COVID-19-persondata og WhatsApp: Facebook læser ikke med

Det sejler med datasikkerheden hos Medicals Nordic, der deler personoplysninger om COVID-19-positive i WhatsApp-grupper. Men Facebook kan ikke se indholdet.

Af Lars K Jensen (Twitter | LinkedIn)

Artiklen fortsætter herunder ↓

Bliv bedre til dit arbejde.
Følg og forstå de digitale medietendenser med Digital Ugerevy:

Du kan altid afmelde dig igen ved at bruge linket i bunden af hvert nyhedsbrev

Du modtager én mail om ugen med interessante indblik + min ugentlige opsamling på ugens vigtigste trends og historier.

B.T. har en historie om Medicals Nordic og deres håndtering af personfølsomme oplysninger i forbindelse med deres kviktest.

Det er ret vildt: Hvis en persons COVID-19-test viser sig at være positiv, tager den pågældende poder (der har testet personen) et billede af vedkommendes samtykkeerklæring (med personens fulde navn, telefonnummer og CPR-nummer) og deler det i en fælles WhatsApp-gruppe for det pågældende teststed.

“Ifølge B.T.s kilde bliver oplysningerne delt på denne måde, fordi Medicals Nordic på den måde kan sende de personlige oplysninger fra testcentrets kontor til sundhedsmyndighederne.”

Der er en masse ting galt med den løsning, og det minder mest af alt om, at man har besluttet sig for at bruge den løsning, der var den letteste. Ifølge B.T. har poderne fået forklaret, at et system, der skulle tage sig af databehandlingen, har været nede i fire måneder. Sådan et system er dog angiveligt aldrig blevet præsenteret for poderne.

Det ser ikke godt ud, og nu kommer der også kritisk fra politisk hold, skriver B.T.

Løsningen med WhatsApp-gruppen er kritisabel af flere årsager. Men inden vi kommer dertil, er det værd at mane en misforståelse i jorden.

Hvad bliver delt med Facebook?

På Twitter (og sikkert også andre steder), er der nemlig nogle, der skriver, at fordi WhatsApp er ejet af Facebook, så bliver al data delt med Facebook. Ergo risikerer vi, at folks samtykkeerklæringer sejler rundt på Facebooks servere i øjeblikket.

Nej.

Det passer, at WhatsApp er ejet af Facebook – men WhatsApp har ‘end-to-end’-kryptering. Det betyder, at en besked bliver krypteret, når den forlader den ene telefon og dekrypteret, når den bliver modtaget. Hvad der sker imellem kan ingen se – heller ikke Facebook – medmindre man kan bryde krypteringen, selvfølgelig.

Facebooks egen Messenger er ikke krypteret på samme måde – det sker kun, hvis du starter en “Secret Conversation”. For et år siden skrev Wired, at det vil tage år at kryptere Messenger som standard.

Med WhatsApp er det anderledes. WhatsApps kryptering bygger på den kryptering, du finder i Signal, som mange fremhæver som et af de bedre alternativer til WhatsApp. Om du bruger WhatsApp eller ej, vil jeg ikke blande mig i, men det er en pæn stærk kryptering, de bruger.

(Bemærkning: Der er dog en form for bagdør ind til en WhatsApp-gruppe. Som denne artikel forklarer, er ændringer i WhatsApp-grupper nemlig ikke krypteret. Det vil sige, at alle med adgang til serveren (såsom “staff or government officials”, skriver artiklens forfatter, kan tilføje nye medlemmer til gruppen.

Denne bagdør er dog mindre relevant i dette tilfælde (og den kræver, at WhatsApp-servere bliver kompromitteret) – men jeg ville nævne det.)

Så bliver der slet ikke delt noget med Facebook? Jo, det gør der – selvfølgelig, fristes man til at sige.

For nylig røg WhatsApp i modvind på grund af en ændring i deres betingelser. En lidt kluntet formulering fik folk til at tro, at der nu ville blive udvekslet masser af data med moderskibet Facebook, men i virkeligheden var der “blot” tale om en ændring, der skal gøre det muligt at chatte med supportere etc. og købe ting i WhatsApp, skrev The New York Times for nylig.

Hvad ved Facebook så om vores WhatsApp-brug?

“Facebook knows the phone numbers being used, how often the app is opened, the resolution of the device screen, the location estimated from the internet connection and more”

Det er der dog ikke noget nyt i. Den artikel er fra august 2016, og siden har WhatsApp og Facebook faktisk ikke ændret i dataudvekslingen, skriver The New York Times. Sagen i 2016 var, at det dengang var muligt at slå dataindsamlingen fra.

Sådan er det ikke længere, forklarer The New York Times:

“But that option in WhatsApp existed for only 30 days in 2016. That was a lifetime ago in digital years, and approximately four million Facebook data scandals ago.

For anyone who started using WhatsApp since 2016 — and that’s many people — Facebook has been collecting a lot of information without an option to refuse.”

Ergo er der ingen grund til at frygte, at et billede af en samtykkeerklæring fra et Medicals Nordic-teststed er endt i kløerne på Facebook. Men det betyder ikke, der er risiko for, at de kan ende andre steder. Slet ikke.

Horribel datapraksis

Som B.T. også skriver, har WhatsApp nemlig en funktion, der automatisk kan gemme billeder fra WhatsApp-samtaler eller -chats på brugerens mobiltelefon. Jeg bruger den selv, og den er ganske smart.

Men når poderne – ifølge B.T. – bruger deres egne telefoner, så bliver det alvorligt. Én ting er, at ens telefonnummer og personnummer kan ende hos en eller anden mere eller mindre tilfælde poderperson, der så kan gøre med det, hvad vedkommende vil.

Noget andet er, at der angiveligt er ganske lidt kontrol med, hvem der er medlem af grupperne. Således er tidligere ansatte stadig med, skriver B.T., og så begynder en samtykkeerklæring nærmest efterhånden at blive et viralt hit.

Der er også et andet aspekt. Som Jens Palm skriver i et tweet, er det muligt, at nogle af poderne har sat synkronisering op på deres telefon. Det kan betyde, at alle billeder på en eller flere af mobiltelefonerne mere eller mindre automatisk bliver uploadet til tjenester som Dropbox og Google Photos (der så oven i købet har kunstig intelligens, der scanner og indekserer billedernes indhold via intelligens billedgenkendelse).

Ja, det er et potentielt datakaos, og det bør have konsekvenser. Og det får det formentligt også.

Men Facebook har ikke mulighed for at læse med, og der er derfor ingen risiko for, at en COVID-19-positiv person får kædet sit navn, personnummer og telefonnummer sammen.

Ikke ad den vej, i hvert fald. ◉

Lars K Jensen udgiver Digital Ugerevy. Han er uddannet journalist og har arbejdet med digital udvikling i mediebranchen i mere end 10 år, blandt andet hos Ekstra Bladet. Han rådgiver og hjælper i dag medier og virksomheder i digital udvikling og udgivelse samt produktudvikling.

👋 Connect på LinkedIn