Stora sekretessrisker med stoppad corona-app

Kritiken växer mot den stoppade ”corona-appen”, det digitala verktyg som MSB ville använda för smittspårning, som använde sig av Amazon Web Services för lagring av data. Sekretessriskerna som detta medför kritiseras av människorättsförsvarare och IT-experter, men även på regeringskansliet har man ställt sig frågande till projektet.

Inrikes
MSB har uppgett att man hoppas kunna gå vidare med det digitala verktyget i närtid, men frågetecknen kring sekretessriskerna kvarstår.
Foto: Tomas Oneborg/SVD/TT

Den 9 april tecknade Myndigheten för samhällsskydd och beredskap, ett avtal med det privata hälsoteknikföretaget Platform24 Healthcare för att ta fram ett digitalt verktyg med syftet att kartlägga symptom för covid-19 och personers beteendeförändringar till följd av pandemin. Den omtalade så kallade ”appen”, stoppades senare av Folkhälsomyndigheten, men avtalet är fortfarande i kraft och MSB har uppgett till Arbetaren att man hoppas att kunna ta projektet vidare i närtid.

Inom ramen för molntjänstlösningen använder sig Platform24 av den amerikanskägda underleverantören Amazon Web Services (AWS), som ägs av nätjätten Amazon. I projektets risk- och sårbarhetsanalys framgår att även om all lagring enligt avtalet antas ske i Sverige innebär den enligt amerikanska lagstiftningar att USA har rätt att begära ut information och data från servrarna.

Den utomstående advokatfirman Delphi som gjort en risk- och sårbarhetsanalys för MSB skriver att ”Villkoren för AWS kan ensidigt ändras från AWS sida. Även om Platform24 tar ansvar gentemot MSB innebär detta viss risk, inte minst då Lösningen hostas och rent fysiskt lagras av AWS.” Inget anpassat avtal har ingåtts med AWS, utan det avtal som Platform24 använt sig av är ett så kallat ”standardavtal” som är mycket förmånligt för AWS.

När Arbetaren ber MSB att skicka över standardavtalet svarar de efter flera dagar att ”efterforskningen tagit lite tid”, och att det inte finns hos myndigheten. Samtidigt har de svenska myndigheternas samarbetsorgan eSam avrått myndigheter från att använda sig av amerikanska molntjänster.

Risken att amerikansk underrättelsetjänst använder sig av den amerikanska lagen och begär ut uppgifter från servrarna, bedöms i analysen som liten, dock utan något resonemang om vad bedömningen grundar sig på.

Arbetaren har låtit Björn Lundell, professor i datavetenskap vid 
Högskolan i Skövde, ta del av avtalet, kravspecifikationen och den 
sårbarhetskalkyl som tagits fram till tjänsten. Han känner sig 
konfunderad inför projektet.

Björn Lundell menar att det förefaller uppenbart att känsliga 
personuppgifter kommer att behandlas, och att det är svårt att få grepp 
om vilka länders lagstiftning kommer att påverka denna behandling. Många användare kommer att logga in i den nya tjänsten med Bankid, vilket Björn Lundell menar är problematiskt.

Foto: Högskolan i Skövde
Björn Lundell, professor i datavetenskap vid Högskolan i Skövde

– Avtalet preciserar att leverantören kan komma att få tillgång till uppgifter som lyder under säkerhetsskyddslagstiftningen och hantera uppgifter som lyder under offentlighets- och sekretesslagen. Även om MSB uttryckt att all lagring kommer att ske i Sverige, betyder inte det nödvändigtvis att all behandling av data kommer att stanna här, säger Björn Lundell och fortsätter:

– Med tanke på den oro många människor känner i det rådande läget förefaller det oklokt att behandla uppgifter med hjälp av underleverantörer som lyder under andra länders lagstiftning och jag kan tänka mig att människors benägenhet att använda tjänsten skulle bli högre om all databehandling endast träffas av svensk lagstiftning.

Björn Lundell menar att en annan problematisk aspekt är att frågor om 
val av licenser för programvara som kommer att utvecklas inte regleras i 
avtalet. Han säger att det för en myndighet många gånger kan vara lämpligt att ställa krav på att specifikt utvecklad programvara ska tillhandahållas som öppen programvara för att stimulera vidareutveckling i en öppen 
samverkan, men av avtalet är det oklart om det är möjligt att använda en 
sådan licens (som exempelvis licensen AGPL 3.0).

–  Det är en stor brist att kravspecifikationen saknar preciserade krav 
på vilka format som ska användas för att förvalta insamlade data och det 
vore önskvärt att myndigheten ställt krav på att data ska kunna 
exporteras i öppna filformat för att undvika oönskade inlåsningseffekter 
och därigenom säkerställa att data kan återanvändas. Det är mycket viktigt att myndigheten hela tiden har full kontroll på förvaltningen av alla insamlade data, säger han.

Foto: Kammarkollegiet
Daniel Melin, it-upphandlare på Statens inköpscentral vid Kammarkollegiet

Att anlita utländska företag för att lagra och bearbeta exempelvis hälsouppgifter är kontroversiellt menar Daniel Melin, it-upphandlare på Statens inköpscentral vid Kammarkollegiet. Han menar att innehållet kan vara åtråvärt för utländska underrättelsetjänster.

– Även om det ibland är bråttom måste man göra en ordentlig risk- och sårbarhetsanalys över vad projektet kan få för konsekvenser. Ska man samla på sig stora mängder information om Sverige och svenska medborgare bör man ha med Sveriges säkerhet och Sveriges krisberedskap i analysen, säger Daniel Melin till Arbetaren och fortsätter:

– Om ett amerikanskt företag får en begäran om utlämnande av information till amerikansk underrättelsetjänst via till exempel lagen ”FISA” får de inte berätta detta för sina kunder. Kunden kommer i sådana fall aldrig få reda på att leverantören lämnat ifrån sig informationen, säger han.

Om det kopplas till enskilda individer genom Bank-ID är det ytterst allvarligt om det passerar genom tredjehandsleverantörer som man inte har koll på.

Marcin de Kaminski, program chef på Civil Rights Defenders

Marcin de Kaminski, programchef på människorättsorganisationen Civil Rights Defenders, ser en oroande utveckling i många länder där människors integritet och IT-säkerhet inskränks under coronapandemin. Han menar att många länder runt om i världen tar fram lösningar på kort tid och att viktiga rättsprinciper då sätts åt sidan.

– Vi har haft en innovationsvurm och det är klart att myndigheter försöker hitta verktyg att begränsa smittspridningen i krisen. Men det finns så många problem med att utveckla väldigt integritetsnära tjänster väldigt fort utan att ha några safe guards, säkerhetsspärrar, på plats. Här finns en beröring mellan alla de digitala lösningarna i alla länder, säger han och fortsätter: 

– Vi har också sett att många av de här corona-apparna kopplas till ett digitalt identifikationssystem. Man tänker att informationen då blir mer vidimerad, mer korrekt, men problemet är att om systemet samlar in känslig information om hälsotillstånd genom en säkerställd identifikator som Bank-ID blir det ännu viktigare att fundera över var data tar vägen egentligen. Om det kopplas till enskilda individer genom Bank-ID är det ytterst allvarligt om det passerar genom tredjehandsleverantörer som man inte har koll på, säger Marcin de Kaminski. 

Foto: Civil Rights Defenders
Marcin de Kaminski, programchef på CRD

Han säger att exempelvis coronaappen som marknadsförs för forskning vid Lunds universitet, där själva appen i sig är framtagen av en brittisk e-hälsoaktör, är problematisk. Bland annat för att den använder sig av så många externa leverantörer att det är svårt som användare att förstå vem som får tillgång till datan som matas in. 

– Man vet inte om apparna kommer att funka eller hjälpa Sverige framåt i krisen. Man har snabbt introducerat tredjepartsunderleverantörer som man inte har koll på. Risken är också att man implementerar en lösning som man sen har svårt att bli av med. När väl tjänster, appar och tekniska lösningar lanserats, så finns de där för framtida bruk. Därför är det så viktigt att man så långt det är möjligt gör rätt redan från början. Annars riskerar saker som integritet och andra mänskliga rättigheter sättas åt sidan, vilket innebär en risk för såväl individer som grupper som är utsatta och sårbara – men också för en bredare allmänhet.

MSB:s lansering av det digitala verktyget blev tidigt ifrågasatt också från högre ort. Den 20 april skriver kanslirådet Karolina Lemoine på regeringskansliet ett mejl direkt till Åke Holmgren på MSB. Hon hade lyssnat på ett inslag från Sveriges Radio där Datainspektionen varnat för att lagring av svenskars coronasymtom hos utländska företag kan innebära en sekretessrisk, och ber honom om en uppdatering av arbetet med självskattningsverktyget. 

Karolina Lemoine undrar om MSB haft en dialog med Datainspektionen och om de kan säkerställa att patientdata inte hamnar i orätta händer. Hon undrar varför MSB inte valt en svensk molnlösning.

Åke Holmgren svarar henne samma dag. Han skriver att det handlar om ”anonyma data, inte patientdata” och att myndigheten tagit höjd för både informationssäkerhet och dataskydd i samråd med externa experter. Platform24 menar han är en certifierad medicinteknisk produkt. 

Mycket viktigt att betona är att data kommer att lagras i Sverige (datacentraler fysiskt i Sverige) OCH de är anonyma. Data är även krypterade.

Åke Holmgren, enhetschef på MSB

På frågan om varför MSB inte valt en svensk molnlösning skriver han att molnfrågan varit ”en mindre del, rent kostnadsmässigt” och att de behövt förhålla sig till en ”mycket aggressiv tidsplan”. Eftersom lösningen skulle realiseras på endast tio dagar var det nödvändigt för MSB att välja en lösning som snabbt ”kunde skalas upp”.

”Det går att köra i en svenskägd molnlösning (skulle tagit längre tid att få på plats) om man önskar. Det innebär ökad kostnad, men valet har inte skett utifrån pris – utan vad som tekniskt är möjligt på så kort tid. Vi har bett om offert på annan underliggande molntjänst – dvs nu när projektet har fått en ny tidplan… Men, mycket viktigt att betona är att data kommer att lagras i Sverige (datacentraler fysiskt i Sverige) OCH de är anonyma. Data är även krypterade.”, skriver Åke Holmgren i mejlet. 

Arbetaren har tidigare kunnat rapportera att avtalet med Platform24 skedde genom en direktupphandling med hänvisning till att det var bråttom och ”absolut nödvändigt för att skydda människors liv och hälsa”. Ett förfarande som experter som Arbetaren talat med underkänner direktupphandlingen menar inte har gått rätt till. Enligt lagen om offentlig upphandling får avtalet vid en direktupphandling inte löpa på obestämd tid, vilket varit fallet när det kommer till den omtalade ”corona-appen”.

– De skriver att grunden för direktupphandlingen är att det är så bråttom, men om det här projeketet ännu inte dragit igång verkar ju så inte vara fallet, säger Andrea Sundstrand, docent i offentlig upphandlingsrätt till Arbetaren. Det måste därför ses som ett långsiktigt projekt med flera faser, och då går det inte att göra den här typen av upphandlingar.

Om lösningen sätts i bruk kommer Platform24 inkassera över en halv miljon i månaden i skattepengar.

Arbetaren har sökt MSB för en kommentar om sekretessriskerna, men pressekreteraren Anna Lindbäck skriver att myndigheten inte vill inte ställa upp på intervju eftersom projektet är ”pausat”. 

Marcin de Kaminski vid människorättsorganisationen Civil Rights Defenders understryker att det nu blir viktigt att följa utvecklingen noga, och att våga ifrågasätta de innovationer som snabbt tas fram. Detta för att göra utvecklingen mer transparent och för att sedan kunna utkräva ansvar, såväl i Sverige som andra delar av världen.

– Vi arbetar med människorättsförsvarare i några av världens mest repressiva länder. Många har sett hur undantagstillstånd utlysts och tvångsmedel använts i godtyckliga sammanhang tidigare. De är nu oroliga för de åtgärder och metoder som använts runt om i världen. Inte minst då det finns en risk att metoderna normaliseras och fortsätter användas även när smittspridningen är under kontroll.