NIM har gjort en foreløpig vurdering av de juridiske problemstillingene knyttet til appen «Smittestopp». Forholdet mellom personvernhensyn på den ene siden, og smittesporing og analyse av smittespredning på den andre drøftes i denne artikkelen.
Innledning
Den 16. april 2020 lanserte Simula og Folkehelseinstituttet «Smittestopp».1 Smittestopp er en app som samler informasjon om brukerens bevegelser og nærkontakter med andre personer til bruk i myndighetenes arbeid med å begrense spredningen av koronaviruset. Det er frivillig å laste ned appen.
Innhenting, lagring og behandling av lokasjonsdata og opplysninger om nærkontakt mellom innbyggerne i så stort omfang, reiser en rekke juridiske problemstillinger. Blant disse er forholdet til retten til privatliv etter blant annet Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8. Forholdet til disse bestemmelsene er ikke omtalt i statsrådsforedraget til den kongelige resolusjonen som fastsatte forskriften.
Både når det gjelder inngrep i menneskerettigheter, og ved utformingen av systemer som behandler persondata, er det et grunnleggende utgangspunkt at tiltak ikke skal gripe mer inn i enkeltpersoners private sfære enn nødvendig. Dette kan gjerne kalles det minste inngreps prinsipp, eller, innenfor personvernsjargongen, dataminimering. Regjeringen har gitt uttrykk for at appen vil kunne bidra til lettelser i andre inngripende smitteverntiltak, slik som begrensninger og inngrep i andre menneskerettigheter som bevegelsesfriheten, forsamlingsfriheten og retten til privatliv. De privatlivs- og personvernsbegrensningene som appen fører med seg må derfor sees i sammenheng med de eventuelle konsekvensene dette kan ha for lettelser i andre tiltak. Hvorvidt slike forventninger faktisk innfris må vurderes fortløpende.
Det er viktig at det fortløpende drøftes om løsningen kan gjøres mindre inngripende, herunder gjennom å tilby brukerne en større grad av valgfrihet om omfanget av innsamling og lagring av opplysninger, og i hvilken grad de to formålene med løsningen da kan ivaretas.2Det er også viktig at det forklares tydelig hvilken merverdi merinngrepet gjennom sentral lagring, innebærer. I denne forbindelse vil det kunne være av stor betydning om slike inngrep kommer som et alternativ til andre inngrep, som restriksjoner på bevegelse og forsamlinger.
Det er sentralt at blant annet Datatilsynet følger med på den videre utviklingen av appen og bruken av innsamlede data, noe Datatilsynet har varslet at de vil gjøre.
Betydningen av frivillighet og formålet med innsamlingen
Myndighetene er forpliktet til å respektere innbyggernes rett til privatliv, som er beskyttet av blant annet Grunnloven § 102 og EMK artikkel 8. Et utgangspunkt for en drøftelse av om privatlivet trås for nært, er om Smittestopp-løsningen faktisk utgjør et inngrep i disse rettighetene, og i så fall om dette inngrepet oppfyllet vilkårene for inngrep ved at det skjer i samsvar med lov, er begrunnet i et legitimt formål og er nødvendig (herunder forholdsmessig).
For at opplysninger skal samles inn fra deltagernes mobiltelefon, må den enkelte selv velge å installere appen.3 Dersom en deltager sletter appen, skal opplysninger i henhold til forskriften straks slettes eller anonymiseres.4 Det kan derfor i prinsippet diskuteres om innhenting og lagring av lokasjonsdata og nærkontakthistorikk basert på deltagernes samtykke utgjør et inngrep i retten til privatliv, eller om det i stedet er tale om et avgrenset avkall på retten til privatliv.
Den europeiske menneskerettsdomstol (EMD) har lagt til grunn at rettighetshavere kan gi avkall på enkelte rettigheter etter EMK. For at et avkall skal være gyldig må det foreligge et tilstrekkelig opplyst samtykke,5 og avkallet må være avgitt på en utvetydig måte med rettssikkerhetsgarantier som står i forhold til betydningen av avkallet.6 Avkallet skal ikke stå i et motsetningsforhold til viktige offentlige interesser – det kan for eksempel ikke gyldig gis avkall på retten til ikke å bli diskriminert på grunnlag av rase eller kjønn.7 Saken M.S. v. Sverige8illustrerer at domstolen prøver hvor langt et eventuelt samtykke strekker seg: en søknad om en trygdeytelse, som innebar at trygdeverket uten hinder av taushetsplikt kunne innhente opplysninger om søkeren, kunne ikke anses som et samtykke til utlevering fra en kvinneklinikk om et svangerskapsavbrudd som kvinnen hadde fått utført. Delingen av disse opplysningene med trygdeverket ble på grunnlag av dette ansett som et inngrep i retten til privatliv, men det oppfylte vilkårene for inngrep og var rettmessig, jf. EMK artikkel 8 nr. 2.
I statsrådsforedraget til forskriften som regulerer Smittestopp er det lagt til grunn at det vil «kunne oppstå en viss tvil om hvorvidt den enkeltes samtykke oppfyller de strenge kravene i EUs personvernforordning for at et samtykke skal være gyldig i forordningens forstand».9 Det vil gå for langt i denne sammenhengen å foreta en detaljert sammenligning av forholdet mellom kriteriene i EMDs praksis for gyldig avkall på retten til privatliv etter EMK artikkel 8, og kriteriene for samtykke til behandling av personopplysninger etter EUs personvernforordning (GDPR).10 Det kan imidlertid konstateres at det etter begge regelsett kreves at samtykket er reelt frivillig, informert og spesifikt, og avgitt på en utvetydig måte. Det vil være vanskeligere å akseptere et samtykke som et gyldig avkall på rettigheter etter EMK artikkel 8 dersom det ikke oppfyller kriteriene etter GDPR omtalt ovenfor, enn hvis kriteriene er oppfylt.
Selv om det er en viss rettslig usikkerhet, legges det inntil videre til grunn at den innsamlingen og behandlingen av data som Smittestopp-løsningen innebærer utgjør et inngrep i retten til privatliv etter EMK artikkel 8. Den omstendighet at Smittestopp er en løsning som blant annet skal gi innbyggerne varsel om at har hatt en mulig smitteoverførende nærkontakt med en person som har fått påvist covid-19-smitte – og at innbyggere ikke har mulighet til å nyttiggjøre seg denne varslingstjenesten med mindre de godtar fullt og helt all den innsamling og behandling av personopplysninger som Smittestopp muliggjør – taler også for å anse tiltaket som et inngrep.
Formålene som inngrepet skal fremme knytter seg direkte til ivaretakelse av folkehelsen, som er et lovlig formål etter EMK artikkel 8 nr. 2.11Det legges derfor til grunn at de formål som skal fremmes gjennom forskriften og den tekniske løsningen som skal lanseres er legitime.
Krav om lovmessighet og nødvendighet
For at et inngrep i privatlivet som ivaretar et lovlig formål skal være i tråd med Grunnloven § 102 og EMK artikkel 8, kreves det også at inngrepet skjer i samsvar med loven og at det er nødvendig i et demokratisk samfunn, jf. EMK artikkel 8 nr. 2.12
Når det gjelder kravet om lovmessighet, er det positivt at ordningen er regulert gjennom en egen forskrift som fastsetter blant annet kravet om frivillighet samt bestemmelser om omfang av datainnsamling og sletting. Grunnlaget for databehandlingen etter GDPR forutsettes å være GDPR artikkel 6 nr. 1 bokstav e, som gir adgang til å behandle personopplysninger når det er nødvendig for å utføre en oppgave i allmennhetens interesse.13 Forutsatt at dette er rettslig holdbart, står FHI og utviklerne av Smittestopp dermed friere til å innrette innsamlingen og behandlingen av data enn dersom de måtte forholde seg til kriterier for gyldig samtykke etter GDPR, som er omtalt ovenfor.
Vilkåret om nødvendighet fordrer en vurdering av om inngrepet svarer til et presserende samfunnsmessig behov og om inngrepet er proporsjonalt sett i lys av formålet. I denne forbindelse må det foretas en avveining mellom relevante hensyn som gjør seg gjeldende.14 Det er i utgangspunktet ikke avsagt noen dommer fra EMD som eksplisitt omhandler en tilsvarende type app som innsamler lokasjonsdata og bruker Bluetooth til å fastlegge nærhet til andre telefoner. De menneskerettslige avveiningene man må foreta her, vil derfor måtte lene seg på momenter fra dommer på andre rettsområder.15
Smittestopp-løsningen skal ha som formål å forenkle smittesporing, men også å danne grunnlag for analyser av smittespredning og befolkningens atferd på aggregert nivå.16 En nærmere vurdering av nødvendighet bør derfor ta høyde for at de to formålene kan nødvendiggjøre ulike virkemidler. Smittestopp-appen bygger på en løsning hvor både GPS og Bluetooth-teknologi brukes for å samle inn data om brukernes lokasjon og nærhet til andre brukere. Når både lokasjonsdata og opplysninger om hvem man har hatt nærkontakt med samles, dannes en helhet som gir et ikke ubetydelig innblikk i en persons bevegelsesmønster og sosiale nettverk. I praksis fra EMD legges det vekt på helheten av ulike data som samles inn for å vurdere hvor tungtveiende inngrep i personvernet og privatlivet det er tale om.17
Et utslag av nødvendighetsvilkåret er at den som gir samtykke til innhenting av opplysninger bør gis kontroll over opplysningene i den grad det lar seg gjøre. Dette hensynet ville kunne ivaretas bedre i en løsning der brukerne kan velge i hvor stort omfang datainnsamlingen skal skje. Med andre ord et valg om de ønsker å oppgi data om nærkontakter som skal brukes til konkret smittesporing og/eller oppgi lokasjonsdata som kan brukes til analyser av virkninger av smittetiltak med videre. Dersom løsningen innrettes slik at brukerne må velge mellom alt eller ingenting, slik som i Smittestopp, kan dette både utgjøre et større inngrep i privatlivet enn det som er nødvendig for å fremme effektiv digital smitteoppsporing, og det kan medføre at færre velger å delta i programmet enn dersom løsningen tilbød en større grad av valgfrihet. Ønskeligheten av en slik valgfrihet fremgår også av rapporten fra en uavhengig ekspertgruppe som gjennomgikk koden til Smittestopp på oppdrag fra FHI i begynnelsen av april.18 For at inngrepet i innbyggernes privatliv som ordningen innebærer skal kunne sies å være nødvendig, herunder forholdsmessig, sett opp mot formålet om å fremme smittesporing, ville det være mer fordelaktig å innføre en slik valgmulighet som ekspertgruppen beskriver. Dersom en innfører valgmuligheter i appen, vil det også være nærliggende å vurdere om formålet med smittesporing kan ivaretas tilstrekkelig godt gjennom en valgmulighet for desentralisert lagring av opplysningene.
Vurderingen av om inngrepet er forholdsmessig reiser flere krevende spørsmål. Smittevern er en lovpålagt oppgave,19 og det er gjort unntak fra taushetsplikt for dette formålet.20 En person som er smittet med en allmenfarlig sykdom har opplysningsplikt overfor det offentlige som blant annet omfatter hvem den smittede kan ha fått sykdommen fra, og hvem den smittede kan ha overført smitte til.21 At personen allerede er lovpålagt å gi opplysningene det er tale om, vil trolig spille inn på vurderingen av om inngrep i privatlivet som fremskaffer disse opplysningene kan anses rettmessige. Men denne opplysningsplikten gjelder altså bare for den smittede, og ikke for den smittedes nærkontakter. Bruken av det automatiserte verktøyet Smittestopp, og informasjonen som innsamles, går også utover det en ville kunne forvente å få opplyst fra en person basert på dennes hukommelse og kunnskap, som er det opplysningsplikten baserer seg på.
Etter hvert som flere land og virksomheter utvikler og lanserer digitale verktøy for smittesporing i forbindelse med den nåværende pandemisituasjonen, vil det være naturlig å sammenligne disse løsningene for å vurdere om de inngrepene som den norske løsningen innebærer fremstår som nødvendige og rimelige. Et nærliggende eksempel er Island, der digital smittesporing gjøres gjennom innhenting av nærkontaktdata som lagres lokalt på brukerens telefon i 14 dager. Ved bekreftet smitte, bes brukeren om samtykke til å oversende nærkontakthistorikk til myndighetene.22 Løsningen innebærer en vesentlig mindre grad av inngrep i innbyggernes privatliv enn det som er planlagt i Norge. Tyske myndigheter tok sikte på en løsning med sentralisert lagring, men etter mye offentlig diskusjon om emnet og manglende enighet med Apple om en akseptabel løsning ble det nylig besluttet at dataene i stedet skal lagres lokalt på brukerens telefon.23 I tillegg kan det nevnes at EU-kommisjonen har anbefalt at statene følger et prinsipp om minst mulig inngripende metoder for innsamling, herunder at data om nærkontakt brukes fremfor lokasjonsdata.24 Flere andre løsninger som er lansert eller under utvikling, blant annet en løsning som utvikles i et samarbeid mellom Apple og Google, baserer seg kun på Bluetooth-målinger av nærhet mellom enheter, ikke lokasjonsdata.25 Kravene om nødvendighet og forholdsmessighet etter EMK artikkel 8 nr. 2 kan tilsi at det kreves en god begrunnelse for at innsamlingen som planlegges i Norge avviker fra dette i mer inngripende retning, herunder ved å bruke GPS-sporing av lokasjonsdata.
Det vil også være av betydning å vurdere løpende i hvilken grad det gjør seg gjeldende en risiko for formålsutglidninger, altså at dataene brukes for andre formål enn det de ble samlet inn for.
Det er positivt at forskriften uttrykkelig slår fast formålet med innsamling og lagringen av opplysninger, og at det er uttalt at opplysningene ikke skal benyttes for å «kontrollere om enkeltpersoner overholder råd eller pålegg».26 Forskriften forbyr dessuten tilgjengeliggjøring av opplysningene for politi eller påtalemyndighet samt forsikringsselskaper og arbeidsgivere selv om den registrerte samtykker.27 Nyere rettspraksis gir imidlertid eksempler på at uttrykkelige lovbestemmelser som avgrenser formålet med behandling av opplysninger tolkes innskrenkende. Særlig to høyesterettssaker som gjelder forholdet til barneloven § 24 annet ledd – om rettens adgang til å innhente og gjøre bruk av tidligere innhentet biologisk materiale i farskapssaker – har fått mye oppmerksomhet. I Rt. 2013 s. 565 tillot Høyesterett bruk av biologisk materiale fra behandlingsbiobank i en farskapssak, til tross for at dette i henhold til ordlyden i behandlingsbiobankloven § 15 krever samtykke fra personen som har avgitt materialet. I HR-2018-2241-U tillot Høyesteretts ankeutvalg at biologisk materiale innhentet i forbindelse med en straffesak kunne brukes i en farskapssak, til tross for at politiregisterloven § 12 uttrykkelig slår fast at opplysningene i registeret kun skal brukes i strafferettspleien.28 I avgjørelsene ble det lagt stor vekt på at det i forarbeidene til disse bestemmelsene ikke var noen uttalelser om forholdet til barneloven § 24, og at reelle hensyn etter rettens syn tilsa at materialet skulle kunne brukes. Selv om argumentasjonen i disse avgjørelsene skaper en viss begrunnet uro for nye innskrenkende fortolkninger av bestemmelser som etter sin ordlyd avskjærer utlevering av innsamlede opplysninger, er det grunn til å peke på at forskriften som regulerer Smittestopp har noe sterkere bestemmelser som hindrer utlevering av opplysninger til bestemte offentlige og private aktører kunne vært potensielle interessenter for disse opplysningene. Ettersom forskriften på denne måten positivt utelukker bestemte formål eller mottakere, står bestemmelsen i en noe annen stilling enn behandlingsbiobankloven § 15 og politiregisterloven § 12. Det ville derfor være noe overraskende – og i alle tilfeller uheldig med tanke på innbyggernes tillit til myndighetenes behandling av personopplysninger – om argumentasjon for bevistilgang bygget over samme lest som flertallets argumentasjon i de to nevnte Høyesterettssakene skulle føre til at personopplysningene innhentet gjennom Smittestopp kunne brukes til andre formål enn det brukerne har gitt sitt samtykke til.
Opplysninger som gis til myndighetene gjennom Smittestopp vil i utgangspunktet omfattes av det de relative bevisforbudene for opplysninger undergitt lovbestemt taushetsplikt ved tjeneste eller arbeid for stat eller kommune, etter tvisteloven § 22-3 og straffeprosessloven § 118. Noe mindre klart er det om opplysninger som gis gjennom applikasjonsverktøyet også utgjør betroelser til helsepersonell som omfattes av de vesentlig strengere bevisforbudene etter straffeprosessloven § 119 første ledd, eventuelt deres medhjelpere jf. bestemmelsens annet ledd, samt tilsvarende bevisforbud i tvisteloven § 22-5. Det må antas at opplysninger som gis manuelt i forbindelse med smittesporing regelmessig vil kunne utgjøre slike «betroelser», og det er vanskelig å se gode grunner til at opplysninger gitt for å muliggjøre smittesporing skal nyte et dårligere fortrolighetsvern fordi myndigheten tar i bruk digitale verktøy for å effektivisere dette arbeidet. En klargjøring av at opplysninger som overføres til myndighetene gjennom bruk av dette verktøyet og som kan knyttes til enkeltpersoners bevegelser og nærkontakter utgjør betroelser og dermed omfattes av bevisforbud, ville kunne styrke vernet mot formålsutglidning.