Smittestopps vekst og fall: Koronarettssosiologiske observasjoner

Kristin Bergtora Sandvik gir oss et rettssosiologisk blikk på Smittestopps ettermæle. Teksten er en oppfølger til Sandviks tidligere bidrag til Sosiologen.no om Smittestopp som et rettssosiologisk problem.

Mens Smittestopp-appen offisielt avled 28 september 2020,  etter måneder i en slags zombie-tilstand hvor FHI og Helsedirektoratet diskuterte hva som skulle gjøres med appen, er kampen om Smittestopps ettemæle i full gang.  Jeg har tidligere skrevet om  hvordan retten påvirker samfunnets koronarespons og mobilisering av tillit og dugnad i Smittestopps startfase. Motstanden mot appen var dyp og kritikken tildels brutal allerede før lanseringen 16 april. Mens perspektiver fra politisk sosiologi og digital sosiologi er viktige for å forstå Smittestopps vekst og fall så var og er konfliktene rundt Smittestopp sterkt rettsliggjorte. 

Koronakommisjonen sier at «alt skal på bordet». I denne bloggposten presenterer jeg et rettssosiologisk tilbakeblikk på et sett uenigheter som oppsto i løpet av Smittestopps levetid. Bloggen er både et bidrag til koronarettssosiologien og til en flerfaglig forståelse av Smittestopp som sosioteknisk system. Den er også del av et pågående arbeid med å kartlegge Smittestopps kronologi og identifisere de større politiske spørsmålene om etterrettelighet og transparens i den digitale transformasjonen av det norske demokratiet.

Allerede i utgangspunktet var hjemmelsgrunnlaget for appen problematisk:  Forskriften om digital smittestoring og epidemikontroll i anledning utbrudd av Covid-19 trådde i kraft 27 mars og gjelder til 1 desember 2020. Forskriften  –  som ga myndighetene enormt vide fullmakter til å iverksette sporing og overvåkning av enkeltindivider med minimal kvalitetssikring og forankring i rettsstatlige verdier – var ikke på høring og ble ikke diskutert av Stortinget. Tross dette utgangspunktet – eller kanskje nettopp derfor – har Smittestopp forsterket og synliggjort konflikter rundt personvern, styring og medborgerskap. 

Smittestopp [har] forsterket og synliggjort konflikter rundt personvern, styring og medborgerskap.

For å illustrere dette diskuterer bloggen fire rettssosiologisk problemstillinger  knyttet til  spenningene i den rettslig styringen av pandemibekjempelse. Det første problemet gjelder legalitet og legitimitet i kampen om personvernet. Det andre problemet gjelder kollisjoner mellom norske og internasjonale aktørers forståelse av menneskerettighetene. Det tredje problemet gjelder spørsmålet om hvordan det offentlig ‘skaffer seg ting’ i kontekster hvor liv og helse står på spill. Det fjerde og siste spørsmålet gjelder hvordan vi kan vite noe om Smittestopp, og den digitale transformasjonen av aktivisme. Avslutningsvis reflekterer jeg kort over hva dette sier om den økende betydning av personvern og beskyttelsen av data som kjerneverdier i rettsstaten. 

kristin_sandvik

Kristin Bergtora Sandvik er professor i rettssosiologi ved UiO (foto: privat)

Legalitet og legitimitet i kampen om personvernet

Det første problemet gjelder legalitet og legitimitet i kampen om personvernet –  og de uklarhetene og uenighetene som har oppstått rundt hvor involvert Datatilsynet har vært i utviklingen og avlivningen av Smittestopp.  Datatilsynet har som mandat  å kontrollere etterlevelsen av personvernregelverket, i følge  Personvernforordningen artikkel 57 og Personopplysningsloven § 20. Generelt ser vi at spørsmål om personvern har blitt politisk langt viktigere – og at Datatilsynet i seg selv er blitt en betydelig kilde til legitimitet og maktutøvelse. Datatilsynet har vært gjenstand for beskjeden akademisk oppmerksomhet – og liten offentlig kritikk.  Dette vil forhåpentligvis endres i etterkant av Covid-19 utbruddet.  

Både Simula og selskapet som ble innleid for å utvikle appen, Shortcut, hevder at Datatilsynet var ‘tett involvert’ i utviklingen av Smittestopp. Datatilsynet tok sine første offisielle skritt  8 mai, da  tilsynet krevde at «grunnleggende mangler» i behandlingsprotokollen og risiko og sårbarhetsanalyse ble rettet. 19. mai etterspurte tilsynet mer informasjon  om appens nytteverdi og forholdsmessigheten av personverninngrepet.  12. juni sendte Datatilsynet et formelt varsel om vedtak om et midlertidig forbud mot appen på grunn av brudd på personvernlovgivningen fordi appen representerte et uforholdsmessig inngrep i personvernet, ut fra løsningene som var valgt for appen og den konkrete smittesituasjonen i Norge. 15. juni stoppet FHI datainnsamlingen og smittesporingen, men understreket at de ikke var enige i Datatilsynets vurdering og at å stoppe datainnsamling ville «gi dårligere beredskap fordi vi taper tid til utvikling og testing av appen, og også dårligere kontroll over smittespredningen i Norge”. 7. juli nedla Datatilsynet  et midlertidige forbud mot behandling av personopplysninger knyttet til appen.  I ettertid har både FHI og helseminister Bent Høie på oppsiktsvekkende måte gitt datatilsynet ‘skylden’ for at Smittestopp ble en fiasko og at man ikke fikk tilgang til viktig smittesporingsdata, ved å legge på stor vekt på at Smittestopp var et «uforholdsmessig inngrep» — en rettslig fortolkning disse aktørene ‘ikke er enige i’. FHI har understreket at de i fremtiden ønsker seg «tydeligere råd».  I sine tilsvar påpeker datatilsynets direktør Bjørn Erik Thon at det ikke var manglende råd men hva aktørene selv fant på og at mangelen på dokumentert nytteverdi gjorde appen til et uforholdsmessig inngrep og dermed ulovlig – og at loven gjelder, også i kriser.  

Datatilsynet har vært gjenstand for beskjeden akademisk oppmerksomhet – og liten offentlig kritikk

Norsk og transnasjonale aktørers retts- og rettighetsforståelse

Det andre problemet gjelder forholdet mellom norske aktørers rettighetsbevissthet og transnasjonale aktørers forståelse av av menneskerettighetene. Det norske menneskerettighetsmiljøet har i det store og det hele vært en gedigen skuffelse: skremmende servilt eller fullstendig taust – og altfor lydig i møte med Koronajussen. Da internasjonale aktører kom på banen for å kritisere Norge, ble det bråk. 

Amnesty International møtte Datatilsynet 2. juni og Simula 10. juni for å diskutere sine funn angående Smittestopp. 16. juni publiserte Amnesty en rapport som fastslo at “Bahrain, Kuwait and Norway have run roughshod over people’s privacy, with highly invasive surveillance tools which go far beyond what is justified in efforts to tackle COVID-19”. Da Amnesty International i juni kalte Smittestopp ‘blant de verste i verden’ på personvern vakte det betydelig oppmerksomhet hjemme og ute. Det er vanskelig å vite noe om den forutgående kommunikasjonen mellom Amnesty og Simula, og hva de gjensidige forventningene var. I ettertid har Simula imidlertid på oppsiktsvekkende vis kritisert Amnesty for å ha levert en rapport som er ‘søppel’  og et «elendig stykke arbeid». Simula hevder at Amnesty har misbrukt sin egen innflytelsesrike posisjon og har latt seg manipulere av aktivister eller publisert rapporten for å skaffe seg selv oppmerksomhet – noe Simula omtaler som «uprofesjonelt og uforsvarlig» (lydklipp her).  Norge ‘brander’ seg selv som en humanitær- og menneskerettslig stormakt internasjonalt. Simula er et statlig forskningsinstitutt. Denne språkbruken rundt menneskerettigheter er nokså fremmed i vårt offentlige ordskifte –  og minner mer om hvordan menneskerettigheter diskuteres i politiske kontekster som er vesensforskjellige fra den norske. Kontroversen reiser interessante spørsmål om hvilken rolle menneskerettighetene spiller i den demokratiske diskursen rundt den digitale transformasjonen av staten og dens interaksjoner med borgerne, og hvordan norske aktører håndterer å være mottaker av menneskerettighetskritikk.

Det norske menneskerettighetsmiljøet har i det store og det hele vært en gedigen skuffelse: skremmende servilt eller fullstendig taust – og altfor lydig i møte med Koronajussen

Anskaffelser i krise: Hvordan skaffer staten seg ting?

Det tredje problemet gjelder spørsmålet om hvordan det offentlig ‘skaffer seg ting’ i en krisesituasjon og i en kontekst av digital transformasjon av helse. Koronaanskaffelsene har vært og er kaotiske: nasjonalstatene har kjempet og forhandlet om tilgang til beskyttelsesutstyr, masker, vaksiner og tester. På nasjonalt nivå har vi et regelverk som gir adgang til å gjøre unntak for anskaffelsesbestemmelsene hvis det gjelder liv og helse, og det kom etterhvert særlig veiledning for hasteanskaffelser i forbindelse med Koronautbruddet. Simula kontaktet FHI for egen maskin 11. mars og hadde allerede etter få dager skaffet seg en rettslig betenkning – fra et medlem i klageorganet for offentlige anskaffelser (KOFA) –  som argumenterte for at man kunne få unntak fra anskaffelsesreglene fordi 

«i dette tilfellet teller hver dag, hver time i forhold til å få ferdigstilt en app. Jeg mener at det derfor er klart at det ikke er mulig å gjennomføre en konkurranse, men at Helsedirektoratet i dette tilfellet må ha adgang til å inngå kontrakt direkte med Simula.» 

Anskaffelsesprosessen ble raskt klaget inn til KOFA.  Som svar på kritikken svarte FHI at «når det dukket opp en offentlig organisasjon som var så klare til å samarbeide, og som kunne tilby oss det vi måtte ha på så kort tid, valgte vi å gå for det».  I etterkant av at Smittestopp-appen ble nedlagt har Simula derimot uttalt at «Simula tok en stor risiko ved å takke ja til å bistå FHI med digital smittesporing i mars, det var vi innforstått med» og at de selv ikke skal være med på en ny, ordinær anbudsrunde, nettopp fordi de ‘er en forskninginstitusjon og ikke en IT-utvikler’.  Koronaanskaffelsene har vært og er fremdeles for en stor del begrunnet i en moralske økonomi rundt tid, penger, og ‘å redde liv’  i krise. 40 millioner kroner og mange måneder senere har Norge fremdeles ingen smitteapp. Smittestopp-fadesen gir grunn til ettertanke, og det er også viktig å reflektere over hvordan dette sammenfaller med at det offentliges anskaffelsessystem for digitale tjenester ser ut til å være på vei mot en legitimitetskrise.

Smittestopp-fadesen gir grunn til ettertanke, og det er også viktig å reflektere over hvordan dette sammenfaller med at det offentliges anskaffelsessystem for digitale tjenester ser ut til å være på vei mot en legitimitetskrise

Hvordan kan vi vite? Aktivisme og digital transformasjon

Det fjerde og siste spørsmålet gjelder hva vi vet om alt dette og hva som skal til for å ha meningsfull transparens. Fra tidlig mars 2020 har dataaktivister ved bruk av Lov om rett til innsyn arbeidet møysommelig for å kartlegge offentlig kommunikasjon rundt Smittestopp og for å få tilgang til relevante datasett – og Smittestopps kildekode. Formålet er like mye  å forsøke å holde Simula og FHI etterrettelige, som å kartlegge tidsaksen for og rekkevidden av Datatilsynets intervensjoner. Dette har vært og er krevende og seige prosesser. Lawrence Lessig’s berømte uttalelse om at ‘Code is law’   –   det vil si at teknologi brukes til å håndheve regulering –  får en egen betydning i Smittestopp-konteksten.  Teknologene, aktivistene, konsulentene og byråkratene som har utgjort den Smittestopp-skeptiske  delen av den offentlige opinionen har eksepsjonelt høy kompetanse og imponerende kollektiv sosial samvittighet. Men de er per i dag ikke en organisert sivilsamfunnsaktør. Når det gjelder å undersøke hva som skjer med rettsstatlige verdier og skranker i kontekst av den digitale transformasjonen, reiser dette derfor spørsmål om hvilke nye kompetansekrav og metodeutfordringer det etablerte sivilsamfunnet og akademia står overfor. 

Konklusjon: En skjerpet kamp om Personvernet

Denne bloggposten har dratt opp fire mer generelle rettssosiologiske problemstillinger rundt kampen om Smittestopp og dens ettermæle. I den forrige bloggposten om Smittestopp observerte jeg at Nordmenn daglig lar sin digitale kropp bli ‘produsert, invadert, og kontrollert’ gjennom digital sporing. Den sentrale rettsosiologiske innsikten i denne bloggposten er at det foregår en skjerpet kamp om personvernet, og at det er i ferd med å vokse frem en større forståelse av og interesse for samspillet mellom våre  digitale kropper og medborgerskapet. For koronarettssosiologien blir også neste etappe av det norske forsøket med smittesporingsapper av stor interesse.