Herregud så lei jeg er av cookiebannere! De er i veien, de er irriterende og de ødelegger brukeropplevelsen og flyten på nettsiden. Ja - også er de aller fleste ulovlige også!

Det er en veldig enkel grunn til at cookiebannere finnes: ePrivacy-forordningen til EU krever samtykke før en nettside får lov til å skrive en fil til datamaskinen din.

Det skal være valgfritt for meg om nettsiden din skriver en cookie til maskinen min som f.eks. gjør det mulig for Facebook å spore hvilke nettsider jeg har vært inne på. Det tror jeg alle er enige om at burde være opp til meg, og ikke opp til de som driver nettsider.

Dessverre har mange som driver nettsider innsett at de er veldig avhengig av data som de fleste ikke egentlig ønsker å gi fra seg. Og det har ført til den situasjonen vi er i idag.

De fleste cookiebannere ser omtrent slik ut:

Og det er her vi støter på problemer. Cookiebannere baserer seg på samtykke. Etter både ePrivacy-forordningen og GDPR er samtykke veldig klart definert:

“en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger”

Banneret over oppfyller ikke dette. For det første er det vanskelig å hevde at brukeren har vært informert. Hva betyr egentlig at informasjonen skal brukes til å gjøre brukeropplevelsen bedre? Og hvordan blir denne informasjonen brukt til markedsføring? Hvem deles det med? Hva er konsekvensene av dette?

Det brukes også et veldig vanlig “dark pattern” her: Handlingen nettsiden ønsker at vi skal ta er en knapp, den er grønn og plassert til høyre der vi forventer knappen for å gå videre. Det er ingen tydelig knapp for å si nei, i stedet må vi følge en lenke som mest sannsynlig tar oss til en side hvor det fortsatt er vanskelig å finne en knapp som sier “nei”.

Dette oppfyller ikke kravet til at et samtykke skal være gitt frivillig. Når det er så vanskelig å kommunisere at man ikke ønsker å samtykke er det lett å hevde at samtykket ikke egentlig var frivillig, og dermed er ugyldig.

Så hvorfor er det sånn? Det kan være flere grunner: Det å sette cookies som tillater målrettet markedsføring er veldig lukrativt for de fleste bedrifter. Derfor gambler mange på at de ikke kommer til å bli tatt, og at dersom de blir tatt så vil bøtene ikke overstige det de har tjent.

I tillegg er det i Norge for tiden en spesiell situasjon der ePrivacy-forordningen ikke er innført i norsk rett enda. Denne kommer som en del av den nye eKom-loven, men denne har ligget hos Regjeringen i lang tid uten å bli sendt til Stortinget. Først når denne er vedtatt vil det i norsk rett være helt klart definert at disse kravene gjelder. Inntil det er det mange som lener seg på at den gamle eKom-loven sier at det holder at nettleseren aksepterer tredjepartscookies for at dette skal være tillat.

Tiden for den særnorske situasjonen er uansett på vei mot en slutt, og i EU jobber blant annet organisasjonen til Max Schrems - none of your business - hardt for å få datatilsynene til å slå ned på ulovlige cookiebannere. Med litt flaks får vi i 2024 en skikkelig mulighet til å si “nei takk” til cookies.

Cookiebanneret ditt er ulovlig

Elon Musk har skapt furore med sitt oppkjøp av Twitter. Facebook bryt stadig personvernlovene. Men det finst faktisk eit heilt univers av sosiale medium der ute som lét oss eiga innhaldet vårt sjølv, på tvers av appar, utan personvernbrytande reklamar og sporing. Lat meg introdusere deg for Fødiverset.

Som e-post for sosiale medium

The Fediverse, ofte kalla Fødiverset eller Allheimen på norsk, består av ei mengd desentraliserte sosiale medium. For å forstå kva det betyr, lat oss snakka litt om e-post. Eg kan ha Gmail, du kan ha Yahoo. Likevel kan me senda e-post til kvarandre, og bruka akkurat den e-postklienten/-appen me vil, til dømes Apple sin Mail-app. Fødiverset er som e-post for sosiale medium. Sjå for deg at du har éin app og kan få både tweets, Instagram-postar, Facebook-meldingar og snaps i den same straumen.

E-post fungerer som det gjer fordi det baserer seg på ein protokoll som alle e-posttenarar kan snakka og forstå. Denne protokollen heiter SMTP og er frå 1972. Alle applikasjonar som er knytta til Fødiverset må òg snakka det same språket, og har sin eigen protokoll. Denne heiter ActivityPub og vart standardisert av World Wide Web Consortium (W3C) i 2018. I denne artikkelen vil eg ikkje gå for mykje inn på det tekniske. Lat oss heller snakka om kva du finn på Fødiverset, korleis du kjem i gang, og kva det kan bety i framtida.

Eit univers av appar

Sjølv om du ikkje har høyrt om Fediverse før, så kan det kanskje vere du har høyrt om Mastodon. Dette er den klart mest populære appen på Fediverse. Mastodon er ein slags Twitter-klone, der ein deler korte meldingar i kjent Twitter-stil. Ein har òg Instagram-klonen Pixelfed, PeerTube for YouTube, Friendica liknar på Facebook, Bookwyrm liknar på Goodreads. Det finst mange appar på Fødiverset, og alle kan snakke med kvarandre.

Dersom du opprettar ein konto på Mastodon, så kan du så klart følgje andre Mastodon-brukarar, men òg brukarar på Friendica, Pixelfed eller andre ActivityPub-støttande tenester. Det er dette som er så kult med Fødiverset! Det er eit heilt økosystem. Du er ikkje nøydd til å registrere deg hjå éin aktør, du kan finne akkurat den appen eller tenesta som passar deg og dine behov best – og framleis kommunisere med alle andre.

Du må velje server

Dersom du har lyst å kome i gang med Fødiverset så er det første du må gjere å velje server. Akkurat som at du må velje e-posttilbydar som Gmail eller Outlook for å sende e-post, så må du det same for meldingar i Fødiverset.

Kvar server kan ha forskjellige reglar og ønska innhald, så les gjennom dette før du registrerer deg. Den klart største er Mastodon sin hovudserver på https://mastodon.social. Det kan vere ein fin plass å starte. Eit par populære norske er https://oslo.town og https://snabelen.no. Nokre serverar kan nekte å samhandle med andre serverar. Mastodon har gode verktøy for å flytte frå ein server til ein annan, men du er ikkje garantert at andre ActivityPub-appar støttar dette.

Du kan òg køyre din heilt eigen server, om du vil! Mastodon tilbyr kode som gjer det ganske enkelt å setje opp sin eigen Mastodon-instans. Då har du full kontroll, men må sjølvsagt stå for vedlikehald og driftskostnadar sjølv.

Etter du har registrert deg får du ei adresse som andre kan bruka for å identifisere deg. Denne liknar litt på ei e-postadresse. Slike adresser startar med @ etterfølgd av brukarnamnet ditt, etterfølgd av ny @ og så serveren sitt domene. Adressa mi er @draperunner@mastodon.social. Følg meg!

Fødiverset har sine utfordringar

Fødiverset kan verte stort. Verkeleg stort. Men det er nok av utfordringar som kan setje kjeppar i hjula for dette. Eg vil nemne nokre her.

Brukarvennlegheita er ei utfordring. Mastodon er ei digg teneste å bruke, men fleire av dei andre appane ber preg av å vere designa av utviklarane. Folk forventar digge tenester, så det vil vere eit krav for suksess.

Det at ein må finne ut kva for ein server ein vil kopla seg til først, er eit steg ein ikkje treng i dei sentraliserte sosiale media. Om ein vil vere på fleire tenester og serverar, så må ein registrere kontoar på kvar enkelt. Det er rett og slett litt meir komplekst enn tradisjonelle tenester. Mastodon har riktignok gjort det lettare på sine offisielle tenarar ved at mastodon.social er standardvalet.

Å finne folk ein vil følgje er heller ikkje så lett. Ein kan ikkje søke på tvers av alle moglege serverar. Det er inga oppslagsbok for alle brukarar på Fødiverset, sjølv om nokon har prøvd å lage det (t.d. nedlagte FediFinder). Ein kan altså ikkje søke etter folk med fullt namn som på Facebook, ein må få tak i adresser på andre måtar.

Mange populære serverar er i dag drivne av enkeltpersonar. Driftskostnadar veks jo fleire som brukar ein server, så dersom desse kostnadane vert større enn personen kan takle, så må ein kanskje stenge ned. Dette fører til usikkerheit. I tillegg må ein stole på at dei som driv serveren handsamar persondataen og innhaldet ditt på ein forsvarleg måte. Moderering av innhald kan òg verte krevjande for små aktørar dersom serveren vert populær.

Den største utfordringa for konkurrerande sosiale medium er at folk vil vere der andre folk er. Det er vanskeleg å slette Facebook fordi alle vennane dine er nettopp der. Det er rett og slett for få som brukar Fødiverset i dag. Særleg innhaldsprodusentar er viktige å få over.

Store krefter i sving

Sjølv om det er forholdsvis få på Fødiverset i dag, så er det store aktørar der ute med seriøse initiativ for å ta i bruk ActivityPub-protokollen og dermed Fødiverset. WordPress lanserte ActivityPub-plugin i oktober i år. Tumblr har sagt at dei ønskjer å ta i bruk protokollen, men det kan sjå ut som at dette arbeidet har stoppa opp. Flickr har òg ytra at dei snusar på ActivityPub-integrasjon. Om desse får med alle brukarane sine over til Fødiverset, så snakkar me game-changer.

Mozilla Foundation, som står bak blant anna Firefox, viser stor interesse for ActivityPub. Mozilla ønskjer å bidra til å lage sunne og bærekraftige sosiale opplevingar på internett, og har stor pondus med si lange erfaring med open-source-arbeid. Dei har oppretta https://mozilla.social som i skrivande stund har ei venteliste for å joine. Fødiverset treng slike store, tillitsvekkande aktørar.

BBC eksperimenterer med plattformen og forklarar på Fediverse-podcasten Dot Social om tankane og planane sine rundt dette.

Tydelegvis skal over to millionar brukarar ha flytta over frå Twitter til Mastodon allereie november 2022. Det kan tenkast at dette har aukt ein del sidan då.

Eig din eigen data

Ved å køyre din eigen server kan du eige din eigen data. Det er kanskje ikkje så aktuelt for enkeltpersonar, men for bedrifter og organisasjonar burde dette vere interessant. I november 2022 – etter Elon Musk sitt oppkjøp av Twitter – kunne me lese at Politiet var på utkikk etter eit alternativ til Twitter der dei ikkje er avhengige av ein tredjepart. Høyrest ikkje det perfekt ut for Fødiverset?

Offentlege etatar, kommunar og andre verksemder burde vere på Fødiverset. Ikkje tving folk til å vere på sosiale plattformar som bryt personvernet, for å tene verdas rikaste folk.

Samtidig er det forståeleg at Politiet og andre ikkje er på Fødiverset. For dei vil nå folket, og folket er ikkje der – i dag. Det er ein «høna eller egget»-situasjon: innhaldsprodusentane vil ikkje ta i bruk Fødiverset før det er mange nok folk der. Folk vil ikkje vere på Fødiverset før det er nok innhald der.

Spre ordet!

Fødiverset er svært lovande og kan stå for ei drastisk endring av korleis me brukar sosiale medium i framtida. Det er eit heilt økosystem av tenester der ute, med protokollen ActivityPub som motor for det heile. Med Fødiverset kan me skape friare og sunnare samfunn på internett. Men det har mange utfordringar framfor seg som gjer at det vil ta tid før dette vert ein realitet.

Om du synst dette høyrdest spennande ut, så er det eit par ting du bør gjere for å hjelpe Fødiverset med å vekse:

Ta det i bruk sjølv! Registrer deg på f.eks. Mastodon eller Pixelfed. Følg hashtaggen #catsofmastodon for søte kattar og #norsktut for norske norske tutar (ein «tut» er eit innlegg på Mastodon, som «tweet» på Twitter).

Spre ordet! Fortel andre om Fødiverset. Er du journalist som dekkar sosiale medium? Begynn å skrive om moglegheitene i Fødiverset!

Er du influenser eller innhaldsprodusent anten personleg eller gjennom jobben? Begynn å publisere på Fødiverset!

Fødiverset – framtida til sosiale medium?

Google Analytics har vært et omstridt verktøy i lang tid. Ved å inkludere det på nettsidene vi lager hjelper vi Google med å samle inn enda mer data om våre besøkende. Nå har det landet ferske avgjørelser fra datatilsyn i EU som tyder på at verktøyet bryter med GDPR og er ulovlig å bruke.

I lys av Schrems-II dommen ble det klart at overføringer av personinformasjon til USA ikke er i tråd med de beskyttelsene en europeisk borger har krav på. Etter denne dommen valgte organisasjonen Non Of Your Business (NOYB) å melde 101 nettsider for brudd på GDPR fordi de brukte Google Analytics, og dermed sendte persondata til USA.

De siste dagene har det kommet to avgjørelser fra europeiske datatilsyn som tyder på at loven tolkes slik at bruk av Google Analytics vil være å anse som et brudd på GDPR sine restriksjoner mot overføring til tredjeland.

EDPS — datatilsynet for EUs organer — har gitt en reprimande til EU-parlamentet for deres bruk av Google Analytics på en intern nettside for COVID-testing. Dette ble ansett som en ulovlig overføring av personinformasjon til USA, og dermed brudd med den versjonen av GDPR som gjelder for EUs organer.

Østerrikes datatilsyn har i en av de 101 innklagede sakene fra NOYB avgjort at bruken av Google Analytics var i strid med GDPR. Dette er viktig, da Østerrikes datatilsyn er utpekt til å lede en felles innsatsgruppe for å avgjøre alle de 101 klagene. Det er dermed stor grunn til å tro at alle de andre sakene vil gå i NOYBs favør.

Avgjørelsen tar også høyde for om det er tilstrekkelig å benytte seg av funksjonaliteten i Google Analytics som skjuler IP-adressen til brukeren. Max Schrems (ja, den Schrems), som også leder NOYB, svarte klart nei på dette på Twitter.

Alt dette tyder på at bedrifter som benytter seg av Google Analytics, og tilsvarende analyseverktøy der dataene sendes til USA, snarest må legge planer for å gå over til alternativer som ikke bryter med rettighetene til europeiske borgere.

Vi må slutte å bruke Google Analytics

In today's post I'll share key lessons from my journey in implementing Anonymous Tokens and integrating it in Norway's contact tracing app "Smittestopp". Privacy and transparency, especially in government IT, is vital for gaining citizens' trust - and is here to stay. Therefore I'll share some success factors and my takeaways with you. 

This post is a follow-up on "Anonymous Tokens for Private Contact Tracing" that Tjerand Silde, Martin Strand and I wrote for last year's calendar on 22nd of December, where we tell the story on how we improved privacy in Norway's contact tracing app "Smittestopp" by designing a protocol for anonymity.

Through the work on Anonymous Tokens and integrating our contribution to Smittestopp, I've summarized some success factors and what I want those of us who build digital services to take away from our journey.

Key factors for success:

cross competency

deep skills and overlap in skills

good communication skills

open source enabled transparency and trust

Key takeaways:

ensure built-in privacy

have a data minimisation mindset

trust through transparency

Next I'll bring you up to speed on what's happened since our last post, and share how things went after our work was done. 

We're live!

"Anonymous Tokens" went live in Smittestopp on April 8th 2021! 🎉 

Anonymous Tokens was the culmination of a huge collaboration between the development team at The Norwegian Health Authority (FHI), other contributors and Martin, Tjerand and myself. It truly was a nation-wide open source "dugnad" to get our contribution into Norway's contact tracing app "Smittestopp" on GitHub!  

The tale has been told

The story about the collaboration between contributors to Smittestopp has been told in written form by Den norske dataforening (DND) and Johannes Brodwall on Kode24.no. Johannes highlights the value of FHI's willingness to move towards transparency and their openness to external contributions. You can also hear a podcast-episode from Utviklerpodden with Johannes on this topic.

Our work on Anonymous Tokens has also been mentioned in several Norwegian news media: forskning.no, Grannar.no and Computer World.

We won a privacy-award!

We won the "Built-in privacy"-award from the Norwegian Data Protection Authority (Datatilsynet)! This took us by surprise, to say the least. It seems they really wanted to get the message across that this is something they want to encourage and see more of. We agree! 😊

So... what did we learn from all of this?

I'm writing this post almost exactly a year after we started our work on Anonymous Tokens, and I reflect on how we managed to develop it in just 4 weeks. How did we manage that in such a short time? We've also observed challenges in privacy in contact tracing apps around the world. What can be done to move forwards in this space to ensure citizens' and users' privacy are respected in (government) IT services?

Key factors for our success

Cross-competency

A team of cross-competency skill sets will move faster by being able to do more and have the required key competency to reach their goals. This encourages team members to develop deep skills in their areas of expertise and collaborate with others, rather than individuals focusing on their own work.

Deep skills and overlap between skills

When you have a team composed of people with expertise in their own subjects, but who can look over to other subjects just enough to get their head above water, the team will understand each other better and move quicker. This was certainly true for us where coding and cryptography were two subjects where we each had expertise and understood enough of each other's subjects to understand, communicate and collaborate.

Good communication skills

When people communicate clearly, concisely and bring just enough context to the discussion to provide for a valuable dialog - you are able to progress faster. Poor communication where people bring in foreign elements such as unfamiliar abbreviations and terms, with a lot of out-of-context information, clutters the dialog and makes it cognitively harder to follow the discussions. A healthy dose of empathy doesn't go amiss.

In both open source and projects I've worked on I've seen both ends of the scale. I wish focus on communication skills and empathy were a larger part of software development.

Open source enables transparency & trust

GitHub provided tooling we could use to construct software built-in measures for security, trust and quality. By using open source we ensured that our contribution to Smittestopp was transparent for public scrutiny and open for external contributions. These benefits can also be used by government IT services that are built with an open source mindset.

FHI's change of direction towards transparency for Smittestopp 2 enabled a nation-wide collaboration and made all of this possible! 

Key takeaways for those who build digital services

Ensure built-in privacy

If you want to know more about how you can implement built-in privacy in software development you should have a look at this handbook by Datatilsynet. They've written guidelines and best-practices on privacy in software development focusing on requirements, design, testing, coding, maintenance and more. Share this with your team!

Have a data minimisation mindset

Large datasets with rich user-data are honeypots for threat actors. Threat actors aren't just external hackers. Your own employees, your company and even yourself can unknowingly be threat actors that should be modelled and mitigatigated.

Handling user-data with person identifiable information (PII) is a risk. How big of a risk it is depends on how well you've secured your user's data. By minimizing the amount of data you handle and store, you also minimize the damage potential if data is exposed by hackers and leaks. 

Ask yourself: do I really need this data for my service to provide value, and do I have a legitimate reason for storing this data? If you answered no to either question, then you might risk being in breach of GDPR-regulations. Moving towards a data minimisation mindset will please privacy-aware users and mitigate data-processing risks for your service.

Ensure trust through transparency

Trust is a frail thing. Without it, you risk users not adopting your service. Building digital services on an open source platform is a great way of being transparent. This is true not just for commercial companies but especially for governments who build digital services for their citizens. 

Transparency builds trust. Transparency in government IT can reveal inequality and injustice. Citizens can also validate if automated processes within these digital services are compliant to laws. This is a win-win scenario!

Could transparency in government IT even lead to stronger democracies?



Key learnings from working on privacy in contact tracing

Ryktene om Smittestopps død er overdrevet. Appen har blitt en zombie. Det uønskede barnet, unnfanget av myndighetenes teknologioptimisme, lever på nåde på norske mobiltelefoner.

Hva kan vi lære av denne tragedien? Fem perspektiver.

Innovasjon

I mars 2020 var det krise. Både kunnskapen om koronaviruset og pandemiberedskapen var mangelfull. De mest inngripende tiltakene siden krigen ble innført.

Hvordan lykkes med innovasjon i en slik krisesituasjon, i et ukjent landskap? Det finnes ingen fasit, men en mye brukt oppskrift ser omtrent sånn ut:

Generer så mange ideer som mulig.

Lag prototyper for de mest lovende ideene, side om side.

Få tidlig tilbakemelding fra reell bruk.

Gå videre med de løsningene som gir verdi.

Gå til steg 3.

Utviklingen av SmittestoppV1 låste seg fra starten på et løsningsmønster. Framfor å heve blikket eller invitere andre til å bidra, hoppet myndighetene ned i skyttergrava og kastet granater på kritikerne. Mulighetsrommet for innovasjon ble lukket. Til jul kom riktignok SmittestoppV2 med innovasjonen desentralisert kontaktsporing. Det åpnet opp for Anonyme Tokens, et eksternt bidrag for innebygd personvern. Deretter stoppet maskineriet helt.  

Smittestopp har gitt oss skylapper. Mulighetstrommet er større. Hva med desentralisert besøksregistrering, ultra-wideband framfor bluetooth og spesiallagede armbånd eller brikker framfor telefoner? Dette er bare noen få eksempler på ideer, gitt at vi ønsker å innovere med tanke på framtidig digital smittesporing.

Produktutvikling

En kollega skrev om Smittestopp april 2020, etter at ideen var kjent, før selve appen var lansert (mine redigeringer og uthevinger):

Men er det nok til å få over 3 000 000 brukere på rekordtid? ...Jeg har ikke sett appen eller prøvd den, men har lyst til å si litt om jobben FHI står ovenfor når det kommer til å få brukere.

Alle som jobber med brukerakvisisjon og brukeraktivisering vet at det er beinhard jobbing. Ikke alle er like heldige å ha markedsmusklene til DNB og løsningen på et like stort hverdagsproblem som det for eksempel Vipps løste. Vipps hadde 400 000 nedlastinger første måned, og i løpet av fem måneder rundet de 1 000 000 «Vippsere». Dette er blant landets beste historier på mange nedlastninger på kort tid. Men - om mine notater stemmer - er dette offisielle tall på nedlastinger, og ikke brukere. Det er nemlig forskjell på det å skaffe appen, og det å bruke den.

Mange avfeide denne innvendingen, og argumenterte med dugnadsånd og krise. Ved lansering av SmittestoppV1 så det ut som de skulle få rett. Men nedlastingene stoppet brått, og utbredelsen er milevis unna de 60% av befolkningen som var målsetningen.

I tillegg til helbom på brukermassen, har myndighetene gjort en klassisk tabbe: Et digitalt produkt blir aldri ferdig! La oss ta et eksempel. Aftenpostens overskrift er "Under 1 av 20 smittetilfeller deles i Smittestopp-appen", og FHI uttaler at "...men det virker også som at ikke alle som blir smittet, husker å varsle gjennom appen". Hvordan kan man få flere til å varsle når de er smittet? Nedenfor er informasjonen man får på Helsenorge ved positiv test:

Her er det ingen oppfordring til å varsle med Smittestopp. Det er heller ikke nevnt på lenken "Se hva du må gjøre for å beskytte andre".

Etter at SmittestoppV2 ble lansert, har den fått seile sin egen sjø. Digital produktutvikling krever fortløpende lytting, læring og forbedring fra vugge til grav.

Systemtenking

If we have a system of improvement, that's directed at improving the parts taken separately, you can be absolutely sure that the performance of the whole will not be improved - Russ Ackoff

Personlig mener jeg at hvis vi vil ha hverdagen og friheten tilbake, må vi ha flest mulig som laster ned denne appen. At man vil ha lengre tid med inngripende andre tiltak, blir jo selvfølgelig også et politisk valg for de som ikke velger å ikke bruke dette. Erna Solberg, 16. april 2020

Systemtenking lærer oss at vi må se på helheten, ikke de ulike delene systemet består av. I sin enøyde teknologioptimisme så myndighetene bort fra at appen er en begrenset del av en sammensatt helhet. Det sosiotekniske systemet, mennesker og tillit, ble enten glemt eller tatt for gitt. Tekniske løsninger lever ikke isolert fra samfunnet de skal brukes i.

Mangelen på systemtenking stammer sannsynligvis helt fra den opprinnelige forskningsartikkelen fra Coronavirus Fraser Group ved Oxford-universitetet, som har hatt enorm innflytelse internasjonalt. Den presenterer en teoretisk matematisk modell, med en hypotese om at en app kan stoppe spredningen av viruset:

The use of a contact-tracing app that builds a memory of proximity contacts and immediately notifies contacts of positive cases would be sufficient to stop the epidemic if used by enough people, in particular when combined with other measures such as physical distancing.

Vi vet nå at Smittestopp ikke er en game-changer. Systemtenking-perspektivet kunne allkevel gitt oss bedre svar.

Tillit

Nordmenn har stor tillit til myndighetene. Historien om Smittestopp ga oss to fundamentale lærdommer om tillit:

Myndighetene kan ikke ta befolkningens tillit for gitt. Tilliten i det norske samfunnet er bygget opp over lang tid, basert på rettferdighet, åpenhet, demokrati og menneskerettigheter. Men tilliten forsvinner som dugg for solen når den blir misbrukt.


Tillit kan ikke være en unnskyldning for å bryte personvernlovgivingen. Myndighetene kan ikke si "fortell oss alt, stol på oss, vi skal ikke misbruke informasjonen om deg" som begrunnelse for å høste uforholdsmessige mengder personopplysninger om oss.

Personvern

Årsaken til SmittestoppV1-havariet var brudd på personvernlovgivingen. At helseministeren og FHI i etterkant forsøkte å hevde at de allikevel var på rett side av loven er flaut, trist og skummelt. Myndigheter og politikere trenger et kompetanseløft på personvern.

At personvernet landet på riktig side i historien om Smittestopp, bør vi alle være glade for.

Epilog

Den viktigste lærdommen fra Smittestopp er at vi må investere i framtidig beredskap. Det bør ikke baseres på ensidig teknologioptimisme, men en helhetlig tilnærming innenfor rettstatens rammer. Ved å ta lærdom fra innovasjon, produktutvikling, systemutvikling, tillit og personvern, kan man sannsynligvis finne gode teknologibaserte løsninger som bidrar i kampen mot framtidige pandemier.

Privacy

Cookiebanneret ditt er ulovlig

Fødiverset – framtida til sosiale medium?

Vi må slutte å bruke Google Analytics

Key learnings from working on privacy in contact tracing

Smittestopp antemortem