Studiestart
Nyheter
Reportasje
Kultur
Forskning
Kommentar
Musikk
Sport
Forbruker
Anmeldelse
Portrett
Debatt
Pstereo
Underholdning
Article Tok utilsiktet opp lyd hos forsøksfamilie i syv måneder image

Tok utilsiktet opp lyd hos forsøksfamilie i syv måneder

En programmeringsfeil gjorde at en vugge spilte inn lyd hos en barnefamilie i syv måneder før det ble oppdaget av NTNU.

En barnevugge under utvikling tok opp lyd hos en barnefamilie nærmest kontinuerlig i syv måneder før NTNU-forskerne oppdaget feilen. De ville først ikke varsle familien med grunnlag i omdømmehensyn. Da Datatilsynet mottok avviksmeldingen ga de NTNU pålegg om å opplyse den berørte familien om glippet.

Oppdaget ved en tilfeldighet

I en avviksmelding, som Under Dusken har fått tilgang til, står det at vuggens formål skal være å hjelpe familier som har barn med kolikk. Ved barnegråt skal vuggen berolige barn med musikk og bevegelse. En programmeringsfeil gjorde imidlertid at vuggen tok opp mer enn bare gråt da den ble testet hos en familie mellom april og september. Mellom fem og seks masterstudenter har vært involvert i prosjektet, i tillegg til en professor som har ledet det hele.

De forskningsansvarlige skulle etter planen gjøre en oppgradering av programvaren. Da de la merke til at lagringsenheten var full av lydfiler, åpnet de ett av opptakene i et sekund, for å få bekreftet hva slags lydfil det var. Ut fra lydklippet forsto man at vuggen hadde spilt inn og lagret sensitiv persondata.

Alle lydklippene ble etter kort tid slettet. Vuggen har ikke vært internett-tilkoblet og kun to av de ansvarlige ved prosjektet hørte på lydklippet. Risikoen for at uvedkommende har fått tilgang til lydfilene blir derfor beskrevet som minimal.

Etter å ha rådført seg med Datatilsynets veiledningstjeneste ble det besluttet å sende en avviksmelding. Familien det gjaldt ble imidlertid ikke varslet, med grunnlag i omdømmehensyn.

– NTNU har opplysningsplikt

Universitetslektor Gisle Hannemyr i Forskningsgruppen for design av informasjonssystemer ved Universitetet i Oslo har vært borti lignende avvikssaker før.

[ image ]
Foto: Pressebilde
Universitetslektor Gisle Hannemyr

Han presiserer at han kun kjenner den aktuelle saken ved NTNU fra journalistens beskrivelse, men basert på denne mener han at NTNU har opplysningsplikt i en slik situasjon, og at omdømmehensyn ikke er en god nok grunn til ikke å varsle barnefamilien.

– De som har fått sine personopplysninger registrert på noen som helst måte skal som en hovedregel få beskjed om dette. Jeg mener NTNU har opplysningsplikt i denne saken, sier Hannemyr.

Han legger til at verken Datatilsynet eller Personvernnemnda har godtatt at det ikke har blitt gitt beskjed i lignende saker.

Hannemyr ser paralleller mellom denne saka og en sak som omhandlet en medisinsk maskin, produsert av General Electric. Maskinen skulle overføre teknisk data fra sjukehus i Norge til USA, men det som skjedde var at selskapet også fikk tilgang på pasientenes personnummer, vekt, og kjønn.

Hannemyr forteller at General Electric tok kontakt med sjukehusene, som videre kontaktet Datatilsynet. Førstnevnte ønsket ikke å opplyse pasientene at de satt på sensitive opplysninger. De ville ikke gjøre pasientene bekymret.

Datatilsynet aksepterte ikke dette og sjukehusene, som var behandlingsansvarlige for dataene, ble pålagt å gi pasientene beskjed til tross for kostnadene ved dette.

– Man må imidlertid tro at de involverte i vuggesaken handlet etter etiske prinsipper da de varslet Datatilsynet, mener Hannemyr.

Ble pålagt å varsle

I ettertid har Under Dusken fått innsyn i dokumenter fra saksbehandlingen hos Datatilsynet, som kom til samme konklusjon som Hannemyr: Familien skulle varsles.

Avdelingsdirektør Helge Veum ved tilsyns- og sikkerhetsavdelingen i Datatilsynet forteller at det ble gitt et pålegg om å informere familiene like etter at avviksmeldingen var mottatt.

– Ja, vi ga et pålegg om at de skulle informeres. Like etter fikk vi beskjed fra NTNU om at dette var gjort.

Veum forteller videre at terskelen er høy for å la være å informere om personopplysninger som har kommet på avveie.

– Når ting går galt er det en rettighet for de berørte å få vite at personopplysninger er samlet inn. Det er kun i ytterst få tilfeller det blir gjort unntak. For eksempel situasjoner der det å bli informert kan gjøre situasjonen verre for vedkommende.

Under Dusken har vært i kontakt med den involverte professoren, som bekrefter at Datatilsynet ble varslet.Programkoden som tok opp lyd ble fjernet fra vuggen, og forskerne skal arbeide med å forebygge lignende episoder i framtiden.

Etisk opplæring rundt teknologi bør komme tidligere

Professor og leder av Program for anvendt etikk May Thorseth ved NTNU, mener at en systematisk opplæring i etikk rundt teknologiske problemstillinger bør komme allerede på bachelornivå.

– Foreløpig finnes det ikke noen systematiske kurs om hvordan man skal bruke ny teknologi. Vi trenger mer enn kun juridiske retningslinjer. Studenter trenger opplæring og da gjerne gjennom konkrete saker, for å få inn den systematiske, etiske refleksjonen rundt den nye teknologien, sier hun.

Hun legger til at man i liten grad i dag får denne opplæringen før man er på doktorgradsnivå.