Google Analytics har vært et omstridt verktøy i lang tid. Ved å inkludere det på nettsidene vi lager hjelper vi Google med å samle inn enda mer data om våre besøkende. Nå har det landet ferske avgjørelser fra datatilsyn i EU som tyder på at verktøyet bryter med GDPR og er ulovlig å bruke.

I lys av Schrems-II dommen ble det klart at overføringer av personinformasjon til USA ikke er i tråd med de beskyttelsene en europeisk borger har krav på. Etter denne dommen valgte organisasjonen Non Of Your Business (NOYB) å melde 101 nettsider for brudd på GDPR fordi de brukte Google Analytics, og dermed sendte persondata til USA.

De siste dagene har det kommet to avgjørelser fra europeiske datatilsyn som tyder på at loven tolkes slik at bruk av Google Analytics vil være å anse som et brudd på GDPR sine restriksjoner mot overføring til tredjeland.

EDPS — datatilsynet for EUs organer — har gitt en reprimande til EU-parlamentet for deres bruk av Google Analytics på en intern nettside for COVID-testing. Dette ble ansett som en ulovlig overføring av personinformasjon til USA, og dermed brudd med den versjonen av GDPR som gjelder for EUs organer.

Østerrikes datatilsyn har i en av de 101 innklagede sakene fra NOYB avgjort at bruken av Google Analytics var i strid med GDPR. Dette er viktig, da Østerrikes datatilsyn er utpekt til å lede en felles innsatsgruppe for å avgjøre alle de 101 klagene. Det er dermed stor grunn til å tro at alle de andre sakene vil gå i NOYBs favør.

Avgjørelsen tar også høyde for om det er tilstrekkelig å benytte seg av funksjonaliteten i Google Analytics som skjuler IP-adressen til brukeren. Max Schrems (ja, den Schrems), som også leder NOYB, svarte klart nei på dette på Twitter.

Alt dette tyder på at bedrifter som benytter seg av Google Analytics, og tilsvarende analyseverktøy der dataene sendes til USA, snarest må legge planer for å gå over til alternativer som ikke bryter med rettighetene til europeiske borgere.

Vi må slutte å bruke Google Analytics

In today's post I'll share key lessons from my journey in implementing Anonymous Tokens and integrating it in Norway's contact tracing app "Smittestopp". Privacy and transparency, especially in government IT, is vital for gaining citizens' trust - and is here to stay. Therefore I'll share some success factors and my takeaways with you. 

This post is a follow-up on "Anonymous Tokens for Private Contact Tracing" that Tjerand Silde, Martin Strand and I wrote for last year's calendar on 22nd of December, where we tell the story on how we improved privacy in Norway's contact tracing app "Smittestopp" by designing a protocol for anonymity.

Through the work on Anonymous Tokens and integrating our contribution to Smittestopp, I've summarized some success factors and what I want those of us who build digital services to take away from our journey.

Key factors for success:

cross competency

deep skills and overlap in skills

good communication skills

open source enabled transparency and trust

Key takeaways:

ensure built-in privacy

have a data minimisation mindset

trust through transparency

Next I'll bring you up to speed on what's happened since our last post, and share how things went after our work was done. 

We're live!

"Anonymous Tokens" went live in Smittestopp on April 8th 2021! 🎉 

Anonymous Tokens was the culmination of a huge collaboration between the development team at The Norwegian Health Authority (FHI), other contributors and Martin, Tjerand and myself. It truly was a nation-wide open source "dugnad" to get our contribution into Norway's contact tracing app "Smittestopp" on GitHub!  

The tale has been told

The story about the collaboration between contributors to Smittestopp has been told in written form by Den norske dataforening (DND) and Johannes Brodwall on Kode24.no. Johannes highlights the value of FHI's willingness to move towards transparency and their openness to external contributions. You can also hear a podcast-episode from Utviklerpodden with Johannes on this topic.

Our work on Anonymous Tokens has also been mentioned in several Norwegian news media: forskning.no, Grannar.no and Computer World.

We won a privacy-award!

We won the "Built-in privacy"-award from the Norwegian Data Protection Authority (Datatilsynet)! This took us by surprise, to say the least. It seems they really wanted to get the message across that this is something they want to encourage and see more of. We agree! 😊

So... what did we learn from all of this?

I'm writing this post almost exactly a year after we started our work on Anonymous Tokens, and I reflect on how we managed to develop it in just 4 weeks. How did we manage that in such a short time? We've also observed challenges in privacy in contact tracing apps around the world. What can be done to move forwards in this space to ensure citizens' and users' privacy are respected in (government) IT services?

Key factors for our success

Cross-competency

A team of cross-competency skill sets will move faster by being able to do more and have the required key competency to reach their goals. This encourages team members to develop deep skills in their areas of expertise and collaborate with others, rather than individuals focusing on their own work.

Deep skills and overlap between skills

When you have a team composed of people with expertise in their own subjects, but who can look over to other subjects just enough to get their head above water, the team will understand each other better and move quicker. This was certainly true for us where coding and cryptography were two subjects where we each had expertise and understood enough of each other's subjects to understand, communicate and collaborate.

Good communication skills

When people communicate clearly, concisely and bring just enough context to the discussion to provide for a valuable dialog - you are able to progress faster. Poor communication where people bring in foreign elements such as unfamiliar abbreviations and terms, with a lot of out-of-context information, clutters the dialog and makes it cognitively harder to follow the discussions. A healthy dose of empathy doesn't go amiss.

In both open source and projects I've worked on I've seen both ends of the scale. I wish focus on communication skills and empathy were a larger part of software development.

Open source enables transparency & trust

GitHub provided tooling we could use to construct software built-in measures for security, trust and quality. By using open source we ensured that our contribution to Smittestopp was transparent for public scrutiny and open for external contributions. These benefits can also be used by government IT services that are built with an open source mindset.

FHI's change of direction towards transparency for Smittestopp 2 enabled a nation-wide collaboration and made all of this possible! 

Key takeaways for those who build digital services

Ensure built-in privacy

If you want to know more about how you can implement built-in privacy in software development you should have a look at this handbook by Datatilsynet. They've written guidelines and best-practices on privacy in software development focusing on requirements, design, testing, coding, maintenance and more. Share this with your team!

Have a data minimisation mindset

Large datasets with rich user-data are honeypots for threat actors. Threat actors aren't just external hackers. Your own employees, your company and even yourself can unknowingly be threat actors that should be modelled and mitigatigated.

Handling user-data with person identifiable information (PII) is a risk. How big of a risk it is depends on how well you've secured your user's data. By minimizing the amount of data you handle and store, you also minimize the damage potential if data is exposed by hackers and leaks. 

Ask yourself: do I really need this data for my service to provide value, and do I have a legitimate reason for storing this data? If you answered no to either question, then you might risk being in breach of GDPR-regulations. Moving towards a data minimisation mindset will please privacy-aware users and mitigate data-processing risks for your service.

Ensure trust through transparency

Trust is a frail thing. Without it, you risk users not adopting your service. Building digital services on an open source platform is a great way of being transparent. This is true not just for commercial companies but especially for governments who build digital services for their citizens. 

Transparency builds trust. Transparency in government IT can reveal inequality and injustice. Citizens can also validate if automated processes within these digital services are compliant to laws. This is a win-win scenario!

Could transparency in government IT even lead to stronger democracies?



Key learnings from working on privacy in contact tracing

Ryktene om Smittestopps død er overdrevet. Appen har blitt en zombie. Det uønskede barnet, unnfanget av myndighetenes teknologioptimisme, lever på nåde på norske mobiltelefoner.

Hva kan vi lære av denne tragedien? Fem perspektiver.

Innovasjon

I mars 2020 var det krise. Både kunnskapen om koronaviruset og pandemiberedskapen var mangelfull. De mest inngripende tiltakene siden krigen ble innført.

Hvordan lykkes med innovasjon i en slik krisesituasjon, i et ukjent landskap? Det finnes ingen fasit, men en mye brukt oppskrift ser omtrent sånn ut:

Generer så mange ideer som mulig.

Lag prototyper for de mest lovende ideene, side om side.

Få tidlig tilbakemelding fra reell bruk.

Gå videre med de løsningene som gir verdi.

Gå til steg 3.

Utviklingen av SmittestoppV1 låste seg fra starten på et løsningsmønster. Framfor å heve blikket eller invitere andre til å bidra, hoppet myndighetene ned i skyttergrava og kastet granater på kritikerne. Mulighetsrommet for innovasjon ble lukket. Til jul kom riktignok SmittestoppV2 med innovasjonen desentralisert kontaktsporing. Det åpnet opp for Anonyme Tokens, et eksternt bidrag for innebygd personvern. Deretter stoppet maskineriet helt.  

Smittestopp har gitt oss skylapper. Mulighetstrommet er større. Hva med desentralisert besøksregistrering, ultra-wideband framfor bluetooth og spesiallagede armbånd eller brikker framfor telefoner? Dette er bare noen få eksempler på ideer, gitt at vi ønsker å innovere med tanke på framtidig digital smittesporing.

Produktutvikling

En kollega skrev om Smittestopp april 2020, etter at ideen var kjent, før selve appen var lansert (mine redigeringer og uthevinger):

Men er det nok til å få over 3 000 000 brukere på rekordtid? ...Jeg har ikke sett appen eller prøvd den, men har lyst til å si litt om jobben FHI står ovenfor når det kommer til å få brukere.

Alle som jobber med brukerakvisisjon og brukeraktivisering vet at det er beinhard jobbing. Ikke alle er like heldige å ha markedsmusklene til DNB og løsningen på et like stort hverdagsproblem som det for eksempel Vipps løste. Vipps hadde 400 000 nedlastinger første måned, og i løpet av fem måneder rundet de 1 000 000 «Vippsere». Dette er blant landets beste historier på mange nedlastninger på kort tid. Men - om mine notater stemmer - er dette offisielle tall på nedlastinger, og ikke brukere. Det er nemlig forskjell på det å skaffe appen, og det å bruke den.

Mange avfeide denne innvendingen, og argumenterte med dugnadsånd og krise. Ved lansering av SmittestoppV1 så det ut som de skulle få rett. Men nedlastingene stoppet brått, og utbredelsen er milevis unna de 60% av befolkningen som var målsetningen.

I tillegg til helbom på brukermassen, har myndighetene gjort en klassisk tabbe: Et digitalt produkt blir aldri ferdig! La oss ta et eksempel. Aftenpostens overskrift er "Under 1 av 20 smittetilfeller deles i Smittestopp-appen", og FHI uttaler at "...men det virker også som at ikke alle som blir smittet, husker å varsle gjennom appen". Hvordan kan man få flere til å varsle når de er smittet? Nedenfor er informasjonen man får på Helsenorge ved positiv test:

Her er det ingen oppfordring til å varsle med Smittestopp. Det er heller ikke nevnt på lenken "Se hva du må gjøre for å beskytte andre".

Etter at SmittestoppV2 ble lansert, har den fått seile sin egen sjø. Digital produktutvikling krever fortløpende lytting, læring og forbedring fra vugge til grav.

Systemtenking

If we have a system of improvement, that's directed at improving the parts taken separately, you can be absolutely sure that the performance of the whole will not be improved - Russ Ackoff

Personlig mener jeg at hvis vi vil ha hverdagen og friheten tilbake, må vi ha flest mulig som laster ned denne appen. At man vil ha lengre tid med inngripende andre tiltak, blir jo selvfølgelig også et politisk valg for de som ikke velger å ikke bruke dette. Erna Solberg, 16. april 2020

Systemtenking lærer oss at vi må se på helheten, ikke de ulike delene systemet består av. I sin enøyde teknologioptimisme så myndighetene bort fra at appen er en begrenset del av en sammensatt helhet. Det sosiotekniske systemet, mennesker og tillit, ble enten glemt eller tatt for gitt. Tekniske løsninger lever ikke isolert fra samfunnet de skal brukes i.

Mangelen på systemtenking stammer sannsynligvis helt fra den opprinnelige forskningsartikkelen fra Coronavirus Fraser Group ved Oxford-universitetet, som har hatt enorm innflytelse internasjonalt. Den presenterer en teoretisk matematisk modell, med en hypotese om at en app kan stoppe spredningen av viruset:

The use of a contact-tracing app that builds a memory of proximity contacts and immediately notifies contacts of positive cases would be sufficient to stop the epidemic if used by enough people, in particular when combined with other measures such as physical distancing.

Vi vet nå at Smittestopp ikke er en game-changer. Systemtenking-perspektivet kunne allkevel gitt oss bedre svar.

Tillit

Nordmenn har stor tillit til myndighetene. Historien om Smittestopp ga oss to fundamentale lærdommer om tillit:

Myndighetene kan ikke ta befolkningens tillit for gitt. Tilliten i det norske samfunnet er bygget opp over lang tid, basert på rettferdighet, åpenhet, demokrati og menneskerettigheter. Men tilliten forsvinner som dugg for solen når den blir misbrukt.


Tillit kan ikke være en unnskyldning for å bryte personvernlovgivingen. Myndighetene kan ikke si "fortell oss alt, stol på oss, vi skal ikke misbruke informasjonen om deg" som begrunnelse for å høste uforholdsmessige mengder personopplysninger om oss.

Personvern

Årsaken til SmittestoppV1-havariet var brudd på personvernlovgivingen. At helseministeren og FHI i etterkant forsøkte å hevde at de allikevel var på rett side av loven er flaut, trist og skummelt. Myndigheter og politikere trenger et kompetanseløft på personvern.

At personvernet landet på riktig side i historien om Smittestopp, bør vi alle være glade for.

Epilog

Den viktigste lærdommen fra Smittestopp er at vi må investere i framtidig beredskap. Det bør ikke baseres på ensidig teknologioptimisme, men en helhetlig tilnærming innenfor rettstatens rammer. Ved å ta lærdom fra innovasjon, produktutvikling, systemutvikling, tillit og personvern, kan man sannsynligvis finne gode teknologibaserte løsninger som bidrar i kampen mot framtidige pandemier.

Privacy

Vi må slutte å bruke Google Analytics

Key learnings from working on privacy in contact tracing

Smittestopp antemortem

Sign up for our newsletter

Join in the holiday cheer and count down to Christmas with us!