Fem måneder har gått siden Folkehelseinstituttet (FHI) bestemte seg for å fjerne all data og stanse videre innsamling til appen Smittestopp.
Avgjørelsen kom som en følge av et varsel fra Datatilsynet om et forbud. Frem til da hadde det haglet med kritikk fra det norske utviklermiljøet, hvor det ble påpekt ting som hvorfor appen og systemet ikke har åpen kildekode, og tryggheten i hvordan dataene ble lagret.
Stopper Smittestopp - slik reagerer norske utviklere
- Det er dumt vi mister dataen, men verre at de ikke samlet den på en forsvarlig måte, skrev Eivind Elseth på Twitter.
En av dem som engasjerte seg i diskusjonen rundt appen var den 44 år gamle sjefsutvikleren i Sopra Steria, Johannes Brodwall. Som blant annet skrev et innlegg på kode24 om de forskjellige løsningene rundt omkring i verden.
Men selv om Smittestopp-appen stoppet, ble ikke prosjektet lagt ned. Nå jobbes det nemlig med en ny versjon av Smittestopp-appen, som trolig skal lanseres 21. desember.
Og Brodwall er en av dem som er med i fagrådet: En gruppe som er valgt ut av FHI til å bistå i prosjektarbeidet.
Brodwell forteller at denne gangen er han sikker på at tjenesten blir bedre.
Fra opprop til fagråd
- Når Smittestopp 1 ble utviklet var jeg en av flere initiativtakere til en opprop for bedre personvern i løsningen, forteller Brodwall om bakgrunnen for hvorfor han nå er engasjert i faggruppen rundt Smittestopp 2.
Oppropet fikk rundt 300 signaturer fra teknologer og jurister i industrien og akademia, og skapte debatt, blant annet i Den norske dataforeningen, hvor Brodwall er engasjert.
«Jeg tror FHI så på det som en god ide å ha tett dialog med tidligere kritikere.»
Da FHI skulle bygge Smittestopp 2 tok de kontakt med nettopp Den norske Dataforeningen og Tekna for å finne folk som disse organisasjonene mente kunne være nyttige rådgivere.
- Dataforeningen anbefalte både meg og Trond Arve Wasskog som også var en av initiativtakerne. Jeg tror FHI så på det som en god ide å ha tett dialog med tidligere kritikere, slik at man kunne komme i forkant av spørsmålene, forteller Brodwall.
Han forteller at Blindeforbundet og foreningen Likestilling, inkludering og nettverk (LIN), som jobber for at minoritetsbefolkning skal bli aktive deltakere i samfunnet, ble kontaktet på samme måten.
FHI lytter
Brodwall forteller at fagrådet blir invitert til både arkitektur- og demomøter i Smittestopp-utviklingen, og at alle i rådet stiller på frivillig ubetalt basis i møtene.
- Vi har opplevd at FHI er veldig interessert i å høre på råd og erfaringer rundt det som tas opp i disse møtene, forteller Brodwall.
Åpen kildekode-utvikler forsvarer korona-appens lukkede kildekode
Han sier også at informasjonen fagrådet mottar er ikke er eksklusiv, og at i utgangspunktet skal alt bli publisert offentlig.
- Vi fire som ble foreslått av Tekna og Dataforeningen kommuniserer også mye med andre personer som har vært interessert i Smittestopp, og sørger for at innspill fra disse blir kanalisert inn til FHI, forteller Brodwall.
Et at tiltakene for å høre mer fra utviklermijøet har vært å opprette en Slack, hvor alle er velkomne, forteller Brodwall. På Twitter har han lagt ut en post hvor han forteller at folk kan sende han en melding, for å bli lagt til i serveren.
- Her er det rom både for å komme med tilbakemelding både når det gjelder teknisk løsning, juridiske problemstillinger og brukeropplevelse.
Mindre inngripende
Brodwall forteller at en av de største forskjellene mellom Smittestopp 1 og 2 er hvor inngripende datainnsamlingen er.
Smittestopp 1 samlet nemlig inn både kontaktinformasjon og lokasjonsinformasjon om alle brukere, uansett om de var smittet eller ikke.
- Det store problemet med første versjonen av Smittestopp var at den samlet inn svært mye personinformasjon som kan være veldig sensitiv, forteller Brodwall.
«Før man eventuelt får påvist smitte lagrer Smittestopp 2 kun informasjon lokalt på telefonen.»
Han sier han i begynnelsen også trodde det ville være en god avveining å samle inn mye opplysninger for å bekjempe krisa. Når tilsvarende prosjekter i verden startet å materialisere sier han derimot at det ble åpenbart at det fantes mindre inngripende strategier, noe Smittestopp 2 følger opp.
- Før man eventuelt får påvist smitte lagrer Smittestopp 2 kun informasjon lokalt på telefonen. Når man får påvist smitte kan man velge å laste opp den informasjonen som er nødvendig for at andre skal varsles, forteller Brodwall.
Informasjonen blir derimot ikke koblet til deg som enkeltperson selv om du velger å laste den opp. Brodwall forteller at utviklermiljøet i Norge jobber for at det skal være teoretisk umulig å gjenopprette kobling mellom kontaktinformasjon og data du sender inn.
Smittestopp 2 vil være basert på kontaktsporingsteknologi fra Apple og Google, og dermed være samme som en rekke andre land i Europa. Løsningen baserer seg konkret på den danske smittesporings-løsningen Smitte|stop.
- Med Smittestopp 2 går vi i samlet flokk med resten av Europa noe som sikrer at både teknisk løsning og personvern vil ligge på en god standard, forteller Brodwall.
- Vil du spores av én app, la det være Smittestopp
Åpen kildekode
Planen for kildekoden er at alt skal publiseres åpent, på Folkehelseinstituttets Github.
Serveren som verifiserer folk som rapporterer smitte ligger for eksempel allerede ute under prosjektet Fhi.Smittestop.Verification.
Selve appen ligger riktignok ikke ute, fordi den blir en kopi av den danske appen som ikke er publisert ennå.
- Det er noen formelle ting som må på plass før den blir lagt ut, men vi har fått høre at det kommer snart.
Brodwall forteller at åpen kildekode allerede har gitt noen interessante effekter.
- I diskusjonen på Slack har Tjerand Silde som er en kryptografiforsker ved NTNU foreslått en forbedring i personvernet gjennom smart bruk av kryptografiske algoritmer.
- Det har blitt en interessant dialog og en liten gruppe utviklere jobber nå med å legge inn et endringsforslag i koden til Smittestopp får å implementere dette. Så allerede etter et par uker ser vi positive sider av åpenheten.
Brodwall forteller at det er for tidlig å si hvor stor effekt appen vil ha, der har man ikke nok erfaring fra andre land ennå. Men han tror Smittestopp 2 blir bedre på én ting.
- Med den åpenheten og innstillingen rundt personvern som FHI viser nå, så er jeg i det minste sikker på at den vil være trygg å bruke.
OPPDATERING: Kildekoden til appen er nå sluppet https://github.com/folkehelseinstituttet/Fhi.Smittestopp.App
Slik fanger man et virus med telefonen
Johannes Brodwall forklarer hvordan den norske Smittestopp-appen fungerer - og hvordan andre land løser koronasporing.