20. april 2021 - Coronapas

Velmenende jurister har gummistemplet coronapasset


Coronapasset er med sit lynudbud og sin lukkethed et problembarn, som dataetisk råd har givet et gummistempel istedet for at sige fra. Techjournalist Anders Kjærulff uddyber her det problematiske i gummistemplingen af den nu allestedsnærværende adgangsbillet til hverdagslivet, det digitale coronapas, som er indarbejdet i app’en DinSundhed, hvor der principielt er adgang til alle vores sundhedsdata.

Og vi bør alle være på stikkerne frem mod 1.august, når passet har solnedgangsklausul, lyder det fra Anders Kjærulf Christensen, der forudser, hvilke argumenter coronapasset vil blive forlænget med, når vi når hen over sommeren.

Tekst: Dan Poulsen


Billedet: Anders Kjærulff Christensen, techjournalist og kritiker af Datatetisk Råds udtalelser om coronapasset, samt coronapasset affotograferet som det optræder mobilt i app'en MinSundhed.

 

”Vi har ikke kontrol over udbudsprocessen. Vi har ikke kontrol over, hvor vores data ryger hen. Vi har ikke nogen ide om, hvad der foregår inde i koden”.

Sådan lyder den opsummerede kritik af corona-passet, som Anders Kjærulff Christensen bygger ovenpå det ifølge ham dybt kritisable ved, at passet overhovedet rulles ud digitalt i en ordning, der reelt ikke er frivillig. Eller som han kortfattet kalder det i en K-NEWS-artikel før påske: Det er tvangsdigitalisering.

I samme artikel udtaler Janne Rothmarr Hermann fra Dataetisk Råd, der også er forsker i retlig regulering af sundhedsdata, at hun anser det for frivilligt, om man vil bruge coronapasset, da det blot er obligatorisk for adgang til nice-to-have-ting og ikke need-to-haves som f.eks. offentlig transport.

Anders Kjærulff Christensen køber ikke den argumentation, og uddyber her hvorfor han anser Dataetisk Råds for at være ligegyldigt og for – sagt med et amerikansk udtryk - paint lipstick on a pig.

Formand for rådet, Johan Busse, forelægges kritikken. Og artiklen hvor Janne Rothmar Hermann udtaler sig kan læses HER.

 

Velmenende jurister er ikke nok

”Rådet er pakket med jurister. Og så er der enkelte mennesker, der interesserer sig for digitalisering og som har et forhold til det”.

Sådan starter Anders Kjærulff sin karakteristik af Dataetisk Råd.

”Det er ikke for at klandre de mennesker, der sidder der. Jurister er gode nok til at sige, at så er det juridiske klappet af. Men der er f.eks. ikke nogen hardcore dataloger til stede, der er ikke nogen systemarkitekter, og der er ikke nogen programmører, og det, synes jeg, er et megaproblem.”

Anders Kjærulff kan efter deres sidste meldinger om passet ikke se, hvilken fornuftig rolle Dataetisk Råd spiller. De burde, som han har skrevet i et tweet, afvise det digitale pas som verdens dårligste ide, blandt andet fordi det udvikles på for kort tid og både udbud og kodning foregår for lukket.

Og han mener, det er ugyldige buzzord, rådet kaster med, når deres anbefalinger handler om frivillighed, transparens, udløbsdato og begrebet privacy-by-design, som det f.eks kommer til udtryk i udtalelser fra Janne Rothmann Hermann i K-NEWS-artiklen kort før påske. Her siger hun blandt andet:

”Dataetisk Råd har lavet udtalelse om, hvad der er vores anbefalinger. Det handler om frivillighed, transparens, at det er Folketinget, der beslutter hvordan og hvor, og der skal være en udløbsdato på passet […] Men det er helt afgørende, at vi har tillid til løsningen. Og derfor er det vigtigt, at det digitale pas udvikles som privacy by design.”

Janne Rothmarr Hermann pointerer også - som tidligere nævnt - at passet ikke afholder nogen fra det vigtigste - alle de ting der er need-to-have.

Snakken om frivilligheden skyder Anders Kjærulff på sådan her.

”Frivillighedsbegrebet er lidt en joke, når hun siger, at det er noget, man selv kan bestemme. Det er dybt selvmodsigende, synes jeg, når hun siger, at det er afgørende for frivilligheden, om det er nice-to-have eller need-to-have. Hun siger, at sport, cafeer, restauranter m.v. er nice-to-have. Det mener jeg jo ikke er et spørgsmål om nice-to-have, det er det, der hedder at deltage i samfundet. Hvis man vil være med i hulen Mulle, så er du nødt til at have coronapasset.”.

Argumentet med Privacy by design anser han for useriøst, fordi den (korte) tid, der er sat af og den rækkefølge tingene gøres i, gør det umuligt at leve op til de mange parametre, som skal ligge til grund for Privacy by design, sådan som det er defineret af ophavskvinden canadieren Ann Cavoukian.

”Det er sådan et ord alle kaster omkring sig med, fordi der er ikke rigtig nogen, der ved hvad det går ud på. Men der er en masse ting, man skal tage op, før man overhovedet tænder for en maskine. Det er en superkompliceret proces, før man når derind

Jeg ved ikke en gang om det er brugbart ift. det her. Hele ideen om at kunne tjekke nogens sundhedsstatus via en app på et usikkert styresystem på en usikker mobiltelefon modsiger i sig selv begrebet privacy. Du gør din telefon mere sårbar ved at proppe den her type software ind i den, end den var før. Og du gør din telefon til et sårbarhedspunkt, som er kompliceret at have med at gøre.”

At passet skal være digitalt og er funderet i den allerede eksisterende app MinSundhed får den helt store alarmklokke til at ringe hos journalisten, der gennem de sidste tre årtier har dækket den teknologiske udvikling. Også selvom der fra flere sider lægges vægt på, at der skal være en analog version af passet. For ifølge Anders Kjærulff er det afgørende her den vilje, der kommer til udtryk med det fokus og ikke mindst de penge, der sendes afsted fra politisk hold.

”I og med man samtidig med udrulningen af det digitale pas ikke rigtig endnu kan forklare, hvordan den analoge løsning på passet skal være, og det er den digitale, man bruger penge på, det er den der bliver udviklet, så er der reelt tale om tvangsdigitalisering.”

 

Vi gentager det forkerte

”Vi har ikke kontrol over udbudsprocessen. Vi har ikke kontrol over, hvor vores data ryger hen. Vi har ikke nogen ide om hvad der foregår inde i koden.”

For nogle af os andre forekommer techjournalistens argumenter muligvis for nicheprægede til at være relevante i en tid med en smitte, der forsøges kontrolleret.

Det er, når han taler om danskeres eventuelle lyst til f.eks. at bruge en PinePhone, en mobiltelefon, som ikke kører på hverken Android eller Apples iOS men på et LinuxSystem, der på ingen måde ”kan æde nogle af de apps staten laver”, som han udtrykker det.

Linux er et Open Source system, hvor alle der ønsker det har adgang til koden, alle udvikler og andre – der kan læse og forstå koden - kan gennemtrevle den, finde fejl, finde sikkerhedshuller, videreudvikle og bygge egen software.

”Selvom jeg har en telefon, og selvom jeg kan sige, jeg er superdigital, så kan jeg ikke være med, og det mener jeg er diskriminerende”

Og han mener ikke kun det er et nicheproblem.

”Lad mig udvide nicheargumentet ganske kort. Vi har jo allerede problemet med smittestop-app’en, at den kræver en nyere telefon. Du kan ikke have en fem-seks år gammel iPhone eller Android. Og dvs. at du tvinger folk ud i et opdateringsræs, hvor du skal have det nyeste gear for, at du kan være med. Jeg mener ikke, der er nogen form for undskyldning for det her. Der er en ret stor del af befolkningen, der stadig kører på noget gammelt skrammel, og som de har det udmærket med."

Men ud over coronapassets krav til den hardware vi hver især har i vores lomme, så handler Anders Kjærulffs helt afgørende kritik om den overordnede og helt grundlæggende digitale arkitektur og softwaren.

Og at det hele har en solnedgangsklausul allerede til august, giver han, som vi vender tilbage til, ikke meget for

Netcompany har – igen – vundet opgaven for det offentlige med at bygge coronapas-app’en. Og det eneste Anders Kjærulff såvel som andre, der følger det så tæt som muligt, ved er, at det byggeri foregår lukket, og at det bygger på ikke-dansk infrastruktur.

Begge forhold finder han dybt kritisabelt. Og han mener, at det fuldstændig underminerer den tillid, som Dataetisk Råd og Janne Rothmarr Hermann taler om som afgørende.

Kjærulff Christensen uddyber.

”Janne Rothmann fra Dataetisk Råd siger, det er utrolig vigtigt for, at vi kan gennemføre det her, at borgeren har tillid til de her systemer. Og der har jeg nogle store problemer.

Vi vælger at benytte os af en infrastruktur, som vi skal administrere gennem to amerikanske firmaer, i det her tilfælde Google og Apple. Det er i sig selv både absurd og vanvittigt. Det gør os ekstrem sårbare, for hvis Apple eller Google vælger at ændre deres struktur, så er vi nødt til at følge med.

Det er altså noget nemmere, at vi kan ringe ind på Slotsholmen og sige, at det her virker ikke, og det er jeres ansvar at få det fikset, fremfor at staten lige skal ringe rundt til nogle firmaer, som de har nogle uigennemsigtige aftaler med, og hvor vi ikke rigtig ved, hvem der egentlig er ansvarlig for det, og hvilken del ligger egentlig herhjemme og hvilke del ligger i udlandet.”

 

Nul tillid til lukket software og forløb

Som afsæt for sin kritik af den lukkede udvikling af koden i app’en, nævner Anders Kjærulff den allerede eksisterende og i øvrigt ikke markant succesramte Smittestop-app. Det er nemlig relativt få coronaramte danskere, der er blevet opsporet via den app.

”Måden Smittestop blev til og måden den fungerer, det var et forløb som var fuldstændig lukket, og det er det stadigvæk. Vi har ikke adgang til kildekoden bag denne her Smittestop-app. Det eneste vi ved omkring den er, at i bunden af den sidder det her GoogleAPI, som angiveligt er enormt godt til at sikre vores privatliv, men hvad der ligger ovenpå? Det er lukket kode.”

Argumentationen for at lave både processen op til kodning og selve koden som så lukket afviser Anders Kjærulff som en slags hønen eller ægget-snak, og den er helt afgørende ødelæggende for tilliden.

”Man har valgt det ud fra et eller andet cybersikkerhedssynspunkt om, at hvis man lægger det åbent ud, så kan vi risikere, at der er hackere, der benytter sig af svagheder i det det. Men det er bare sådan en klassisk en, hvor man kigger ind i et andet problem: At hvis koden er lukket, så er der heller ikke nogen der kan tjekke den uafhængigt for fejl. Og man ved heller ikke hvad er ellers er proppet i.

Og det vil sige, at jeg skal stole på, at staten 100 procent gør det den siger, uden der er mulighed for, at jeg kan tjekke hvad der er sat op i den", siger han med henvisning til Smittestop-appen.

"Og det kommer jeg heller ikke til at gøre med coronapasset. Der er jeg nødt til at stole på Netcompany og deres kode, at de siger den anonym, at de siger, at de kun gemmer de data de har lovet.

Men medmindre koden bliver fulgt offentlig, at den kommer ud og ligge på GitHub eller et af de her andre steder, hvor folk kan prygle den igennem og tjekke om den holder, det er den måde man normalt gør det i et software community, jamen så har jeg ikke nogen anelse om, hvad der er inde i den. Og det vil sige at tilliden er et problem, og det kommer til at blive et megaproblem også ift den her app."

Ikke mindst under en krise som nu, hvor der kan argumenteres for at løsninger skal findes hurtigt, hvor der kan argumenteres med at tid koster liv, ser Anders Kjærulf kun én rigtig vej til at bygge og fastholde tilliden.

”Under en epidemi skal vi gøre alt hvad vi kan og gøre alt der er muligt. Og i den sammenhæng vil det være logisk at sige, nu sætter vi noget kode i søen som alle kan kigge ind i. For så er der mulighed for at nogle opdager fejl som eventuelt ligger i koden undervejs, så vi ikke bare sætter noget i søen, der kun er set igennem af et firma og ikke andre. Det vil være den første logiske ting at gøre”.

Således opsummeret alt det som Anders Kjærulff mener er den oplagte opgave for et Dataetisk Råd at udtale sig kritisk om.

Dataetisk gummistempel

"I den her sammenhæng der må man altså bare sige, at hastværk er lastværk, og vi kommer galt af sted, hvis vi ikke har styr på tingene."

Siger Anders Kjærulff og fortsætter.

"Og Dataetisk Råd er blevet et gummistempel for nogle bevægelser, og de kan ikke andet, fordi der ikke ligger andet i deres opdrag. Jeg tror, det er nogle mennesker, der mener det godt, men som sidder på alt for smalt mandat. De kan f.eks. ikke tillade sig – åbenbart, det er i hvert fald det jeg hører – bare at sige, at de synes det er en pivdårlig ide at lave et coronapas, og derfor skal I lade være. Det må de ikke.

De skal spille med på, hvad forvaltningen ligesom har bestemt sig for på forhånd. Og der kan jeg ikke lade være med at tænke på det amerikanske udtryk der hedder ’Lipstick on a pig’. Så der synes jeg vi skal diskutere, hvad vi overhovedet skal bruge Dataetisk Råd til, fordi vi har jo i forvejen et etisk råd”.

Netop Etisk Råd peger han på som nogen, der allerede et par måneder inde i pandemiens Danmark forudsagde de problemer, som han også selv ser i dag - i øvrigt sammen med andre kritikere af coronapassset - ved den måde en digitalt version nu udrulles.

Etisk Råd skrev i slutningen af maj sidste år en overordnet tommelfingerregel under overskriften ’etiske hensyn ved digital opsporing’:

’Vigtige beslutninger om nye digitale tiltag bør ikke træffes under kritiske og accelererede forhold’

Og de skriver om teknologiske tiltag:
’Der bør være stærke beviser for, at meget indgribende sundhedstiltag også (og alene) virker i den sammenhæng, de er tiltænkt. Nancy Kass har formuleret en tommelfingerregel, som lyder: Jo større byrder en sundhedsteknologi pålægger befolkningen i form af udgifter eller indgreb i frihedsrettigheder, desto stærkere beviser må der være for, at teknologien vil opnå dets mål.’

Etisk Råd skriver også om tvungen brug af teknologiske løsninger – særdeles relevant at læse her 11 måneder senere på f.eks. en onsdag hvor tilstedeværelsen af obligatorisk coronapas intensiveres i hverdagen. Om det er at betragte som need eller nice-to-have i hverdagen må være op til den enkelte læser, men Etisk Råds tale er klar.

’Givet den manglende viden om, hvor effektiv en digital kontaktopsporing vil være, vil det fx være uforholdsmæssigt indgribende at gøre brugen af en app obligatorisk.”

Sådan skriver de i tiden op til at Smittestop app’en rulles ud. En app, der altså har bevist sig – kan vi sige her et år efter – ikke særlig effektiv.
Afslutningsvis om Etisk Råds udmelding fra maj sidste år skal vi blot her nævne, at de peger på faren for at ’ofre grundlæggende borgerrettigheder for en uvis teknologisk gevinst.’

Og med den reference tilbage til Anders Kjærulf.

 

Pas på ved solnedgangstid

Han siger, vi skal være på stikkerne, når vi når frem til 1.august, fordi der er indbygget det han kalder ”store fede huller” i solnedgangsklausulen til august.

”Som det ser ud nu, ligger der i den klausul, at man skal diskutere coronapasset igen til efteråret, men der er forbehold for, at EU vil noget andet, forbehold for smittesituationen. Så det mest sandsynlige forløb er, at når vi når til efteråret, vil man sige, at fordi vi ikke rigtig kan vide, hvad EU vil så måske kan vi få den integreret i det, og derfor så slukker vi ikke for den”.

Om den spådom holder stik, ved vi om få måneder. Indtil da skal vi ifølge Anders Kjærulf lade være med at være digitalt naive og lade os besnakke med den ’magiske sovs’, som han refererer til, at de besluttende politikere har det med at sætte deres lid til. Nærværende i Danmark og smertefuldt for mange illustreret med Bjarne Corydon og Nicolai Wammens lancering af det nye skattesystem med ord a la ”Vi trykker bare enter, og så kører det”.

Det er Anders Kjærulff, der nævner det eksempel på magisk.

”Det er lidt samme indstilling med det her. Hvis vi nu bare afsætter nogle penge og laver et lydudbud, jamen så kommer det bare til at virke automatisk. Men nej det gør det ikke. Fordi det skal spille sammen med så utrolig mange systemer lige nu.

Vi er i gang med at bygge en sundhedsinfrastruktur, som handler om alle vores mest intime data. Data på, hvornår vi er syge, og hvad vi fejler.

Lige nu handler det om corona, men det foregår altså inde i et softwaremiljø, hvor der principielt er adgang – i hvert fald på nuværende tidspunkt så længe MinSundhed er den, der skal bruges til det - til alle vores sundhedsdata. Det kræver en ekstrem forsigtighed, og det kræver et fuldt overblik over, hvor man vil hen med det her.

Lige præcis sundhedsdata er den hellige gral i øjeblikket for private firmaer. Alle er angiveligt superinteresserede i danske sundhedsdata, og det er derfor, vi er nødt til at have en stor folkelig debat om, hvor skal de data hen, hvor mange skal have adgang til dem, vil jeg sælge dem, vil jeg sælge mine data hvis de er pseudoanonymiserede eller skal de være fuldt anonymiserede - det er der nemlig stor forskel på og det tror jeg ikke politikerne ved. Der er en masse diskussioner vi ikke har taget om, hvad det er for et datadrevet samfund vi er på vej ind i.

Det vi risikerer ved det, der er ved at blive bygget nu, det svarer til, at jeg godt ved der er trafikregler om 80 km i timen og bremser, som skal virke. Men hvis jeg sætter mig ind i en bil, der kun kan køre 270 km i timen og som ikke har nogen bremser, så har jeg en bizar situation. Og det er det jeg frygter kommer til at ske her. For det har vi set før.”

Anders Kjærulff Christensen har beskæftiget sig med teknologi i den digitale form fra før der både var noget der hed EFI og Google, og fra før Microsoft lancerede Windows 95 ved en event i Imperial-biografen, hvor strømmen i øvrigt gik undervejs. 

Han hører absolut til en af de på en gang vidende og digitaliseringskritiske. Og han har forholdt sig kritisk til Dataetisk Råd siden 2018, som man kan læse på hans personlige blog HER. Han taler lige ud af posen, som også illustreret med dette afsluttende citat fra ham.

”Det kan ikke nytte noget, at vi sælger hele lortet ud, fordi der kommer en epidemi.”

Det citat kan vi så alle i mere eller mindre modereret form tage med i vores overvejelser denne onsdag og alle kommende dage, hvor vi skal vise vores coronapas – digitalt eller på et printet(!) stykke papir – til personalet på barer, cafeer og restauranter, som tillæg til i mødet med frisører, massører o.a. som vi allerede har skulle vænne os til.

Kritikken, der er rettet mod Dataetisk Råd, har vi forelagt rådets formand Johan Busse. Han afviser, at rådet har et for smalt mandat, og han argumenterer for, at nogle kritikpunkterne er af ikke-dataetisk relevans.

Johan Busses svar kan læses i sin helhed i en artikel vi bringer i morgen.

Del denne artikel

Hold dig opdateret

Få klar besked om nye artikler og podcasts direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig - og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak