Stort tryck på att använda kontaktspårningsappar för att öppna samhällen

En lägesbeskrivning av vad som händer kring den stora push för kontaktspårningsappar som pågår just nu inom EU. Det sker mycket väldigt snabbt nu och den här beskrivningen har behövt ändras flera gånger under arbetet, så troligtvis kommer en del att vara inaktuellt snart.

Kontaktspårningsappar har lanserats från flera håll som en nödvändig komponent för att öppna upp samhällen som är i nedlåsning – vilket det överlag finns ett stort tryck kring att göra – och behöver därför både förstås och granskas.

EU släppte den 16e april sitt dokument “Joint European Roadmap towards lifting COVID-19 containment measures” (PDF). Dokumentet är en gemensam strategi för att synka detta arbete över EU-länder i fråga om informationsutbyten, synkronisera öppnanden av gränser med mera.

Det första som nämns efter generella principer om koordinering, solidaritet och vetenskaplig basis handlar om datainsamling. Till en början jämförelse av statistik och bättre förståelse av antal smittade genom tester och symptomrapportering (de nämner specifikt appar för frivillig rapportering av symptom för hemmasittande). Punk nummer två handlar om att kontaktspårningappar är central för att kunna öppna upp samhällen på ett säkert sätt och givetvis betonas frågor om privacy, dataskydd, interoperabilitet mellan länder och involvering av hälsomyndigheter. De nämner explicit ett konsortium här som heter PEPP-PT som jag ska återkomma till.

Förutom EUs dokument så har tungviktare som Tyskland, Frankrike och UK (ok, inte riktigt EU) sagt att de ska skaffa kontaktspårningsappar. Fler har följt med och jag gör en sammanställning av olika länders satsningar längre ner i artikeln, då det pågår en kamp just nu mellan olika typer av lösningar och tillvägagångssätt och vilka länder som kommer att gå vilken väg.

Dramat mellan PEPP-PT och DP-3T

Vissa länder har utvecklat egna kontaktspårningsappar i en egen ofta icke-transparent process, ofta med katastrofala resultat. Norge exempelvis utvecklade en egen app – Smittestopp – som samlade in användarnas platsdata och gjorde analys på vilka som hade varit i kontakt med varandra centralt. Dessutom släppte man inte källkoden eftersom man menade att det skulle göra det enklare för hackare att hitta svagheter. Det tog dock inte lång tid innan någon hade reverse engineerat protokollet och upptäckt att det var väldigt osäkert. Utan extern granskning kommer de här protokollen inte långt.

Men en större kontrovers har uppstått kring det Europeiska initiativet PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) som först stöddes både på EU-nivå och av Tyskland (Tyska forskningsinstitutet Fraunhofer står nära satsningen). Till en början hade PEPP-PT samlat över 40 loggor på sin hemsida och sade sig stå som en samlande kraft för pan-europeiska initiativ kring kontaktspårning.

Ett forskningslett initiativ som heter DP-3T kontaktade dem med en prototyp för ett protokoll som både skulle vara anonymiserat, säkert och decentraliserat på så vis att inga spår av kontakter sparades centralt. DP-3T var utvecklat av 23 forskare vid 8 olika universitet från 6 länder. De hade ett whitepaper PDF som beskrev deras protokoll och exempelkod som de hade lagt upp på Github för extern granskning.

En dag var dock alla omnämnanden om DP-3T borta från PEPP-PTs hemsida. Istället talades det om en annan lösning som redan fanns som skulle bli PEPP-PT appen, utan att någon kod eller beskrivning fanns tillgänglig. Det hela var mycket förvirrande och några bestämde sig för att granska PEPP-PT och vad som verkade vara en diffus sammanslutning.

Jag ska inte gå in på hela historien för det är ganska invecklat och egentligen inte viktigt, även om det är ett rafflande drama som kan innehålla många lärdomar. För att göra en lång historia kort verkar PEPP-PT, trots över 40 loggor på hemsidan, mest bestå av en enda person och som nu företräder en centraliserad lösning som syftar till att möjliggöra dataanalys och som snabbt blev sågad när en publicering av koden slutligen tvingades fram.

Konsekvensen av detta och ett fortsatt tryck för dem att bli mer transparenta har blivit att många hoppat av tåget. Universitet har dragit bort sina organisationsloggor från hemsidan och olika länder som hade dialog med dem har dragit in sitt stöd och korthuset ser ut att falla samman.

DP3T som den decentraliserade, anonyma och granskade lösningen

Många av de som hoppat av PEPP-PT har nu istället uttryckt stöd för DP-3T som den bästa lösningen. Deras tillvägagångssätt har också varit den totala motsatsen och är en fascinerande studie i vad för typ av arbetssätt som är möjlig i en sån här krissituation.

De började som sagt med en sammanslutning av forskare från olika universitet och länder med betoning på datavetare men där många har profilerat sig som privacy-forskare och bredare perspektiv på datavetenskap inspirerat av datarättsliga perspektiv, kritisk teori och feminism. Ett whitepaper som tydligt och transparent beskriver deras ansats uppdateras regelbundet och det finns öppen källkod att inspektera för exempelimplementationer.

Deras whitepaper PDF innehåller inte bara en tekniska analys utan också olika hotbilder och eventuella svagheter samt integritets-implikationer. Deras kod på Github är väl granskad och deras issue-rapportering innehåller många issues som också tar upp privacy-frågor och en specifik issue som heter “The Long-Tail of Contact Tracing” som nästan är en hel essä som sociala rättvise-aspekter kring kontaktspårning skriven bl.a. av Miriyam Aouragh från Ocford Internet Institute, Femke Snelting från Constant och Helene Pritchard från Goldsmiths.

Utöver närläsning av kodoen från externa granskare har DP-3T blivit föremål för en mycket diskussion på Twitter (och i ett antal podcasts, pre-prints och artiklar) från säkerhetsfolk, aktivister och akademiker från både tekniska discipliner och human- och samhällsvetenskaperna.

Med andra ord är det här tillvägagångssättet långt ifrån en tech-entreprenörs “solutionism” (som Morozov trots det beklagade sig över (å andra sidan har ju inte teoretikers gamla käpphästar så bra track record i den här pandemin)) och oavsett perspektivet på kontaktspårningsappar är det inspirerande att se en så transparent och transdisciplinär utveckling och granskning av eventuell användning av digitala system. Det borde sätta en ny standard hur man kan tänka kring teknikutveckling även i andra sammanhang. Framförallt när riskerna med tekniken inte bara är att den antingen gör nytta eller inte bidrar alls, utan faktiskt riskerar att bli kontraproduktiv och göra skada.

Att det sedan också inte bara måste utvecklas utan och lanseras med försiktighet – och det efter en deliberation om lansering ens bör ske – är en annan fråga. Finland har i varje fall börjat med ett pilottest som kan ge kunskap om implementationssvårigheter och användarupplevelse, men som inte svarar på de bredare sociala problem som kan uppstå.

Kort beskrivning av vad DP-3T faktiskt gör

Jag vill inte gå inte på detaljerna i hur protokollet funkar här utan hänvisar till deras Github men en kort lekmannabeskrivning som möjliggör att diskutera vissa aspekter av lösningen ser ut såhär:

Användare som laddar ner och kör appen sprider omkring sig slumpade meddelanden via Bluetooth med jämna mellanrum. Dessa plockas upp av andra appanvändare inom räckhåll och samlas på i en lista.

Om en app-användare testas positivt av hälsomyndigheter för COVID-19 kommer denne att få en auktoriseringskod som gör att den kan välja att ladda upp sina utskickade slumpmeddelanden (som skickades ut under en misstänkt smittperiod) till en central server.

Andra appanvändandare prenumererar på slumpmeddelanden från den här centrala servern och jämför de med sina egna påsamlade slumpmeddelanden. Ju fler matchningar de får, desto högre “smittopoäng” får de. Vid en tillräckligt hög nivå av smittopoäng kommer de att få ett meddelande från appen att de har varit i närheten av en infekterad person tillräckligt länge för att utgöra en risk. De kommer då att uppmanas exempelvis till att testa sig eller att isolera sig.

Några saker är värt att påpeka här. Det finns alltså ingen samlad information om kontakter som skett utan detta analyseras enbart hos enskilda användare. De i sin tur vet inte vem de har matchat med, bara eventuellt under vilka dagar det har skett. När folk slutar använda appen eller hälsomyndigheterna slutar ge ut auktoriseringskoder fyller den ingen funktion längre och ingen mer kontaktdata finns att analysera.

Det finns längre diskussioner om eventuella svagheter i modellen i deras whitepaper och på deras github. Värt att påpeka är också att det samarbete som Apple och Google tagit fram för att skapa ett API för smittspårning i Android och iOS är direkt inspirerat av DP-3T. Det möjliggör dels appen att köra i bakgrunden och inte dra så mycket batteri men lägger också till en extra säkerhetsnivå som inte tillåter appar att använda listan på uppsnappade medelanden exempelvis för att korrelera med position eller annat utan bara till att beräkna matchingar med den centrala listan. Apples och Googles initiativ motverkar alltså datainsamling, även för deras del och är inte (som en annan dåligt anpassad analys till dagens situation påstår) någon slags “data grab”. Problemet är ett helt annat, nämligen att de positionerar sig – eller i varje fall avslöjar sig – som den essentiella globala infrastrukturen för att möjliggöra digitala respons till krisen överhuvudtaget. Den ställning och förlitandet på dem är mycket värt att problematisera.

Något annat intressant med Apples och Googles initiativ är att de uttryckligen bara ska ge tillgång till den här funktionen till hälsomyndigheter och inte vilka utvecklare som helst. Så om Apple och Google blir en del av den allmänna infrastrukturen, så blir hälsomyndigheter en nödvändig del i den digitala innovationen. Även i DP-3T så har hälsomyndigheterna en central roll. Hälsomyndigheterna ger ut auktoriseringskoder för att möjliggöra en användare att markera sig som smittad (för att inte hypokondriker ska spamma systemet), det är också de som sätter nivån på smittopoängen som krävs för att varna användare och det är de som beslutar om innehållet i notifikationen och vilka åtgärder en användare ska ta när de bedöms har varit i närheten av en infekterad person tillräckligt länge.

Förutom detta gör de också den manuella kontaktspårningen som förresten också säkert kan digitalt effektiviseras och komplementeras, samt eventuellt hålla koll på de som faktiskt blivit testade och när de kan testas igen för att se om de är negativa eller när de eventuellt behöver uppsöka sjukhus igen.

För det är just det som är frågan: Vad är det egentligen tänkt att en notifierad person ska göra?

Invändningar mot att använda kontaktspårningsappar

Bara för att DP-3T verkar vara den bäst utformade lösningen för att göra en kontaktspårningsapp och att det är väldigt bra att den finns som ett sunt alternativ att peka på när trycket på kontaktspårning ökar innebär det inte att det är en bra idé att lansera kontaktspårningsappar överhuvudtaget. Även utvecklarna av DP-3T verkar ha det perspektivet då de beskriver sitt initiativ mest som en reaktion på vad de såg som risker att länder antog centraliserade och osäkra lösningar som riskerade att möjliggöra övervakning och dåligt dataskydd. Däremot verkar de själva agnostiska i förhållande till om apparna bör användas alls.

Det finns många frågor kring förväntade och oväntade beteenden som kontaktspårningsapparna ska användas för, förutom de givna frågorna kring datasäkerhet (går det att exploatera, är protokollet granskat tillräckligt, vilka läckor riskerar man), integritetsfrågor (går det att avanonymisera data om den knyts till annan information, går det att samla in mängder av data och analysera beteendemönster), och rättvisefrågor (Vilka är egentligen villiga och har möjlighet att använda en sån här app, vilka har möjlighet att vidta de åtgärder som krävs, får användare fördelar gentemot icke-användare med mera).

För det första, för att stanna vid förväntade beteenden och bortse från säkerhetsrisker och snedfördelningar av användande. Vad är det egentligen tänkt att en notifikation ska leda till för beteendeförändring?

I dagsläget – och troligtvis ett bra tag till – kommer de flesta att behöva agera som om de vore potentiella smittspridare och smittbara. Vi kan kalla dem för “gula”. Väldigt få kan anse sig vara “gröna”, dvs utan risk att vare sig sprida eller få smittan och enbart de som har uppenbara symptom eller blivit testade är “röda”, dvs säkra att de har smittan.

En kontaktspårningsapp som notifierar en användare att den har varit i närhet av en smittad person baserar detta på att de varit inom bluetoothräckvidd tillräckligt länge eller tillräckligt många gånger. Det säger egentligen samma som de flesta redan antar – “du är ‘gul’”. Bluetooth-indikatorn är en vag markör. En person måste ha varit inom några meters avstånd men det kan också ha varit med ryggarna mot varandra utomhus eller till och med på andra sidan en vägg där det inte funnits alls någon smittrisk. Utan att notifikationen kopplas till en tydlig åtgärd finns det därför risk att den blir meningslös då personen troligtvis betraktade sig som “gul” redan innan, eller till och med kontraproduktiv om det är så att en användare anser sig vara “grön” tills den får en notifikation och då får ett mer riskfyllt beteende.

Det finns två åtgärder som har föreslagits som kan kopplas till en notifiering i appen. Det ena är att personer som blivit notifierade ska få möjlighet att testa sig för att se om de verkligen har blivit smittade. Ur ett funktionellt perspektiv gör det i så fall app-användandet meningsfullt. Frågan är istället om det är en vettig prioritering för vilka som ska gå att testa sig att ge förtur till appanvändare som fått en notifikation? Riskerar inte de att domineras av en grupp yngre människor som är längst ifrån riskgrupper som har mest behov av testning och skydd? Dessutom finns det rättviseproblem med att prioriterar testning för de som har möjlighet att använda smartphones och appen. Om tillgång till testning är något eftersträvansvärt signalerar det också att det bästa sättet att få tillgång till det är att ladda ner appen och utsätta sig för så stor risk som möjligt för att få en notifikation och förhoppningsvis kunna bli testad.

Den andra åtgärden som föreslagits är att inte knyta det till testning men uppmana användare via notifikationen att sätta sig i karantän i väntan på symptom eller under en viss tid för att även undvika asymptomatisk testning. I så fall knyts inte appanvändandet till ett incitament som med testning utan snarare till ett straff – risk att uppmanas att sätta sig i karantän – även om det inte är tänkt att det ska följas upp eftersom hälsomyndigheter inte vet vem som har fått varningarna. En solidarisk medborgare kanske gör det första gången en notifikation kommer, men hur blir det med vilja att följa rekommendationen om de får en ny notifikation när de precis kommit ut i det fria igen? Kom ihåg att de här apparna är tänkt att användas vid en uppöppning av samhället, vilket innebär att ens sociala umgänge för det mesta lever ett öppet socialt liv, så att då frivilligt sätta sig i karantän utan att ha symptom kommer till ett högt socialt pris. Dessutom finns en medvetenhet om att bluetooth-mätningen är osäker – då är det nog frestande att strunta i det och tänka att det var falskt alarm.

Det är problem som finns med modellen för förväntade beteenden och nyttor med appen. Utöver det tillkommer risker med oväntade beteenden. Kommer det exempelvis att finnas ett socialt tryck att användarna apparna trots att de egentligen är frivilliga? Kommer arbetsgivare kräva att deras anställda måste använda appen på jobbet?^[1] Försäkringsbolag kräva det för lägre premier? Kommer restauranger och gym öppna men enbart för de som kan visa upp en “ren” app med två veckors användning? Kommer de som har en “ren” app ta det som indikation på att de och andra appanvändare inte är smittade och ta större risker? Det har redan diskuterats som en nackdel med ansiktsmasker att användarna tror att det är lugnt så länge de har mask på sig.

Det går att tänka sig situationer där de här invändningarna är mindre problem. Framförallt om apparna används i situationer där det mest troliga att det är kilometer till närmaste smittade person, då kan även en osäker bluetooth-mätning som säger att man varit meter från någon med smitta vara ett bra urval för att testa sig. Å andra sidan är det i sådan förhållandevis milda situationer som det troligtvis finns minst vilja att bry sig om att använda kontasktspårningsappar.

Utan att ha en genomtänkt strategi och sammanhang där kontaktspårningsappar skulle göra nytta – eller i varje fall inte riskera att göra skada – så är all diskussion och centraliserat mot decentraliserat, datainsamling mot dataskydd oväsentliga. Trots det finns det lärdomar att dra från vad som händer nu för att förstå kring den process digitala responser till kriser och andra sociala problem måste gå igenom innan de kan sägas kunna bidra till att stötta hanteringen av dem.

---

1. Se också Mercedes Bunz som tar upp problemet med att de arbetare som måste sjukskriva sig vid misstanke of att ha blivit smittade drabbas mycket hårdare än de som bara kan jobba några dagar hemifrån. “False positives” – även om det inte finns officiella åtgärder kopplade till notifikationer – drabbar alltså vissa hårdare än andra. ↩︎