Smittestoppappen som ble lansert våren 2020, er nå død og begravet. Appen var kontroversiell fra starten, ut fra funksjonalitet, sikkerhet, effektivitet – og lovlighet. Til slutt var det Datatilsynets vedtak som felte den. Smittestopp 2 er snart på vei etter at Folkehelseinstituttet (FHI) har inngått avtale med Netcompany som har laget danske Smittestop. En vesentlig endring fra den forrige norske appen, er at Smittestopp 2 skal rendyrke varsling til nærkontakter uten at enkeltpersoners bevegelsesmønster eller kontakter blir kjent for FHI. Det er lagt til grunn av Stortinget, Datatilsynet og Helse- og omsorgsdepartementet at bruken av appen skal være frivillig og basert på den enkeltes samtykke.
Denne kommentaren argumenterer for at Smittestopp 2 er et smitteverntiltak som bør ha hjemmel i lov, og at samtykke ikke er et tilstrekkelig rettslig grunnlag.
Myndighetsutøvelse
Smittestopp 1 var hjemlet i forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19. Denne ble opphevet 9. oktober. Den nye appen vil derfor ikke ha hjemmel i lov. Det er vurdert at bruken av appen ikke vil være myndighetsutøvelse, og at samtykke vil være et tilstrekkelig rettslig grunnlag etter personvernforordningen.
Når offentlig myndigheter tilbyr en tjeneste til borgerne, er det imidlertid ikke bare et spørsmål om rettslig grunnlag etter personvernforordningen, men hvorvidt selve myndighetsoppgaven må ha hjemmel i lov.
Hvis etableringen av appen ikke bygger på FHIs myndighet, kan vi stille spørsmål ved hvorvidt hvilken som helst aktør, inkludert private aktører, kan tilby en tilsvarende varslingsapp. Eller er det en eksklusiv oppgave for helsemyndighetene som springer ut fra deres ansvar for smittevern, og som er begrunnet i den pågående pandemien? Til tross for at bruken av appen i seg selv ikke utgjør et inngrep i den enkeltes privatliv (slik den nå er tenkt utformet), kan det være nødvendig å regulere helsemyndighetens rolle og rammene for et digitalt verktøy som skal supplere andre smitteverntiltak.
Vi må anta at dette er utøvelse av oppgaver FHI har etter smittevernloven, og at dette er et tiltak som er knyttet til - og dermed begrenset til - smittesporing av Covid-19. Nettopp derfor bør det være en klar hjemmel også for bruk av appen, selv om vi normalt ikke regulerer i detalj teknologivalg som forvaltningen tar. FHI har tross alt smittevernoppgaver utenom Covid-19, og kan det da tenkes at de kan lage andre smittevernapper basert på samtykke fra brukerne, for eksempel en app som varsler Tindermatchene dine om at du har testet positivt for chlamydia? Vi får håpe svaret er nei
Det er heller ikke opplagt at det er innenfor FHIs myndighet å lage og tilby en slik app. Ansvaret for koordinering og etablering av e-helseløsninger er ellers lagt til Direktoratet for e-helse og Norsk helsenett. Hvis vi legger til grunn at oppgaven kan utledes av smittevernloven kapittel 7, er ansvaret for smittesporing, veiledning til befolkningen og overvåking av smitteutbrudd lagt til ulike aktører på kommunalt og statlig nivå. Det er kommunene som primært har ansvar for smittesporing og identifisering av nærkontakter. Det er derfor nærliggende at det er kommunene som kunne etablert en app som et smittesporingsverktøy, og dermed bestemt formål og utforming av funksjonalitet. I forskriften for Smittestopp 1, var det regulert at FHI kunne etablere et digitalt smittesporingsverktøy og at instituttet skulle være behandlingsansvarlig etter personvernforordningen. Siden forskriften er opphevet følger FHIs ansvar ikke lenger av hjemmel i lov, men av tildelingsbrev fra HOD.
Videre er det planlagt at appen skal ha funksjonalitet for å verifisere at personer faktisk har testet positivt før nærkontakter varsles. Dette skal gjøres ved verifisering via ID-porten til Meldingssystemet for smittsomme sykdommer (MSIS). FHI har ansvar for MSIM, og bruken av appen er derfor ikke frakoblet FHIs rolle som myndighetsutøver. Tilgang til og bruk av opplysninger fra MSIM følger av forskrift, og det vil være ryddig å regulere hvordan oppslagene og koblingen med appen skal være. Tilsvarende funksjonalitet er laget for danske Smittestop, og der er denne koblingen til bakenforliggende registre regulert i forskrift.
Skjørheten i samtykke
Den strukturelle maktubalansen mellom myndighetene og borgerne gjør at det offentlige har en meget snever mulighet for å benytte seg av individuelt samtykke i personvernsammenheng.
Vurderingen fra FHI er at minst halvparten av befolkningen må bruke appen for at den skal ha effekt som et smittesporingsverktøy, og at nytteverdien vil øke med andelen brukere. Det kan bli krevende å gi oppfordringer og informasjon om bruk samtidig som kravet til samtykke ivaretas. Legges samtykke til grunn må derfor myndighetene trå svært varsomt i kommunikasjonen om appen slik at det ikke tipper over i en form for frivillig tvang. For eksempel kan Statsmininsterens oppfordring til befolkningen om å laste ned Smittestopp 1.0 «hvis vi skal få hverdagen og friheten tilbake», potensielt anses for å være et utilbørlig politisk og moralsk press som reiser tvil som befolkningens samtykke kan være frivillig.
At bruken av Smittestopp 2 skal være frivillig må ikke forveksles med at det rettslige grunnlaget etter personvernforordningen må være samtykke. Det kan også følge av lovgivningen at en handling skal være frivillig, slik det var regulert i forskriften for Smittestopp 1. Dette uttaler også det europeiske personvernrådet i sine retningslinjer om digitale kontaktsporingsverktøy. Rådet understreker at bruken av slike apper må være frivillig, men at et naturlig rettslig grunnlag vil være hjemmel i lov fordi det er en tjeneste som tilbys av en offentlig myndighet. Det stilles strenge krav til utforming av hjemmelen. Det må fremkomme klart at bruken av appen er frivillig, det må gis snevre rammer for bruk for å hindre formålsutglidning og behandlingen skal begrenses til det strengt nødvendige i både omfang og tid.
Siden Smittestopp 2 i stor grad skal baseres på den danske smittesporingsappen, er det også verdt å merke seg at den danske løsningen er regulert i forskrift med hjemmel i epidemiloven. Prinsipper, formål og teknologiske løsninger for appen bygger på en politisk avtale mellom regjeringen og partiene på Folketinget. Tilsvarende er den finske appen regulert i et midlertidig kapittel til lov om smittsomme sykdommer. Slik sikrer våre naboland parlamentarisk kontroll med et potensielt svært inngripende tiltak.
Konklusjon
Det har vært stort engasjement og debatt om smittestoppappen. At det nå skisseres en løsning som er langt mindre personverninngripende enn den forrige appen er ikke en god begrunnelse for at vi kan lene oss tilbake, bruke samtykke og glemme hjemmel. Hjemmel gir forutsigbarhet og åpenhet for borgerne, og det vil være mulig å kontrollere underveis at appen faktisk er utformet i tråd med regelverket og at FHI utøver sin myndighet i tråd med hjemler de er gitt. Og ikke minst kan det sikre den legitimitet og tillit dette tiltaket sårt trenger dersom det skal ha effekt.