EU Federation Gateway Service

EU åpner gateway for nasjonale smitteapper – det er en av årsakene til at FHI valgte Google og Apples rammeverk

Utveksler data om smittesporing på tvers av landegrensene.

FHI bekrefter at de vil implementere EUs knutepunkt for utveksling av smittedata.
FHI bekrefter at de vil implementere EUs knutepunkt for utveksling av smittedata. (Illustrasjon: DIGI/MJ)

Utveksler data om smittesporing på tvers av landegrensene.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

De fleste europeiske land har valgt desentralisert registrering og lagring av nærkontakt, basert på et felles grensesnitt for digital smittesporing, bedre kjent som Google and Apple Exposure Notification (GAEN).

Selv om modellen er lik, betyr ikke det at de nasjonale helsemyndighetenes apper kan snakke med hverandre. 

EU-kommisjonen har derfor fått lagd en egen teknisk gateway, som på trygt vis skal sikre interoperabilitet og utveksling av krypterte datanøkler mellom landene.

Det skjer med en løsning utviklet på 50 dager, og som skal driftes fra to av EU-kommisjonens egne datasentraler i Luxembourg.

I praksis skal dette løse utfordringen med reise på tvers av landegrensene, som dagens smitteapper ikke tar høyde for.

Infrastrukturen med et REST-basert programmeringsgrensesnitt (API) gikk live på mandag denne uken. I tur og orden skal backend-serverne til Europas nasjonale smitteapper kobles opp.

Dette vil gjøre det mulig å bli varslet om nærkontakt med noen som får bekreftet covid-smitte, også hvis du har besøkt andre land i Europa. Det forutsetter at personen med smitte også har aktivert smittesporing på sin mobiltelefon.

FHI er med på notene

Hittil har femten EU-land rullet ut GAEN-baserte apper, som registrerer andre mobiltelefoner i nærheten av din ved hjelp av Bluetooth. Ytterligere tre EU-land jobber nå med utvikling av GAEN-app.

Også i Norge har helsemyndighetene varslet at de vil utvikle en slik mobilapp, som skal være klar i løpet av året. Denne vil erstatte den omstridte Smittestopp, som ble skrotet etter kraftig personvern-kritikk og innvendinger fra Datatilsynet.

Folkehelseinstituttet (FHI) bekrefter overfor digi.no at de er godt kjent med EUs sentrale gateway, og sier at de vil sørge for at Norges løsning vil være kompatibel.

– Dette er en av grunnene til at vi har valgt å anbefale Google og Apples rammeverk. Vi har absolutt intensjon om å implementere EUs gateway. Spørsmålet er hvor fort vi kan få det til. Intensjonen er å få det på plass raskt, men vi kan ikke si noe om tidspunktet, sier FHIs løsningsarkitekt Sindre Møgster Braaten til digi.no.

Tre land først ut

European Gateway Service utveksler data om smittede personer.
European Gateway Service utveksler diagnosenøkler for å kunne varsle om nærkontakt med smitte på tvers av landegrensene i Europa. Et sentralt API snakker med de respektive landenes backend-servere for smittesporing. Illustrasjon: DIGI.NO/MJ

Gatewayen ble operativ på mandag denne uken. Men de nasjonale appene er ennå ikke koblet opp. Det vil skje de neste ukene. Den 17. oktober håper EU å ha de tre første landene som blir Tyskland, Irland og Italia på plass.

– Målet er at samtlige 27 medlemsland blir koblet opp, helst i løpet av november og senest ved utgangen av året.

Det sier høytstående tjenestemenn i EU-kommisjonen på en lukket teknisk pressebrief fra Brussel, som digi.no fulgte denne uken.

Frankrike har som eneste land i unionen fortsatt en særegen mobilapp for smittesporing, hvor innsamlede data blir lagret på myndighetenes sentrale servere, uten bruk av Google og Apples rammeverk. Det gir spesielle utfordringer, som vi kommer tilbake til.

EUs infrastruktur

EU-kommisjonen skal drifte datautvekslingspunktet fra to moderne, sikre og nøytrale datasentraler som EU eier selv i Luxembourg.

Det blir understreket at lagring og utveksling er basert på prinsippet om minimalt datasett, tidsbegrenset lagring til formålet, og sikrede data ved hjelp av kryptering, får vi opplyst.

Kun anonymiserte, krypterte datanøkler til bekreftede smittede personer skal utveksles. Dette er nøkler som også roteres og skiftes fortløpende på den enkeltes mobiltelefon, i henhold til GAEN-rammeverket.

Et sett med arkitekturprinsipper skal sikre løsningen ytterligere. Backend-serverne som kontrolleres av nasjonale myndigheter skal bare laste opp dagens nøkler for bekreftet smittede personer. Det samme gjelder nedlasting fra det sentrale depotet.

Her snakker vi om anonymiserte tallrekker, uten kobling til individer eller deres persondata, heller ikke stedsinformasjon. Disse nøklene gir bare mening når de eventuelt lastes tilbake til en smitteapp.

Da blir datasettet sammenlignet med nøkler fra registrert nærkontakt på den enkelte mobiltelefon, og ved treff kan man varsle at du har vært i nærheten av en bekreftet smittet person, og dermed bør gå i karantene.

Les også

Utviklet av SAP og T-systems 

Brussel-presentasjonen ble avholdt etter diskresjonsreglene Chatham House Rules, som innebærer at pressen ikke får lov til å avsløre hvem som sa hva, men ellers står fritt til å videreformidle informasjonen.

Senior-representanter fra den tyske programvarekjempen SAP og det tyske konsulentselskapet T-systems, som er eid av Deutsche Telekom, deltok også.

De har bistått i utvikling av gateway-løsningen. På spørsmål fra digi.no viser det seg at SAP og T-systems er valgt fordi EU-kommisjonen allerede har løpende rammeavtaler med disse leverandørene.

– Dette har vært et interessant prosjekt med mange prosjektdeltakere. Det har også vært en positiv opplevelse i nær kontakt med EU-kommisjonen. Det tok rundt 50 dager å utvikle løsningen. Vi har hatt ukentlige Scrum-møter fredag morgen der vi delte milepæler og utfordringer. Dette ga et godt resultat. Infrastrukturen vi har bygd er på en måte både enkel og kompleks, fortalte en av dem.

Det ble poengtert at løsningen har undergått penetrasjonstesting. Det ble også nevnt at teknologien er basert på open source-tilnærming, uten nærmere utdyping.

Valgets kvaler

Når nasjonale helsemyndigheter skal koble seg mot det sentrale utvekslingspunktet, skal de kunne velge mellom ulike «patterns» i betydningen type uttrekk.

Det foretrukne alternativet er at et land jevnlig laster opp krypterte nøkler om alle nye, bekreftede smittede, og laster ned tilsvarende samling av nøkler fra alle de andre landene som deltar.

Men det skal også mulig å velge et mer begrenset uttrekk, helt ned til enkeltland. Formålet bak dette er for oss uklart, men det vil åpne for at hver nasjon kan velge hvilke andre land de skal utveksle diagnosenøkler med.

Les også

– Betydelig oppside

EU-kommisjonen ga klart uttrykk for at smitteapper virker. Det ble vist til tidligere forskning fra Oxford, som skal ha indikert at 60 prosent av befolkningen må laste ned og bruke appene for å kunne stoppe spredning av koronavirus, men at nyere viten er kommet.

– Simuleringer viser at oppsiden er betydelig høyere enn de trodde. Hvert eneste varsel kan i teorien bety ett liv spart,  lyder budskapet fra EU-kommisjonen nå.

Det blir vist til at man i Tyskland nærmer seg at 25-30 prosent av befolkningen har lastet ned landets smitteapp, mens man i andre land bare så vidt har startet utrulling. I snitt oppgir kommisjonen at europeiske smittesporingsapper er blitt lastet ned av om lag 10 prosent av de respektive landenes befolkning.

Synet er at fordelene med digital smittesporing vil øke i takt med antall nedlastinger og mengden personer som bruker appene, samt at den nye gatewayen vil gi ytterligere merverdi.

Fransk åpning?

Google og Apple har et klart definert sett med regler for bruk av deres felles rammeverk for smittesporing (GAEN), som også er kjent under navnet Exposure Notification Service (ENS).

Reglene innebærer en rekke eksplisitte forbud, som blant annet at apper koblet til dette grensesnittet ikke kan identifisere brukere eller registrere stedsinformasjon.

De strenge kravene IT-gigantene har stilt kan muligens være til hinder for at Frankrikes  nasjonale «StopCovid»-app kan kobles til EUs gateway. Spørsmålet er i hvert fall høyaktuelt og noe som opptar EU-kommisjonen.

I Frankrike er det ikke krypterte nøkler, men data om nærkontakt som lagres, og da i en sentralisert form. Hvorvidt den franske tilnærmingen er kompatibel med en felleseuropeisk utveksling av smittedata, gjenstår å se.

– Men ja, vi jobber med en løsning på det også. Det er litt mer komplisert, men vi ønsker at løsningen skal fungere på tvers av alle medlemslandene. Vi prøver å finne ut hvordan vi kan håndtere dette teknisk, forteller en høytstående tjenestemann i EU-kommisjonen.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen