Forslag om registrering av alle innreiser skal støtte smittesporing og kontroll av etterlevelsen av karantener i Norge. Ut ifra et personvernsperspektiv er det flere risikomomenter for at løsningen står i konflikt med personvernsloven og GDPR. Jeg oppsummere mine bekymringer.
Grensependlere må registrere seg hver gang (detailert profilering av deres liv). Overregistrering av opplysninger med hensikt til formål?
Uklart definisjon av hva som blir samlet inn med varsel om bestadige endringer: "Hvilke opplysninger det helt konkret er behov for ut fra formålet med registreringen, vil kunne endre seg over tid. Kategoriene av opplysninger som er listet opp i forslaget til første ledd er derfor overordnet angitt, for å gi et visst rom for fleksibilitet. ". Dette blir utfordrende med hensyn til transparenskravet.
Fare for at for mange opplysninger samles in - med tog- eller bussreiser ville det sikkert vært nok å vite vogn-nummer heller enn seteplasser: "Hva slags reiseinformasjon som skal registreres vil kunne variere ut fra transportmiddel. Ved grensepassering med fly eller tog kan det for eksempel være nødvendig å registrere setenummer der dette er tilgjengelig for å lette smitteoppsporingen". Bryter med krav om minimering av datainnsamling til definiert formål.
Jeg stusser over den veldige lange liste over aktører som skal få adgang til registeret på side 9 og 10. Kommunale ansatte skal bruke registret. "Også private aktører kan tenkes å ha en rolle i å sikre etterlevelse av karanteneplikten," Snoking i databaser er et kjent problem, og vekterbransjen er kjent for sin fleksibelt tilnærming til gjeldende borgerrettigheter. HER TRENGS DET TILTAK SOM LOGGFØRER ADGANG OG SOM MULIGGJØR PERSONLIGE SANKSJONER VED SNOKING I DATABASEN.
Formålsdefinisjon virker generelt for bred. Smittesporing, karanteneovervåkning, forskning, statistikk, karantenehotell-ledelse ... virker som en veldig utydelig definert formål for bruk av personopplysninger. "Det foreslås derfor ikke å regulere særskilt hvem opplysninger kan utleveres til, men at utleveringen knyttes til opplysninger som er nødvendige for å sikre etterlevelse av karantene, smitteoppsporing og for vurdering av risiko for smittespredning,"
Registeret virker å hå skjulte formål (nederst side 10): "Som nevnt i punkt 2.1 vil opplysninger fra systemet imidlertid kunne være nyttige for politiet i kombinasjon med økt territorialkontroll, i en situasjon der det er aktuelt å avvikle grensekontrollen på indre grense." Dette står i konflikt med formålsdefinisjonen.
Side 11: Svekket transparens: "Det anses ikke nødvendig å regulere hvilke organer som kan gis direkte tilgang, slik at dette vil være avhengig av det konkrete behovet. "
Side 11: De foreslåtte 20 dager lagringstid er for lange nå da vi vet at smittsomhet av COVID-19 varer sjelden lenger en 7 dager. Loven krever 10 dager karantene nå, karantenetiden kommer sannsynligvis å forkortes i løp av januar eller februar. Lagringsfristen må tilsvare disse realiteter.
Grensependlere må registrere seg hver gang (detailert profilering av deres liv). Overregistrering av opplysninger med hensikt til formål?
Uklart definisjon av hva som blir samlet inn med varsel om bestadige endringer: "Hvilke opplysninger det helt konkret er behov for ut fra formålet med registreringen, vil kunne endre seg over tid. Kategoriene av opplysninger som er listet opp i forslaget til første ledd er derfor overordnet angitt, for å gi et visst rom for fleksibilitet. ". Dette blir utfordrende med hensyn til transparenskravet.
Fare for at for mange opplysninger samles in - med tog- eller bussreiser ville det sikkert vært nok å vite vogn-nummer heller enn seteplasser: "Hva slags reiseinformasjon som skal registreres vil kunne variere ut fra transportmiddel. Ved grensepassering med fly eller tog kan det for eksempel være nødvendig å registrere setenummer der dette er tilgjengelig for å lette smitteoppsporingen". Bryter med krav om minimering av datainnsamling til definiert formål.
Jeg stusser over den veldige lange liste over aktører som skal få adgang til registeret på side 9 og 10. Kommunale ansatte skal bruke registret. "Også private aktører kan tenkes å ha en rolle i å sikre etterlevelse av karanteneplikten," Snoking i databaser er et kjent problem, og vekterbransjen er kjent for sin fleksibelt tilnærming til gjeldende borgerrettigheter. HER TRENGS DET TILTAK SOM LOGGFØRER ADGANG OG SOM MULIGGJØR PERSONLIGE SANKSJONER VED SNOKING I DATABASEN.
Formålsdefinisjon virker generelt for bred. Smittesporing, karanteneovervåkning, forskning, statistikk, karantenehotell-ledelse ... virker som en veldig utydelig definert formål for bruk av personopplysninger. "Det foreslås derfor ikke å regulere særskilt hvem opplysninger kan utleveres til, men at utleveringen knyttes til opplysninger som er nødvendige for å sikre etterlevelse av karantene, smitteoppsporing og for vurdering av risiko for smittespredning,"
Registeret virker å hå skjulte formål (nederst side 10): "Som nevnt i punkt 2.1 vil opplysninger fra systemet imidlertid kunne være nyttige for politiet i kombinasjon med økt territorialkontroll, i en situasjon der det er aktuelt å avvikle grensekontrollen på indre grense." Dette står i konflikt med formålsdefinisjonen.
Side 11: Svekket transparens: "Det anses ikke nødvendig å regulere hvilke organer som kan gis direkte tilgang, slik at dette vil være avhengig av det konkrete behovet. "
Side 11: De foreslåtte 20 dager lagringstid er for lange nå da vi vet at smittsomhet av COVID-19 varer sjelden lenger en 7 dager. Loven krever 10 dager karantene nå, karantenetiden kommer sannsynligvis å forkortes i løp av januar eller februar. Lagringsfristen må tilsvare disse realiteter.