AI och känslig persondata mot pandemin

Under pandemins första månader har uppmärksamheten riktats mot ny teknik för att dämpa smittan runt om i världen. Det handlar främst om hjälpmedel för effektiv smittspårning, det vill säga system som håller reda på exakt vilka jag har varit i närheten av och när detta skedde, för att dessa personer ska kunna bli kontaktade av hälsomyndigheter om jag senare visar mig vara smittad. Andra verktyg använder anonym information för att förstå hur människor rör sig och för att bevaka smittans intensitet och utveckling i olika områden.

Nu när många länder lättar på en del restriktioner, ökar intresset för system som håller reda på vem som är immun och därmed kan tillåtas återvända till jobbet ungefär som förut.

När man skyndar ökar alltid risken för att snubbla, så låt oss se vilka fallgropar som finns.

Detta händer i Sverige och i världen

Många länder gör nu försök med smittspårningsappar. Det de flesta har gemensamt är att de varnar användaren när den har varit i kontakt med någon som testats positivt för covid-19. Därefter skiljer de sig åt. Vissa låter informationen stanna i telefonen medan andra sparar uppgifter i en central databas, vilket skapar en risk för dataläckor. Vissa identifierar möten med hjälp av Bluetooth och andra med GPS, där de senare därmed måste registrera exakt var du har varit någonstans.

I Sverige påbörjade Myndigheten för samhällsskydd och beredskap (MSB) utvecklingen av en app för smittspårning men avbröt projektet redan i april. Den skulle samla in personuppgifter till en databas på Amazons molntjänst, vilket Sveriges myndigheter normalt undviker eftersom amerikansk lag kan tvinga ut informationen även om den fysiskt finns här i landet. Oberoende av detta driver Lunds universitet appen Covid Symptom Tracker som fick kritik om bristande information om hur personuppgifter skulle hanteras.

I våra grannländer har Norge redan hunnit inleda smittspårning via app, få kritik från Amnesty och norska Integritetsskyddsmyndigheten samt pausa systemet och radera all insamlad data. I Finland rör man sig långsammare och bereder nu en lag som uttryckligen ska göra smittspårningssystem tillåtna.

I resten av världen noterar vi att över 500,000 tyskar anslutit sina pulsklockor till en covid-databas som snabbt fick kritik för bristande skydd av persondata. Indien är hittills den enda demokratin som gjort en smittspårningsapp helt obligatorisk.

Hälsodata är det sista vi håller för oss själva

Hälsa är idag kanske den mest känsliga personinformation som myndigheter lagrar. Kom ihåg att nästan all information som finns hos våra myndigheter är offentliga uppgifter. Inte nog med att jag kan fråga Skatteverket hur mycket du tjänar, jag kan också fråga Kronofogden om du har slarvat med underhållsstödet till din exfru och jag kan fråga tingsrätten vilka brott du har dömts för. Men det finns ingen myndighet som släpper ifrån sig uppgifter om din hälsa. En kreditupplysning innehåller mycket information och över tid kan acceptansen för vad som kan ingå där förändras, men vi känner oss säkra på att uppgifter om hälsa aldrig kommer dyka upp.

Därför är det så viktigt att vara vaksamma när känsliga personuppgifter, som vår hälsa, börjar spridas på nya sätt. Även när information ska användas statistiskt utan koppling till dig som person, som den tyska pulsinsamlingen, måste de ansvariga visa att de hanterar din information på ett säkert sätt och att det inte finns någon risk för IT-läckor eller liknande. Särskilt viktigt är det när nya system ska byggas på kort tid. Arbetsförmedlingen har haft flera exempel på när teknikentusiasm har tagit överhand och dataskydd glömts bort, där det mest iögonfallande är Jobskills som skulle blir en tjänst för arbetsgivare att söka bland nyanländas cv-n men som visade sig vara en perfekt databas för flyktingspionage.

Principer som kan hjälpa oss

• Vi behöver fler diskussioner om vad dataskydd, IT-säkerhet och GDPR innebär för att öka den allmänna förståelsen, så att vi kan fatta fler kloka beslut själva utan hjälp av jurister. Ju mer spridd sådan kunskap är i organisationer och myndigheter, desto lägre blir risken att man snubblar när det är bråttom.
• Vi behöver fortfarande en bättre samsyn mellan myndigheter och teknikbolag om vad dataskydd innebär.
• När det är pandemisk brådska, kräv att alla coronaappar överlämnar full kontroll till offentliga institutioner och ställ sedan höga krav på dessa. Då blir det lättare att bevilja undantag till GDPR om det är nödvändigt.
• Tillit är en resurs som man tar av varje gång man säger ”lita på mig”. Därmed måste man också fylla på detta konto. Även hantering av anonym information kräver tillit som vi har sett, så när Telia beskriver mobiltelefoners rörelser i Sverige ger de sig själva uppgiften att åter fylla på detta förtroende. Det gör man med full transparens och öppna diskussioner.

När du hanterar personuppgifter har du ett stort ansvar. När du hanterar känsliga personuppgifter som hälsa har du ett mycket stort ansvar. Men det måste finnas en bred kunskap i samhället så att vi kan utkräva detta ansvar från alla de organisationer som lagrar våra känsliga uppgifter.

/Olle