Gå til sidens indhold
Accepter cookies for at dette indhold vises korrekt.
Camilla Gregersen
Foto: Jacob Nielsen

Formanden: "Vi får den bedste smittesporing ved at huske dataetik"

De danske myndigheder er ved at udvikle en app, der skal opspore potentielt smittede danskere. Det kræver grundige dataetiske overvejelser, skriver DM-formand Camilla Gregersen i et blogindlæg.

Emneord:

Det ser endelig ud til, at flere kan blive testet for Covid-19 i Danmark. Der er billeder af opstillede hvide telte, som tyder på, at testkapaciteten forventes at blive højere, og det kan jeg kun glæde mig over. Det er dog en umulig opgave at teste alle konstant, og derfor er det – samtidig med tests - oplagt at prøve at opspore smitte.

Kontaktsporing er et effektivt redskab til at opspore potentielt smittede symptomfri personer, så de kan undgå at smitte andre. Kontaktsporing kan ske ved interview med smittede, men det fungerer bedst, når der er få smittede, der kan spores. Et oplagt alternativ, som vil opfange flere potentielt smittede, er at bruge den mobiltelefon, som næsten alle voksne og unge bærer på sig mere eller mindre konstant.

De danske myndigheder har meldt ud, at de er i gang med at udvikle en kontaktsporings-app. Men der er også initiativer på europæisk plan og fra techgiganterne. Og lad mig lige lave en spoiler her i starten: Jeg ser det ikke som afgørende, at en app bliver udviklet i Danmark. Vi skal have den bedste løsning, og der er det oplagt også at kigge internationalt.

Dataetiske principper

Jeg vil prøve at opridse de forskellige løsningsmodeller, og hvilke overvejelser der har dataetisk betydning i mine øjne. Først de dataetiske principper, som en løsning bør følge:

  • Databeskyttelse: Det betyder, at der kun skal gemmes absolut nødvendige oplysninger, og at data om kontakter så vidt muligt bør opbevares decentralt på personens mobiltelefon og ikke ét centralt sted, hvor konsekvenserne af et datalæk vil være mere alvorlige.
  • Anonymitet og privacy: Det er vigtigt, at en kontaktsporings-app ikke meddeler private sundhedsoplysninger til personer, man har været i kontakt med. Det er også vigtigt, at lokationsdata ikke samles ind og gives til myndighederne uden tilsagn til netop dette fra den enkelte. Personhenførbare oplysninger som lokationsdata kan ikke anonymiseres, fordi ganske få kontaktpunkter, eksempelvis din bolig og din arbejdsplads, vil afsløre, hvilken borger der er tale om.
  • Frivillighed og oplyst tilsagn: Borgerne skal være fuldt oplyste om formål, og det skal være muligt for brugerne at vælge, hvor meget data de ønsker at dele. Deling skal kun kunne ske via oplyst tilsagn jævnfør principper i GDPR.

Der er også andre hensyn at tage, som for eksempel udbredelse og beskyttelse mod misbrug. Men det er ikke rene dataetiske dilemmaer, selvom de er meget vigtige.

Udbredelse er vigtig, fordi man kun kan måle kontakter mellem to mobiltelefoner, hvis de begge har den samme kontaktsporings-app. I dette tilfælde skal vi konkret undgå, at der spredes panik via falske rygter om, at man har været i kontakt med en smittet.

For at undgå misbrug af systemet er det derfor nødvendigt, at det alene er sundhedsmyndighederne, der afgør, om en person skal markeres som smittet i systemet. Tilliden til systemet er altafgørende for, at det fungerer, og individers eller fremmede magters misbrug af systemet vil være ødelæggende. Derfor er det vigtigt, at en kontaktsporings-app udvikles i tæt samarbejde med sundhedsmyndighederne.

Hvilken teknisk løsning skal vi vælge?

Det næste bliver måske lidt teknisk tungt at forklare, men det er væsentligt, at der vælges den rigtige tekniske løsning, som både er effektiv og overholder de dataetiske principper.

Der er grundlæggende tre måder at spore kontakter:

  1. Sporing via GPS-lokalisering. Ved hjælp af GPS finder mobiltelefonen løbende (f.eks. en gang i minuttet) sin placering og gemmer den oplysning. Dette kan sammenholdes med lokationsdata fra andre mobiltelefoner til at finde mulige kontakter. Denne løsning har nogle tekniske udfordringer, fordi den måler geografisk placering og ikke relativ afstand til andre mobiltelefoner, men også fordi den har dårlig præcision især inde i bygninger. Det er således ikke helt ukompliceret at finde kontakter mellem f.eks. personer, der rejser i tog sammen.

    Dataetisk er det den mest problematiske løsning, fordi den fordrer geografisk sporing af store dele af befolkningen. Denne løsning kan jeg på ingen måde anbefale.

  2. Sporing via Bluetooth. Bluetooth er en relativt kortrækkende teknologi til at udveksle digitale beskeder mellem mobiltelefoner. Det bliver også brugt til mange andre ting, f.eks. trådløse høretelefoner. Kontakt måles ved, at telefonen med intervaller udsender et signal og lytter efter signaler fra andre mobiltelefoner. Denne løsning har tekniske udfordringer, idet Apple har valgt, at apps på iPhone principielt ikke skal kunne sende og modtage Bluetooth-signaler i baggrunden.

    Det er lavet for at beskytte brugernes privatliv, fordi flere butikker begyndte at spore, hvordan folk færdedes i deres butikker. For iPhone brugere vil en Bluetooth løsning virke bedst, hvis telefonen har tændt skærm og kører kontaktsporings-appen i forgrunden. En iPhone kan vælge at slukke for eller lægge en dæmper på en app, der ligger og bruger Bluetooth i baggrunden på den måde som kontaktsporings-app’en vil gøre.

    Dataetisk er denne løsning mere forsvarlig end sporing via GPS. Den vigtigste faktor er, hvordan data håndteres. Hvis detaljerede sporingsdata bliver gemt på telefonen, men ikke sendt til et centralt computersystem, så er det bedst i forhold til princippet om sikker datahåndtering.

  3. Sporing via Google og Apple kontaktsporings-funktionalitet. Google og Apples API arbejder på en løsning, hvor det i stedet lægges ind i operativsystemet. Det er endnu ikke helt klar, men er lagt frem i skitseform til kommentarer. Denne sporing finder også sted via Bluetooth, men den adskiller sig på vigtige punkter fra løsningen overfor. For det første er den indbyggede løsning i styresystem ikke underlagt de samme restriktioner på brug af Bluetooth på iPhone. Det er vigtigt, fordi det vil give en større dækning for folk med iPhone-telefoner. Det vil altså fungere i praksis på alle smartphones, hvilket er temmelig vigtigt.

    Til forskel fra de to førnævnte løsninger har denne løsning også den klare fordel, at data er beskyttet mere sikkert, så Bluetooth-rådata slet ikke er tilgængelige for app’en. Det nye API giver altså helt andre muligheder for at bevare brugernes anonymitet. Først og fremmest er det ikke længere nødvendigt at bruge GPS-oplysninger fra telefonen: Det er en bedre løsning, fordi alt for mange ikke vil have deres telefon tændt på kontaktsporingsappen til daglig; både fordi folk glemmer det, men også fordi telefonen bruger meget strøm i den tilstand og ikke vil kunne fungere i en hel dag.

    I Google og Apples løsning ligger data lokalt. Det er kun tilgængeligt for operativsystemet på den enkelte mobiltelefon og bliver ikke sendt andre steder hen. Denne løsning indebærer således ikke at dele data med teknologi-giganternes systemer. Det kan lyde mærkeligt, at techgiganterne faktisk har lavet den mest privacy-orienterede løsning. Men i dette tilfælde er det faktisk det, som er sket.

    Det tekniske problem med denne tredje løsning er, at ingen endnu ved, hvordan vi bedst måler kontakt via Bluetooth. Hvad er f.eks. afstanden vi skal bruge for at regne det som kontakt, og hvor længe skal en kontakt vare? Ved at indbygge det direkte i selve telefonen kan det være svært at lave hurtige korrektioner, når vi lærer mere om, hvordan virus bedst kontaktspores. Det kræver løbende opdateringer af telefonerne ude hos borgerne, men det er dog muligt at realisere.

    Det må også regnes som en begrænsning, at denne funktionalitet ikke er helt færdigudviklet endnu, og således endnu ikke tilgængelig for sundhedsmyndigheder og brugere. Men det er på vej, og dataetisk er denne løsning faktisk klart den bedste.

    Der indsamles en minimal mængde data for at kunne lave kontaktsporing, og der er ikke store potentielle sikkerhedsbrister. Derfor mener jeg, at det er den løsning, som de danske digitaliserings- og sundhedsmyndigheder bør kigge mest på.

Separat tilsagn til separate formål

Det er åbenlyst, at der vil være forskellige ønsker og formål, som mange vil have lagt ind i den tekniske løsning. Fra et dataetisk perspektiv er det essentielt, at borgerne kan give et oplyst tilsagn til henholdsvis kontaktsporing og andre formål separat.

Kontaktsporing og notifikation til borgerne om, hvorvidt de kan have været udsat for smitte, er i min optik det allervæsentligste formål. Når den enkelte er smittet, får sundhedsmyndighederne besked om det, og i det tilfælde adviceres andre potentielt smittede via app’en. Her er det oplagt med tilsagn til begrænset kontaktsporing. Og i den løsning kan data opbevares lokalt på telefonen. Det betyder, at kontaktdata ikke behøver ligge på en central server, som myndigheder har adgang til. Det giver bedst privacy og vil være en løsning, som kan få flest mulige med på at installere app med Bluetooth. Det er dermed mest effektivt i forhold til at mindske smittespredning. Man kan også sige det på en anden måde: Vi får den bedste smittesporing ved at huske dataetik.

Der kan også være andre ønsker, eksempelvis:

  • Epidemiologisk dataindsamling til offentlige myndigheder til brug for vurdering af befolkningens adfærd og effekten af social distancering. For at kunne lukke landet forsvarligt op (og ned igen, hvis der skulle komme en anden bølge) har myndighederne brug for data om befolkningens adfærd. Det virker også som om, der er stor forståelse i befolkningen og vilje til at hjælpe med at indgive frivillige oplysninger som via Coronameter. Det er absolut et anerkendelsesværdigt formål. Men det skal ikke slås sammen med kontaktsporing.

  • Kontaktsporing for den enkelte borger. Det er et separat formål i forhold til indsamling af mere detaljerede kontaktoplysninger, så myndighederne kan vurdere effekten af forskellige tiltag for fysisk distancering. Hvis en borger siger ja til at deltage i kontaktsporing, men ikke til at dele andre kontaktdata med sundhedsmyndighederne for at måle epidemiens udvikling i øvrigt, så bør det være muligt. Det skal altså være et separat tilsagn.

    Det er teknisk muligt at implementere kontaktsporing uden deling af detaljerede data om personens kontakter, og derfor er det ikke dataetisk forsvarligt at slå de to tilsagn sammen til ét.

Lad mig slå helt fast: For at sikre optimal opbakning er det vigtigt, at der gives separate tilsagn til dataindsamling, der ikke er strengt nødvendig for kontaktsporing. Hvis mange fravælger kontaktsporing, fordi de så også samtidig siger ja til at skulle dele oplysninger om deres privatliv, som adfærd jo er, vil det mindske effekten af kontaktsporing.

Derfor anbefaler jeg, at der gives separat tilsagn, og de to funktioner implementeres, så simpel kontaktsporing kan implementeres uden dataindsamling for dem, der ønsker det. Det kan ikke forsvares dataetisk at indsamle data, hvis det ikke er nødvendigt i forhold til formål.

Det er formentligt muligt at lave funktionerne i samme app som til kontaktsporing, så det kan udrulles effektivt. Men de forskellige formål skal ikke rodes sammen. Der skal være oplysning om de forskellige formål, og der skal gives separat tilsagn til de forskellige formål.

Konklusion

Jeg mener, at vi skal tage teknologi i brug for at implementere skalerbar kontaktsporing. Men det skal gøres under hensyntagen til befolkningens ret til privatliv. Det er vigtigt, at borgerne giver separat tilsagn til separate formål.

Bekæmpelsen af epidemien kommer til at strække sig ind i 2021, og det er vigtigt, at vi finder ordentlige løsninger, som nyder bred opbakning i befolkningen.

Annonce
Accepter cookies for at dette indhold vises korrekt.

Jobannoncer

Det Nationalhistoriske Museum

Museumsinspektør

Det Nationalhistoriske Museum

Danmarks Tekniske Universitet

Erfaren fundraiser med praktisk ansøgningserfaring

Danmarks Tekniske Universitet

Annonce
Accepter cookies for at dette indhold vises korrekt.

Vil du opdateres på, hvad der sker?


Læs om tilmeldingen