändigt för att sådana system ska bli framgångsrika
Människor måste kunna lita på tekniken i kampen mot coronaviruset, så att tillräckligt många människor deltar. Detta kan uppnås genom åtgärder som god datakryptering, lagring av data i användarens telefoner och publicering av källkoden ("öppen källkod").
Schrems:"De här projekten fungerar bara om en stor del av samhället deltar. För att göra detta behöver vi system som gör det möjligt för användarna att kontrollera sina data. Källkoden måste vara granskningsbar. Om detta görs på rätt sätt kan sådana system definitivt rekommenderas."
Realistisk syn på tekniska möjligheter
Det som för närvarande är förvånande med vissa uttalanden är den orubbliga tron på tekniken. Mer komplexa tillämpningar, t.ex. "kontaktspårning" efter en infektion, är inte genomförbara utan mycket specifika data. Förslag som att beräkna smittorisken mellan två personer med hjälp av data från mobilnätet är mer önsketänkande än en möjlig teknisk verklighet.
Horst Kapfenberger, datavetare på noyb: "På grund av sin inexakthet är platsdata från mobiloperatörerna absolut olämpliga, till exempel för att bestämma möjliga infektioner med coronaviruset. Vi kan inte bygga meningsfulla modeller med felaktiga rådata".
Dessutom finns det fortfarande osäkerheter när det gäller spridningen av coronaviruset. Ofta finns det mycket olika och vag information tillgänglig om hur och när viruset sprids. Ju oklarare parametrarna kring virusets spridning är, desto mindre specifika riskkontakter kan beräknas med hjälp av tekniska lösningar.
Det finns en risk att användarna går vilse i en lavin av irrelevanta varningar och information ("information overload"). Det är därför viktigt att samla in relevanta data med den kvalitet som krävs för att faktiskt uppnå målen med ett projekt.
Max Schrems: "Dessa system är inte avsedda att gissa vilka annonser vi kan vara intresserade av, utan att säkerställa befolkningens hälsa. Vi behöver därför specifik, exakt och korrekt information. För statistik räcker det ofta med grova och anonyma uppgifter. Men för att försöka registrera smittkedjor behöver man mycket exakta uppgifter - som kanske lagras lokalt och krypterat hos användarna."
