Generalsekretær Arne Jensen og assisterende generalsekretær Reidun Kjelling Nybø i Norsk Redaktørforening.
Generalsekretær Arne Jensen og assisterende generalsekretær Reidun Kjelling Nybø i Norsk Redaktørforening. (Foto: NR)

DEBATT

Den nye Smittestopp-appen er et redskap i det godes tjeneste. Så hvorfor er vi skeptiske?

Norsk Redaktørforenings ledelse skriver om en smitteapp til besvær.

  • ARNE JENSEN, generalsekretær og REIDUN KJELLING NYBØ, assisterende generalsekretær i Norsk Redaktørforening.

Smittestopp-appen er et redskap utviklet for det beste formål: Å bidra til å hindre eller bremse utviklingen Covid-19-epidemien, og dermed spare både liv og helse og begrense en rekke andre svært uheldige konsekvenser for samfunnet. Som vi alle vet er imidlertid veien til helvete brolagt med gode hensikter.

Derfor er det grunn til å være på vakt.

Smittestopp innebærer at det i en skyløsning lagres data om brukernes bevegelsesmønster og kontakt med andre mobiltelefoner som har lastet ned den samme appen.

Ifølge forskriften skal lokasjons-data slettes etter 30 dager. Ved lansering av appen er det kontakt nærmere enn 2 meter i mer enn 15 minutter i løpet av 24 timer som defineres som nærkontakt ved smittefare.

Anonymiserte lokasjonsdata kan imidlertid lagres lengre – til bruk i forskningsøyemed.

 

Utfordrer kildevernet

Vi har begrensede faglige forutsetninger for å vurdere hvorvidt Smittestopp er et godt eller dårlig verktøy til å oppnå formålet. Vi har heller ikke gått dypt inn i de mer generelle personvern-utfordringene som følger med en slik app.

Den er frivillig å installere, men forutsetningen for at den skal bli et effektivt verktøy er – ifølge helsemyndighetene – at en ganske stor andel av befolkningen faktisk installerer den.

Vårt anliggende er kildevernet. Helt fra den øverste politiske ledelse er det anerkjent at visse yrkesgrupper vil ha større utfordringer knyttet til installasjon og bruk av appen enn andre. Til Dagens Næringsliv 17. april sa for eksempel statsminister Erna Solberg følgende

«Noen kan ha helt spesielle grunner, for eksempel en journalist som treffer en kilde som de absolutt vil være garantert sikker på. Da kan du slå av lokasjonen når du er sammen med den kilden. Jeg har respekt for folks følelser, men jo færre som deltar, desto lengre tid vil det være strengere tiltak på andre områder.»

Nå handler dette for vår del ikke så mye om følelser. Og vi er nok sterkt i tvil om det å slå av lokasjonsfunksjonen er tilstrekkelig. Men Erna Solberg har et poeng som redaktører og journalister bør merke seg, og som vi har fått bekreftet i kontakt med Folkehelseinstituttet: Det er ikke avgjørende om enkelte grupper i spesielle yrker eller funksjoner vegrer seg mot å bruke Smittestopp.

 

Kildevernet er styrket

Kildevernet er et helt sentralt prinsipp i journalistikken. Kildevernet, anonymitetsretten og redaktøransvaret er uløselig knyttet til hverandre og har vært det helt fra 1790 og til i dag. Kildevernet innebærer både en rett og en plikt for redaktører og journalister.

Retten består i muligheten til å nekte å oppgi navnet på kilder man ønsker å beskytte og gjelder i Norge primært som et fritak for forklaringsplikt i rettssalen. Denne muligheten er ikke absolutt, selv om den er styrket de siste årene. Plikten derimot er absolutt.

Har man lovet en kilde anonymitet, så må det løftet holdes. Men lover vi mer enn vi kan holde? 

Parallelt med at kildevernet er styrket juridisk har nemlig de faktiske truslene mot kildevernet økt. Det er et malapropos at samtidig som vi diskuterer utfordringer med bruk av Smittestopp for journalister og redaktører, så sender regjeringen et forslag til ny lov for etterretningstjenesten til Stortinget.

Den loven åpner for massiv innsamling og lagring av trafikkdata, og inngrep i kildevernet uten forutgående domstolskontroll.

Tvangsmessig innsamling og lagring av data fra offentlige myndigheter, frivillig avgivelse av lokasjonsdata og andre opplysninger til ulike operativsystemer og leverandører av apper og tjenester og økte muligheter for kriminelle, fremmed etterretning/land med fiendtlige hensikter eller andre som ønsker tilgang til denne informasjonen, å hacke seg inn på systemene for å kunne hente ut data, utgjør reelle trusler også mot kildevernet.

Det formelle kildevernet er altså styrket, mens det reelle kildevernet trolig er svekket. Det siste krever at redaktører og journalister hever bevissthets- og beredskapsnivået med tanke på hvordan vi rent praktisk håndterer kildevernet.

Det er mot dette bakteppet vi må vurdere Smittestopp.

 

Flere forhold bekymrer

Det er flere forhold ved Smittestopp som er bekymringsfulle sett opp mot kildevernet:

  • Kan avdekke kildekontakt

Dersom en journalist som blir smittet har hatt et fortrolig møte med en kilde vil vedkommende bli identifisert og kontaktet av myndighetene. Hvis en journalist har kildemøte med en fortrolig kilde, og en tredjeperson i umiddelbar nærhet av disse viser seg å være smittet, kan myndigheter også gjennom påfølgende smittekartlegging sannsynliggjøre en kontakt mellom kilde og journalist gjennom «overskuddsinformasjon». 

  • Fare for nedkjølende effekt

Det er også naturlig å være oppmerksom på at nettopp det at det skapes usikkerhet rundt at myndighetene vil kunne ha tilgang til kildesensitiv informasjon, vil kunne ha en nedkjølende effekt på medienes tilgang på kilder. Medienes omdømme er helt avhengig av at publikum skal være overbevist om at de kan kontakte og kommunisere med en journalist uten å risikere bli overvåket av myndighetene eller å bli avslørt som kilde. 

  • Utviklet på rekordtid

Smittesporingsappen er utviklet på svært kort tid, med en type teknologi som forbindes med regimer og samfunn vi ikke liker å bli assosiert med. Dette er påpekt av flere instanser, også den nedsatte ekspertgruppen i deres foreløpige rapport. 

  • Innsamling og lagring av data i bulk

Enhver form for innsamling av person- og lokasjonsdata i bulk, uten forhåndsvurdering og uten et klart formål knyttet til den enkelte innsamling utgjør et potensielt personvern- og kildevernproblem. Når denne typen informasjon blir lagret i så stort omfang øker det attraksjonsverdien for dem som har andre hensikter enn det som er poenget med innsamlingen. 

  • Innsamling til flere formål

Folkehelseinstituttet (FHI) har bestemt at appen skal ha et tilleggsformål: Foruten å drive smittesporing, skal den også brukes til å måle effekten av samfunnstiltak, gjennom at man studerer og forsker på de aggregerte dataene på befolkningsnivå. Flere eksperter har advart mot det å samle inn og lagre mer data enn det som er absolutt nødvendig for å oppnå formålet. Løsningen for anonymisering av dataene for analyseformål er heller ikke klar ennå. Selv om man fjerner informasjon om telefonnumre og ID-en den enkelte bruker har i systemet, vil nøyaktige lokasjonsdata i mange tilfeller langt på vei kunne avsløre identiteten til enkeltpersoner. Å sørge for anonymitet her er helt sentralt for å sikre kildevernet. 

  • Sentral lagring av data.

FHIs løsning forutsetter at alle sporingsdataene som appen samler løpende på den enkeltes telefon skal overføres til og lagres sentralt, på en server i Irland som myndighetene kontrollerer. Den norske løsningen er langt mer invaderende, enn for eksempel en løsning som er utviklet i Sør-Korea, fordi den en gang pr time flytter dataene fra telefonen til et sentralt lager med den risikoen dette kan innebære. Og det er utnyttelsen av aggregerte data som nødvendiggjør dette, ikke selve smittevernarbeidet.

  • Fare for formålsutglidning og lekkasjer

Flere uavhengige eksperter mener muligheten er stor for en formålsutglidning i en gitt situasjon er stor, for eksempel i forbindelse med en alvorlig kriminell handling, og at dette kan åpne for at alle opplysningene i appen blir brukt til noe helt annen enn det opprinnelige formålet.

  • Manglende åpenhet om kildekoden

Folkehelseinstituttet og Simula er blitt kritisert av mange for ikke å offentliggjøre kildekoden for appen. «Det eneste som kan sikre tilliten til en app som dette, er at all informasjon om infrastruktur og all kildekode kan bli gjennomgått av borgerne. Alt annet vil gi inntrykk av at det er noe å skjule», skrev teknologiskribent Sigve Indregard i Agenda Magasin 30. mars.

  • Fare for hacking og svindel.

Den type personopplysninger som appen Smittestopp samler inn er meget attraktive å få tilgang på. Kort tid etter lansering av appen hadde datautvikler Hallvard Nygård laget et eget sporingsprogram til sin mobiltelefon som lytter etter signalene som Smittestopp-appen sender til andre telefoner i nærheten. Det tok 10 minutter for NRK å sette opp et system som sender ut falske sms-varsel fra Smittestopp. 

 

Hva bør redaktørene gjøre?

Norsk Redaktørforening har utarbeidet en veileder om bruk av appen Smittestopp.

En kortversjon av våre råd til redaktørene ser slik ut:

  • Vær på vakt mot alle trusler mot kildevernet og sørg for at alle redaksjonelle medarbeidere er klar over farer knyttet til å gi fra seg digitale spor eller andre opplysninger som kan blåse kilder
  • Vær oppmerksom på nedkjølingseffekten. Vi må kunne overbevise publikum om at vi ivaretar kildevernet, også når det settes under press. Hvis ikke risikerer vi at flere vil vegre seg for å ta kontakt med, eller la seg kontakte av, journalister og redaktører.
  • Vurder nøye om du vil velge å åpne for bruk av appen på redaksjonens arbeidsverktøy, og i så fall hvilke medarbeidere som ikke bør ha den installert. Det viktigste er at du og redaksjonen for øvrig har et bevisst forhold til denne appen og andre tjenester som lagrer geo/persondata. Lytt til synspunkter fra medarbeiderne og ha god dialog med de tillitsvalgte.
  • Benytt anledningen til en generell bevisstgjøring rundt betydningen av godt kildevern. Minn om at fortrolig kildekontakt i størst mulig bør grad bør skje enten ved fysiske møter eller via krypterte kanaler.
  • Kildevern bør være jevnlig tema i redaksjonen. Utarbeid gjerne en enkel «kildevernmanual».
  • Del gjerne. Fortell åpent om hvilke rutiner dere har for bruk av Smittevern-appen både i egen organisasjon og til publikum.

Denne åpenheten vil vi også oppfordre FHI og de øvrige helsemyndighetene å vise.

Når de oppfordrer det norske folk til å delta i dugnaden ved blant annet å gi fra seg omfattende persondataopplysninger, er det en selvfølge at de selv praktiserer størst mulig åpenhet om hvilke endringer som blir gjort, om kildekoden for appen og hvordan de skal løse anonymitetsutfordringene knyttet til analysedelen.

Til toppen