Personvernerklæring - Behandling av personopplysninger i Smittestopp

Folkehelseinstituttet er behandlingsansvarlig, og du kan kontakte oss på disse adressene:  

Folkehelseinstituttet 
Postboks 222 Skøyen 
0213 Oslo 
Telefon: 21 07 70 00 
E-post: folkehelseinstituttet@fhi.no 

1. Formål og frivillig bruk

Formålet med Smittestopp er å forebygge og stoppe utbredelse av koronavirus (covid-19) ved å bryte smittekjeder når en bruker av Smittestopp har fått bekreftet at han eller hun er smittet.  

Personopplysningene kan ikke behandles til annet enn det du har samtykket til. Formålet med Smittestopp er å gi deg mulighet til å få beskjed om at du har vært i kontakt med en person som er smittet av koronavirus. Smittestopp gir deg også mulighet til selv å gi beskjed til personer du har vært i nærheten av hvis du blir smittet med koronavirus. Dette gjelder både personer du ikke kjenner og personer som du ikke husker at du har vært i kontakt med.

Smittestopp vil gjøre smittesporingen raskere og enklere ved at prosessen kan skje uten noen form for manuell behandling etter at du eller andre har tatt initiativ til at varsel blir sendt.  

Det er helt frivillig om du vil bruke Smittestopp. Du kan når som helst slutte å bruke Smittestopp og stoppe å motta beskjed om smitte fra andre. Dersom du først har gitt beskjed om at du selv er smittet, vil denne meldingen, og samtykket til å behandle personopplysninger om deg i den forbindelse, ikke kunne trekkes tilbake.  

Dersom du mottar en beskjed om smitte, vil du samtidig få råd om hva du bør gjøre. Smittestopp eller opplysninger som behandles i forbindelse med Smittestopp, kan ikke brukes til å iverksette tiltak som for eksempel karantene. Selv om du ikke bruker Smittestopp, vil du fremdeles kunne bli kontaktet av smittesporingsteamet i kommunen i tilfelle de blir kjent med at du har vært i nærheten av en som er smittet. 

Smittestopp har 16 års aldersgrense. Mindreårige under 16 år vil ikke kunne varsle om smitte, men de vil kunne få varsler om smitte hvis de likevel laster ned appen. FHI kan ikke kontrollere om personer under 16 år laster ned appen. 

Folkehelseinstituttet kan ta ut statistikk som forteller hvor mange som benytter Smittestopp, og hvor mange som velger å varsle om smitte. Dette er ikke personopplysninger og kan ikke knyttes til deg som bruker. Vi bruker disse opplysningene til å evaluere effekten av Smittestopp. 

Smittestopp er en del av et europeisk samarbeid som benytter samme type teknologi i brukernes telefoner på tvers av land. Dette samarbeidet omfatter en felles europeisk server (European Federation Gateway Service) for utveksling av data. Formålet er å legge til rette for utveksling av data mellom ulike lands smittesporingsapper slik at smittesporing og varsling kan skje på tvers av landegrenser. Nærmere informasjon om det europeiske samarbeidet er inntatt i denne personvernerklæringen punkt 2.1, 2.4 og 5.

2. Slik fungerer Smittestopp

2.1 Registrering av telefoner du har vært i kontakt med (kontaktregistrering) 

Når du bruker Smittestopp, brukes Bluetooth-forbindelsen på mobilen din til å registrere og lagre data om andre Smittestopp-brukere du er i nærheten av.  

Verken FHI eller de andre brukerne av Smittestopp kan se hvem du er, hvem du har vært i kontakt med, eller når og hvor kontakten har skjedd. 

For å sikre at andre ikke skal kunne se hvem det er som melder om smitte, lager telefonen først enveisnøkler kalt "dagnøkler" (Temporary Exposure Key) på telefonen din. Disse dagnøklene endres hvert døgn. Dagnøklene benyttes for å lage nye enveisnøkler som kalles "kontaktnøkler" hvert tiende til tjuende minutt (Rotating Proximity Identifiers). Disse kontaktnøklene utveksles ved hjelp av Bluetooth mellom telefoner som har Smittestopp installert. Kontaktnøklene lagres sammen med opplysninger om kontaktstyrke som indikerer hvor langt unna hverandre telefonene befinner seg. Kontaktnøklene kan imidlertid ikke spores tilbake til den telefonen de kommer fra og heller ikke hvor de er utvekslet.  

På samme måte som telefonen din utveksler nøkler med andre brukere av Smittestopp, vil telefonen din utveksle nøkler med telefoner til brukere som har aktivert tilsvarende smittesporingsapper fra andre land. Grunnen til dette er at de ulike landenes smittesporingsapper er basert på den samme typen teknologi som ligger på brukernes telefoner. Teknologien skiller ikke mellom hvilket lands app brukeren har lastet ned. Dette medfører at du kan komme til å motta varsel om smitte fra en bruker av et annet lands smittesporingsapp, uten at du vil få vite at den som er smittet er bruker av en utenlandsk app.

2.2 Når du vil gi beskjed om smitte (smittevarsling) 

Hvis du tester positivt for koronavirus, kan du gi beskjed til de andre brukerne av Smittestopp som du har vært i nærheten av. Det er ingen som får melding uten at du først godkjenner dette.  

Når du bruker Smittestopp for å gi beskjed om smitte av koronavirus, vil Smittestopp først sjekke at du er registrert som smittet i Meldingssystem for smittsomme sykdommer (MSIS) som Folkehelseinstituttet har ansvaret for. Fødselsnummeret ditt blir brukt for å sjekke om du er registrert som smittet eller ikke. Du må derfor logge deg inn via ID-porten. 

MSIS oppdateres to ganger i døgnet. Det er mulig at du vil motta beskjed om at du har testet positivt på covid-19 før dette blir registrert i MSIS. Det er ikke mulig å melde om smitte via Smittestopp før den positive testen er registrert i MSIS. Du vil da eventuelt få beskjed om at du må forsøke igjen på et senere tidspunkt.  

Ved lansering av Smittestopp er det brukere av Smittestopp som oppfyller følgende kriterier som vil motta et smittevarsel: 

• Kontakten med en som er smittet varte i mer enn cirka 15 minutter. 
• Dere var mindre enn cirka 2 meter fra hverandre (beregnet ut fra signalstyrken). 
• Kontakten skjedde innenfor det tidsrommet der den smittede personen forventes å ha vært smittsom, det vil si de siste14 dagene før påvist smitte.  

For å vurdere om kriteriene er oppfylt, gjør Smittestopp beregninger basert på data knyttet til de kontaktnøklene som befinner seg på brukernes telefoner. For å beregne om avstanden for eksempel var mindre enn cirka 2 meter, omgjøres målingene av signalstyrke til en omtrentlig avstand. 

Smittestopp er laget slik at det ikke formidles noen opplysninger om hvem som melder om smitte. Smittestoppbrukere som du har vært i kontakt med vil altså ikke få beskjed om at det er du som er smittet. Når det sendes melding om smitte, kan det likevel i unntakstilfeller være mulig å finne ut hvem som har sendt meldingen. Dersom den som mottar melding, bare har hatt kontakt med et fåtall personer den siste tiden, vil vedkommende i noen tilfeller kunne forstå hvem som kan ha gitt beskjed. 

2.3 Hvordan smittevarsling skjer 

Hvis oppslaget i MSIS, som beskrevet ovenfor i punkt 2.2, bekrefter at du er registrert med en positiv test for covid-19, vil Smittestopp laste opp dagnøklene fra din telefon som ble benyttet for å lage kontaktnøklene på din telefon opp til en felles server (backend), slik at de gjøres tilgjengelig for andre telefoner som har Smittestopp aktivert. Dagnøklene er enveisnøkler og kan ikke spores tilbake til deg.  

Smittestopp på andre telefoner laster ned dagnøklene som er tilgjengelige fra felles server i Norge, og sammenligner disse med kontaktnøkler som i den siste 14-dagersperioden er mottatt fra telefoner de har vært i nærheten av. Hvis det viser seg at andre telefoner har vært i nærheten av din telefon, vil brukerne av disse telefonene få varsel om dette på sine telefoner. Disse vil også få anbefalinger om hva de bør gjøre.  

Du vil på samme måte motta beskjed om smitte hvis du har vært i nærheten av en bruker av Smittestopp som velger å sende meldinger om smitte, og du oppfyller kriteriene i punkt 2.2 ovenfor. Du vil ikke få beskjed om hvem du har vært i kontakt med, eller når kontakten skjedde. 

Opplysningen om at du har vært i kontakt med en smittet, utgjør ikke en diagnose av deg eller bekreftelse på at du er smittet, men derimot at du har vært utsatt for en smitterisiko. 

Mottar du melding om smitte, mottar du samtidig informasjon om hva du bør gjøre. Informasjonen du mottar i meldingen, vil følge de til enhver tid gjeldende anbefalingene fra helsemyndighetene. Informasjonen er bare veiledende, og det er frivillig for deg om du velger å følge rådene. Det kan ikke bli iverksatt tiltak mot deg hvis du ikke følger veiledningen. Folkehelseinstituttet vil likevel oppfordre deg til å følge veiledningen. 

Du kan lese mer om hvordan Smittestopp fungerer og teknologien bak på artikkelen Teknologien bak Smittestopp. 

2.4 Varsling til brukere av andre lands apper

Smittestopp gir deg også mulighet til å varsle om smitte til brukere av smittesporingsapper fra andre land i EU/EØS. Slik varsling skjer kun dersom du har gitt et eget samtykke til dette.

Slik varsling på tvers av ulike lands apper er aktuelt hvis du har vært på reise til et annet europeisk land eller hvis du kan ha vært i kontakt med brukere av utenlandske smittesporingsapper i Norge, f.eks. fordi de arbeider eller har vært på ferie i Norge. I begge tilfeller kan det være personer som bør varsles om at de har vært i nærheten av en som er smittet av covid-19.

For at slik varsling skal kunne skje, er det nødvendig at dine enveisnøkler, som ikke kan spores tilbake til deg, men som andre telefoner kan benytte for å sjekke om de vært i nærheten av din telefon, videresendes til en felles europeisk server hvor de gjøres tilgjengelige for nedlasting til andre lands smittesporingsapper.

For bedre å vite hvilke europeisk lands apper som særlig er aktuelle for å varsle om at du er smittet av covid-19, ber Smittestopp om at du krysser av for det du mener er de aktuelle landene. Det er aktuelt å markere land der du selv har vært på reise og andre land du tenker kan være aktuelle, fordi du kan ha vært i kontakt med personer fra disse landene. Din angivelse av land utgjør imidlertid ikke en begrensning på hvilke lands smittesporingsapper som kan laste ned dine enveisnøkler.

• How tracing and warning apps can help during the pandemic (europa.eu, engelsk)

2.5 Behandling av opplysninger hos Apple og Google  

Smittestopp er basert på en teknologi som er utviklet av Google og Apple. Du kan lese mer om teknologien på Apples nettside Contacttracing (apple.com) og Googles nettside Exposure noticifactions.

Bruk av Smittestopp kan innebære at det sendes informasjon om bruken av appen til Google og Apple. Dette er informasjon om bruksmønster (f.eks. start og stopp av appen) og feilsituasjoner. Denne informasjonen lagres i inntil 90 dager og brukes til feilretting og til å forstå hvordan appen brukes. Denne informasjonen kan ikke knyttes opp mot personopplysninger som telefonnummer eller smittekontakter. Dette er altså ikke en behandling som gjøres spesielt for Smittestopp-appen, men gjelder for mange apper som lastes ned fra App Store og Google Play. Les mer på Googles supportside (google.com). 

Google og Apple kan også samle inn andre opplysninger fra mobiltelefonen uavhengig av Smittestopp, i henhold til selskapenes personvernpolicy (apple.com). 

3. Det rettslige grunnlaget for behandling av personopplysninger

Det rettslige grunnlaget for lagring av dagnøkler og kontaktnøkler på telefonen din, og for utveksling av slike nøkler med andre telefoner, er samtykke, jf. personvernforordningen artikkel 6 og 9 nr. 1 a). Samtykke gir du før du aktiverer appen. Dette samtykket omfatter bare adgangen til å utveksle kontaktnøkler og til å lagre opplysninger på mobilen din, slik at du kan motta varsel. 

Om du blir smittet av covid-19 og ønsker å varsle andre gjennom Smittestopp vil du bli bedt om å avgi et eget samtykke til dette. Samtykket dekker oppslag i MSIS, for å verifisere at du er registrert med smitte, og gjennomføring av varslingen.  

4. Hvilke personopplysninger behandles, og hvor lenge oppbevares de?

Smittestopp behandler følgende personopplysninger om deg: 

4.1 Opplysninger som behandles på mobilen din 

Følgende personopplysninger behandles på mobilen din i forbindelse med bruk av Smittestopp:  

• Rullerende dagnøkler (se punkt 2.1 ovenfor) som benyttes til å lage enveisnøkler kalt "kontaktnøker" på din telefon. 
• Dine kontaktnøkler som ved hjelp av Bluetooth utveksles med andre telefoner slik at de kan registrere at de har vært i nærheten av din telefon.  
• Kontaktnøkler fra telefoner du har vært i nærheten av  
• Signalstyrke som lagres sammen med kontaktnøkler mottatt av din telefon.  
• Eventuelle selvrapporterte opplysninger om symptomer på covid-19, (helseopplysninger) 

Alle opplysningene som lagres på mobilen din slettes fortløpende etter 14 dager eller når du trekker tilbake samtykke ditt.  

4.2 Opplysninger som behandles av Folkehelseinstituttet 

Følgende opplysninger behandles av Folkehelseinstituttet i forbindelse med verifisering og oppslag mot MSIS: 

• FHI mottar ditt fødselsnummer fra ID-porten når du logger deg inn for å verifisere at du er smittet.  
• Pseudonym utstedt av ID-porten og som er unik for kombinasjonen av fødselsnummer og verifiseringsløsning for å kunne lagre smittestatusverifiseringer i inntil 24 timer (se nedenfor). 

• Opplysninger om positiv/negativ prøve for covid-19 (helseopplysning).  
• Tidspunkt for positiv covid-19 prøve (helseopplysning). 

Ditt fødselsnummer som samles inn ved pålogging med ID-porten mellomlagres så lenge du har en aktiv tilkobling til løsningen, men Folkehelseinstituttet vil ikke lagre denne informasjonen etter at «sesjonen» er avsluttet. FHI lagrer tidspunkt for smittestatusverifiseringer, sammen med ditt pseudonym, i 24 timer. Dette gjøres for å unngå at løsningen misbrukes ved at man sender melding om smitte mange ganger.  

Følgende opplysninger lastes opp fra din mobil til felles server i forbindelse med varsling:  

• Dagnøkler som er knyttet til en diagnose. Dagnøklene er sterkt pseudonymisert og kan derfor ikke spores tilbake til deg. Fordi dagnøklene er knyttet til en diagnose regnes de likevel som helseopplysninger.  

Dagnøklene lagres i 14 dager på felles server.  

Du kan lese mer om hvilke vurderinger vi har gjort for behandlingen av dine personopplysninger, og blant annet hvor lenge de lagres i Personvernkonsekvensvurderingen (DPIA) som vi har gjort. Du kan også lese mer om MSIS. 

5. Utlevering av personopplysninger til andre

FHI utleverer ikke dine personopplysninger til andre. Unntaket er dersom du har gitt samtykke til varsling av brukere av smittesporingsapper fra andre land i EU/EØS. Se nærmere om dette nedenfor.  

FHI bruker Norsk Helsenett og Netcompany som databehandlere i forbindelse med drift av løsningen. 

Smittestopp er en del av et europeisk samarbeid (se beskrivelsen i punkt 1 ovenfor). Når du melder deg smittet gjennom appen, og samtidig gir et eksplisitt samtykke til å varsle brukere av andre lands smittesporingsapper, så vil dine enveisnøkler bli videresendt til den felles europeiske serveren. Nøklene gjøres så tilgjengelige for nedlasting til andre lands offisielle smittesporingsapper innen EU/EØS. Smittestopp i Norge mottar på samme måte enveisnøkler fra andre europeiske land, slik at brukere av Smittestopp kan få varsel om smitte fra brukere av smittesporingsapper fra andre land i EU/EØS.

Løsningen stilles til rådighet av EU-kommisjonen. Folkehelseinstituttet er felles behandlingsansvarlig sammen med myndighetene i de andre deltagende EU/EØS-landene for den behandlingen av personopplysninger som skjer i forbindelse med utvekslingen av data. Tekniske og organisatoriske detaljer knyttet til dette samarbeidet er nedfelt i:

• EU-kommisjonens beslutning om implementering (pdf, engelsk)

Liste over felles behandlingsansvarlige: 

• National Joint Controllers and provacy policies (pdf, engelsk)

6. Dine rettigheter

Sletting 

Du kan når som helst trekke samtykket til behandling av dine personopplysninger. Dette kan du gjøre inne i appen ved å velge Meny > Behandling av personopplysninger. Du kan også trekke samtykket ved å avinstallere appen. Hvis du trekker samtykket, slettes alle de lagrede opplysningene fra mobilen din. Du kan imidlertid ikke trekke tilbake samtykke til å varsle andre om at du er smittet etter at slikt varsel er gitt.  

Innsyn eller retting 

Folkehelseinstituttet har ikke tilgang til de opplysningene som er lagret på din telefon. Opplysningene som mellomlagres for å sende ut meldinger, lagres kun så lenge du er pålogget via ID-porten. Så fort verifisering er gjennomført slettes denne informasjonen. De nøklene som lagres i felles server kan heller ikke knyttes til enkeltbrukere fordi de er sterkt pseudonymiserte. Slik løsningen er utformet er det derfor ikke mulig for Folkehelseinstituttet å gi deg innsyn i disse opplysningene eller rette disse opplysningene.

For å få innsyn de opplysningene som behandles om deg i MSIS, kan du be om det via helsenorge.no eller ved å sende skjema til Folkehelseinstituttet, se Innsyn i, retting og sletting av helseopplysninger. 

Har du spørsmål til hvordan Folkehelseinstituttet behandler personopplysningene dine, må du også gjerne kontakte personvernombudet vårt ved å sende en e-post til personvernombud@fhi.no. 

7. Klage

Du kan klage på vår behandling av personopplysninger. Vi vil i så fall gjerne at du tar kontakt med oss slik vi får mulighet til å ta stilling til henvendelsen og eventuelt endre den måten vi behandler opplysningene dine på.  

Du kan også klage til Datatilsynet. Datatilsynet er en uavhengig myndighet som fører tilsyn med overholdelse av reglene om personvern i Norge. Du finner opplysninger om Datatilsynet, og om hvordan du klager, på Datatilsynets hjemmeside.  

 8. Tilgjengelighetserklæring

Alle skal ha like muligheter til å bruke Smittestopp.

• Tilgjengelighetserlæring