18.2.2021. Analiza Stop COVID-19 aplikacije

Stop COVID-19 aplikaciju za Ministarstvo zdravstva je izradila tvrtka APIS IT, na temelju Google/Apple Exposure Notification (GAEN) tehnologije, koja koristi Bluetooth te radi na Googleovim Android mobilnim uređajima, kao i na Appleovim iPhoneovima. Tehnologija je dizajnirana s ciljem da zabilježi kontakt jedne osobe s drugom i pošalje zapis o tome u decentraliziranu bazu, a funkcionira tako da se tehnologija implementira u aplikacije koje moraju razviti zdravstvene javne ustanove svake države.

Politiscope smatra kako ovakva i slična rješenja mogu biti od iznimne koristi u budućnosti, no istodobno smo uvjereni da mogu biti učinkovita isključivo ako uživaju puno povjerenje građana i javnosti. Smatramo da se javno povjerenje građana, kao preduvjet za široku dobrovoljnu upotrebu ovakve tehnologije, može izgraditi jedino kroz najvišu razinu zaštite privatnosti te punu transparentnost prema korisnicima. Ova analiza je stoga usmjerena na detekciju eventualnih nedostataka u zaštiti privatnosti i osobnih podataka korisnika te uključuje pravno-tehničku analizu s ciljem ocjene usklađenosti aplikacije s javno dostupnim informacijama o njenom radu te temeljnim načelima Opće uredbe o zaštiti podataka. Analiza je namijenjena donositeljima odluka u izvršnoj vlasti, u čiji raspon odgovornosti spada i razvoj digitalnih rješenja za upravljanje pandemijom. Analiza sadrži preporuke koje treba primijeniti prilikom izrada budućih digitalnih rješenja, posebice onih koji su kreirani zbog upravljanja eventualnim novim pandemijama. Pravnu analizu aplikacije proveo je Duje Kozomara, zamjenik izvršnog direktora udruge Poltiscope, stručnjak za zaštitu osobnih podataka certificiran od organizacije International Association of Privacy Professionals (IAPP). Tehničku analizu koda aplikacije proveli su developeri – Tomislav Homan (Flabbergast d.o.o) za Android, Ivan Blagajić (Source Code d.o.o) za iOS.

Pravna analiza kao temeljni problem detektira nedovoljnu razinu transparentnosti: kako bi se ostvarila dobrovoljna široka upotreba ovakvog tipa aplikacije, Pravila o privatnosti moraju biti razumljivije napisana te lakše čitljiva osobama nižih razina obrazovanja. Cilj je da apsolutno svi razumiju što se događa s njihovim podacima prilikom korištenja aplikacije. Istovremeno, ključne informacije, poput kontakta službenika za zaštitu podataka i perioda zadržavanja podataka trebaju biti jasnije istaknute. Korisnici moraju biti obaviješteni da Google može imati pristup određenim podacima vezanima uz korištenje aplikacije. iOS verziji na Appleovom App Storeu nedostaju informacije o privatnosti koje dodaju na vjerodostojnosti i povećavaju transparentnost funkcioniranja aplikacije.     

Autori tehničkih analiza koda za obje verzije aplikacije su preporučili uklanjanje ovisnosti o trećim stranama koje nisu nužne za funkcionalnost aplikacije. Navedeno pogotovo vrijedi za Google Analytics na Android verziji, library procijenjen najvećim rizikom za zaštitu podataka. Način funkcioniranja Google Play servisa u Android verziji aplikacije iznimno je zabrinjavajuć sam po sebi, budući da Googleu u prosjeku svakih 20 minuta šalje čitav opseg podataka korisnika. Istovremeno, korištenjem Google Analyticsa, tom tehnološkom gigantu, poznatom i kao najvećem kršitelju privatnosti današnjice, šalje se dodatan set osobnih podataka. Poznato je da tvrtka takve podatke koristi u svrhu profiliranja i serviranja targetiranih oglasa korisnicima. Vjerujemo da građani zasigurno ne žele da se njihovi podaci povezani s informacijom jesu li bili u epidemiološki rizičnom kontaktu obrađuju na taj način bez njihovog znanja i eksplicitne privole. 

Agencija za zaštitu osobnih podataka mora imati tehnološke kapacitete za samostalnu analizu digitalnih rješenja i detektiranje manjkavosti prepoznatih u ovoj analizi. Osim toga, zbog podređenog položaja Vladi, koji proizlazi iz trajnog sukoba interesa politički umreženog ravnatelja agencije, AZOP propušta biti stvarno neovisno nadzorno tijelo koje upozorava Vladu na manjkavosti digitalnih rješenja koje razvija, ili čak zabranjuje korištenje iste do saniranja svih ključnih manjkavosti.

Photo: Electronic Frontier Foundation

Dokumenti