För ett par dagar sedan lanserades en ny corona-app i Sverige. Det är Covid-19 Symptom Tracker, en brittisk app som nu portats till Sverige. Tanken med appen är att personer ska rapportera huruvida de upplever symptom för covid-19 och en del information om sitt allmänna hälsoläge, så att forskare ska kunna utveckla sin förståelse för viruset och identifiera var utbrott kan vara på gång.
Hur effektiv appen är för det senare ändamålet är ganska oklart, men troligen är den ganska ineffektiv. Folkhälsomyndigheten ratar appen, med motiveringen att datan inte är tillräckligt bra.
Jag vet inte vilket mervärde det skulle kunna ge oss för hur spridningen ser ut. Vi har bra data på plats, gör egna undersökningar med provtagningar och stora studier med slumpmässigt utvalda delar av befolkningen. Det är mer representativt än en undersökning som bygger på testpersoner som frivilligt deltar,
Appen är alltså högst troligen inte användbar för smittspårning, varken i mikro- eller makroskala. Däremot kan den möjligen ge data som kan användas i forskning på viruset.
Brister hos appen
>
Det finns ett antal faktiska och potentiella brister med den här appen, som vi tycker är viktiga att peka ut.
För det första kan data lämnas ut till amerikanska aktörer, vilka enligt appens integritetspolicy inte har samma höga krav på dataskydd som sina europeiska motparter. Detta öppnar dörren för att ”tvätta” den insamlade datan, genom att föra över den till amerikanska samarbetspartners och sen tillbaka till källan. Zoe är explicita med att användare av appen samtycker till att dela data med amerikanska partners under sämre skydd än med europeiska.
”Ibland när vi delar uppgifter med forskare exporteras de till länder som exempelvis USA, som har väldigt annorlunda regler gällande dataskydd och som kanske inte skyddar dina uppgifter på samma sätt som, eller lika bra som, GDPR gör. Vi har rätt att göra det, eftersom du ger oss ditt medgivande till detta.”
Integritetspolicyn för Covid-19 Symptom Tracker
För det andra är Zoe inte explicita med vilka uppgifter om appanvändarna som man faktiskt samlar in, utan använder väldigt vagt språk i sin integritetspolicy.
”Detta är uppgifter om dig, din hälsa och dina symtom vid sjukdom, samt de uppgifter som din telefon delar, t.ex. IP-adress och plats.”
Integritetspolicyn för Covid-19 Symptom Tracker
För det tredje delas insamlad data med flera andra aktörer än de svenska forskare man kan ledas att tro tar del av den. All information som delas med Lunds universitet sparas också hos Zoe i Storbritannien, samt delas med flera andra personer och institutioner. I integritetspolicyn lämnar Zoe dörren öppen för att dela den med ej specificerade personer.
”Vi arbetar också med andra personer som utför forskning inom hälsa med vilka vi kan komma att dela dina uppgifter, t.ex. personer som arbetar på:
* Sjukhus
* Folkhälsomyndigheter
* Universitet
* Välgörenhetsorganisationer inom hälsoområdet
* Andra forskningsinstitutionerIntegritetspolicyn för Covid-19 Symptom Tracker
För det fjärde anger Zoe inget slutdatum för lagring av hälsodatan, även om Lunds universitet anger att man kommer lagra sin data i minst tio år.
”På grund av typen av forskning som vi genomför kan vi inte ange en specifik tidsgräns för lagringen av känsliga personuppgifter, men vi granskar detta regelbundet och säkerställer att de inte sparas längre än nödvändigt.”
Integritetspolicyn för Covid-19 Symptom Tracker
Data kommer att sparas vid Lunds universitet i minst tio år efter den samlats in i enlighet med gällande dataskyddslagstiftning.
http://www.covid19app.lu.se/om-appen
Den insamlade kontaktinformationen lagrar man däremot i sex år efter att användaren slutat använda appen, i marknadsföringssyfte.
”Vår rättsliga grund till att behandla [din kontaktinformation] är vårt legitima intresse i att utveckla, marknadsföra och driva appen.
Vi kommer att behålla dina kontaktuppgifter i sex år efter din sista kommunikation med oss, eller den sista gången du använde appen, för ansvarsändamål. Därefter raderar vi kontaktuppgifterna.”Integritetspolicyn för Covid-19 Symptom Tracker
För det femte delar man ospecificerade personuppgifter med en stor mängd tredjepartsaktörer, bland annat Amazon, Google, SwiftyBeaver, SurveyMonkey och Segment.
”Vi använder oss av tredje parter som behandlar en del av dina personuppgifter å våra vägnar.”
Integritetspolicyn för Covid-19 Symptom Tracker
För det sjätte länkar man inte till källkoden för appen någonstans på sin officiella sida. Vi har hittat https://github.com/zoe/covid-tracker-react-native, som vi tror är källkoden. Är den det så är den åtminstone fri och open source, vilket är ett krav för att vara en sund hälsodata-app.
På den mer spekulativa sidan kan nämnas att VD:n för fåmansföretaget Zoe, som står bakom appen, tidigare var en högt uppsatt chef på Criteo, ett adtech-företag som är under utredning i Frankrike för missbruk av personuppgifter.
Dessutom är Zoe ett företag vars affärsmodell är att samarbeta med forskningsinstitutioner i datainsamling, för att sedan kunna använda den insamlade datan för att träna prediktiva modeller som man kan sälja. Det gör att visst tvivel finns kring hur insamlad data faktiskt kommer användas och i vilket syfte Zoe utvecklat den här appen.