Igennem mere end 20 år er der blevet sat strøm til papir. Ambitionerne har været store om at gøre skemaer til det offentlige, journaler og selvangivelser brugervenlige og sikre. Men hvad med retssikkerheden? Kan den følge med ambitionerne om at digitalisere stat og forvaltning? Advokaten går digitaliseringen efter i sømmene og har spurgt tre eksperter, hvilke retssikkerhedsmæssige faldgruber de ser i udviklingen.
Temaet er skrevet af Sten Thorup Kristensen
Foto: Camilla Schiøler
Myndighederne glemmer forvaltningsregler ved digitalisering
I sin iver efter at bygge digitale systemer, der er effektive både for myndigheder og borgere, glemmer myndighederne jævnligt, at der også er forvaltningsregler, der skal overholdes. Så ruller skandalerne – bedste eksempel er SKATs inddrivelsessystem EFI.
Enhver bank vil være angst for at begå fejl i opbygningen af sin netbank. I virkeligheden ikke så meget på grund af risikoen for straf og erstatningssager efter et brud på love og regler. Den helt store risiko er tabet af omdømme – at kunderne bliver skeptiske og utrygge.
Det samme omdømmetab lider en myndighed, når et it-system ikke lever op til de krav, som forvaltningsloven stiller. Alligevel har Folketingets Ombudsmand i en række tilfælde konstateret, at der har været sådanne fejl.
- Digitaliseringen har mange fordele for alle parter. Den gør det nemt og hurtigt, og den gør, at borgerne kan henvende sig på alle tidspunkter af døgnet. Men man skal også passe på, at man ikke digitaliserer i et tempo, hvor man ikke selv kan følge med, siger Jonas Bering Liisberg, direktør hos Folketingets Ombudsmand.
De problemer, som ombudsmanden ser, er mangeartede. Der kan for eksempel være digitale systemer, der ikke lever op til gængse krav om arkivering af dokumenter i en sag. Det kan komme til at svie til myndigheden selv, hvis den i en senere klagesag ikke kan dokumentere baggrunden for en afgørelse, der går imod borgeren. Det kan også være, at borgernes rettigheder til vejledning og adgang til partsrepræsentation ikke bliver efterlevet. Eller i den mere kuriøse ende af skalaen, at afgørelser er fremsendt i et word-format. Dét format har man naturligvis i forvejen hele tiden skrevet afgørelserne i, men det er ikke velegnet til digital formidling, fordi andre kan ændre i dokumentet, hvormed der er usikkerhed om dets autenticitet.
For store ambitioner
Menneskelige fejl eller ej: Jonas Bering Liisberg kan koge det ned til, at myndighederne tilsyneladende undertiden har haft for store ambitioner med digitaliseringen i forhold til de ressourcer, man så bruger på at forberede og gennemføre den:
- Når så mange it-projekter i staten er gået galt over årene, har det helt sikkert også andre årsager end de juridiske. Men fra vores perspektiv har vi i en del sager fået det indtryk, at myndighederne i nogen grad har en blind vinkel i forhold til det med retssikkerhed som en selvstændig udfordring i forhold til digitalisering. Den nuværende og kommende digitaliseringsstrategi er med rette optaget af brugervenlighed og sikkerhed. Begge dele er også vigtige, men vi synes også der er en selvstændig pointe i at sætte fokus på retssikkerhed, både ved ny lovgivning og ved projekter efter eksisterende lovgivning, siger Jonas Bering Liisberg.
- Med de mange sager, vi gennem 20 år har undersøgt, har vi set adskillige tilfælde, hvor myndighederne ikke synes at have investeret nok i den juridiske afdækning, inden man satte systemet i drift. Det er EFI-sagen et meget klart eksempel på. Der var tale om en ekstremt kompleks opgave med flere hundrede forskellige typer af fordringer, der skulle kunne inddrives maskinelt på en måde, der skulle være betryggende for ikke bare SKAT selv, men også for de andre myndigheder, man foretog inddrivelser for. Og for borgerne naturligvis. Systemets indretning førte til mange inddrivelser, der var ulovlige, for eksempel fordi fordringerne var forældede, eller fordi retssikkerhedsgarantierne ikke var efterlevet. Nu har man så lukket EFI. Det har kostet en masse penge, og det har formentlig kostet tillid til SKAT, siger Jonas Bering Liisberg.
Tænk lovgivningen igennem
Offentlig digitalisering kan både gå skævt hos forvaltningen og hos lovgiverne. Det sidste er tilfældet, hvor en lovgivning er indrettet sådan, at det i praksis er umuligt for myndighederne at overholde den. Det så man for eksempel i en nylig sag fra ombudsmanden vedrørende loven om offentlig digital post fra 2012.
- Vi oplever nogle gange, at lovgivningen ikke har været tilstrækkelig tænkt igennem, og at den har ført til nogle fejl, som kunne have været undgået. Et godt eksempel er lovgivningen om offentlig, digital post. Retten til at kommunikere digitalt med myndigheder er beskrevet som ubetinget i lovgivningen. Men i realiteten støder borgere og virksomheder på nogle væsentlige kapacitetsmæssige begrænsninger for, hvor meget hver mail til myndighederne må fylde. Ombudsmanden har udtalt kritik af, at postløsningen ikke tog tilstrækkelig højde for problemerne, men noterede sig også, at myndighederne fremtidig ville sikre, at virkeligheden og loven harmonerer. Nu er der så et lovforslag på vej, der lovliggør gældende praksis – nemlig at mange myndigheder begrænser borgerens ret til at kommunikere digitalt til ti bilag på højst ti megabyte, siger Jonas Bering Liisberg.
Partsrepræsentation og digitalisering
Det ligger dog uden for ombudsmandens kompetence at forholde sig til, om lovgivningen er god eller ej. Ombudsmandens opgave er at kontrollere, at forvaltningen overholder loven.
- Forvaltningsloven stammer fra 1980’erne, og nogle spørger sig selv, om lovgivningen stiller for høje krav til begrundelser, vejledninger, partsrepræsentation og så videre. Og om andre dele af lovgivningen, for eksempel inden for det sociale område, i for vidt omfang stiller krav om, at forvaltningen foretager individuelle og konkrete skøn, som gør det svært at automatisere processen. Altså om der er grund til at lave om på den almindelige forvaltningsret eller lovgivningen i øvrigt for at lette digitaliseringen. Det er et interessant politisk spørgsmål, som der kan være mange forskellige meninger om. Men så længe lovgivningen er, som den er, er det vigtigt at holde fast i, at borgere og virksomheder har samme krav på retssikkerhed i den digitale forvaltning som i den papirbaserede forvaltning. Hvis man ikke mener, at kravene til retssikkerhed går for vidt i den papirbaserede verden, burde der heller ikke være grund til at mene, den er for vidtgående i en digital verden, siger Jonas Bering Liisberg.
Han nævner én konkret knast, der kan have særlig betydning for advokater. Nemlig retten til partsrepræsentation, som det i praksis har vist sig vanskeligt for myndighederne at få til at spille sammen med digitale systemer. Myndighederne er dog ved at få øjnene op for problemet og finde de tekniske løsninger. Det vil man også få hen ad vejen på andre problemer, hvis man giver det lidt mere tålmodighed og ikke sætter urealistiske mål, mener Jonas Bering Liisberg.
- Danmark har vist et stort mod i forbindelse med digitalisering af den offentlige sektor. Det har givet mange fordele, både økonomisk og i forhold til brugeroplevelsen. Desværre er den juridiske ekspertise ikke altid taget med om bord i tilstrækkelig grad, og det har medført nogle betydelige omkostninger. Forhåbentlig lærer vi af fejlene og kan fortsætte med at være et foregangsland på området, slutter Jonas Bering Liisberg.
Jonas Bering Liisberg
Direktør hos Folketingets Ombudsmand. Cand.jur. fra Københavns Universitet 1995 og LLM fra Harvard Law School 2001. Ansat i Udenrigsministeriet fra 1995. Kontorchef for Beskæftigelsesministeriets internationale og juridiske center 2004-2006. Stedfortrædende fast repræsentant ved den danske EU-repræsentation i Bruxelles 2009-2013 og chef for Udenrigsministeriets juridiske tjeneste 2013-2015.
Digitaliseringen kan blive en bet for de svageste
Digitaliseringen giver mulighed for at gøre sagsbehandlingen hurtigere, billigere og mere ensartet. For mange ressourcestærke borgere har for eksempel indførelsen af digital post og borger.dk været en stor fordel. Men ikke alt er rosenrødt. Der er også en række kedelige sager, hvor digitaliseringen tværtimod har gjort borgerne mere utrygge. Men sådan behøver det ikke være, mener professor Niels Fenger.
Der er et paradoksproblem forbundet med digitalisering af forvaltningen: Umiddelbart gør den systemerne nemmere tilgængelige, hvilket trækker i retning af at stille alle lige. Men i visse henseender kan konsekvensen blive den modsatte, så de svageste i samfundet bliver stillet dårligere.
Niels Fenger, professor i forvaltningsret ved Københavns Universitet, pegede på fænomenet i en artikel, han skrev i 2014.
Tag den helt simple situation, hvor en borger ansøger om et kørekort. Systemet kan nemt finde ud af at sortere nogle ansøgere fra på nogle helt objektive parametre – hvis ansøgeren for eksempel er under 18 år. Men det bliver svært, når det kommer til subjektive parametre, som eksempelvis at vurdere alvoren af en sygdom, ansøgeren har.
- For det første kan det være svært for en borger at overskue, hvilke oplysninger der er relevante for hans sag, når han ikke kan tale med en fysisk sagsbehandler, men selv skal indtaste sagens oplysninger i et selvbetjeningssystem. For det andet forudsætter digitaliseret sagsbehandling, at myndigheden kan overskue alle muligt forekommende situationer, allerede mens den udfærdiger det computerprogram og den brugerflade, som skal styre selvbetjeningssystemet. En gang imellem vil der alligevel være en vinkel, som man ikke havde forestillet sig. Der kan et menneske stoppe op, men en maskine kan ikke, og der opstår derved en risiko for fejlagtige afgørelser, siger Niels Fenger.
Digitaliseringen skal understøtte god lovgivning
- Det er et reelt problem, hvis selvbetjeningsfladen ikke giver mulighed for at anføre alle de ting, der kan være relevante for sagens oplysning. Endelig forudsætter en række af selvbetjeningssystemerne, at borgeren ved, hvad han vil, og hvad der bliver truffet afgørelser efter. Denne forudsætning er ikke altid opfyldt i forhold til ressourcesvage borgere. Den typiske situation i for eksempel en bistandssag er jo ikke, at en borger kommer op og påberåber sig en bestemt paragraf, uddyber han.
- Du kan sagtens have nogle delautomatiske systemer på den måde, at maskinen fortæller sagsbehandleren om et problem. Sådanne systemer kan være til stor gavn. Til gengæld vil man på en række retsområder kun kunne indføre fuldautomatiske sagsbehandlingssystemer, hvis man ændrer de relevante retsregler, således at de ikke fordrer skønsudøvelse eller anden individuel vurdering. Ord i en lovtekst som ‘væsentlige’ og ‘forholdsmæssige’ kan ikke gøres til genstand for fuldautomatiserede afgørelsesmodeller, anfører Niels Fenger.
Han understreger, at han hverken kritiserer digitalisering som sådan eller konkrete målsætninger om at gøre sagsbehandling fuldautomatisk. Hvad han er ude efter, er den måde, man gør det på. Her mener han, at man i flere tilfælde har forivret sig på en måde, så det risikerer at gå ud over borgernes retssikkerhed.
- Jeg synes eksempelvis ikke, at det rammer plet, når man undertiden hører, at forvaltningsloven står i vejen for digitaliseringen, og man på den baggrund argumenterer for, at forvaltningsloven skal ændres. I de få tilfælde, hvor forvaltningsloven virkelig blokerer for automatiseret sagsbehandling, er det vigtigt, at man erkender, at forvaltningslovens regler er til for at sikre, at afgørelser bliver korrekte og træffes på en tillidsvækkende måde. Man bør ikke glemme dette og fjerne retsgarantier, blot fordi disse retsgarantier vanskeliggør digitalisering. Digitaliseringen skal understøtte god lovgivning, ikke fjerne den i fremskridtets navn. Det er min hovedpointe, siger Niels Fenger.
Udveksling af oplysninger mellem forvaltninger
- Tag også eksemplet med, at vi har nogle begrænsninger på, hvornår forvaltninger må udveksle oplysninger. Det kan være et rigtigt eller et forkert valg i lovgivningen. Men jeg kan ikke se, at digitaliseringen ændrer på, om det er rigtigt eller ej. Man ser alle mulighederne ved samkøring, men man glemmer, at der er en grund til, at lovgiver hidtil har vendt sig imod, at myndighederne frit skal kunne udveksle al information. Denne afvejning bør ikke falde anderledes ud, blot fordi teknikkens muligheder nu rækker videre, uddyber han.
I flere tilfælde har lovgivere og forvaltningen vægtet hensynet til digitaliseringen højere end hensynet til borgerne. Et af de eksempler, Niels Fenger nævner, er borgernes mulighed for at se deres patientjournaler digitalt. Det gav et problem i forhold til en hidtidig praksis, hvor man for eksempel skånede psykotiske borgere fra at se, hvordan de blev vurderet af deres læger.
- Systemet med den digitale adgang til lægejournaler er fantastisk for 99 ud af 100. Men man har altså den problemstilling, at der er nogle derude, som har forfølgelsesvanvid, og hvor det går galt, når de får at vide, hvad lægerne mener. Så siger man so be it og ofrer de få på de manges alter. Det kan for så vidt være, at det er den rigtige beslutning. Men det er en illustration af problemet, siger Niels Fenger.
Digitalisering gælder for alle – også ældre uden pc
En anden illustration er selve det, at man har gjort digitaliseringen lovpligtig for alle – også for ældre mennesker, der aldrig har siddet foran en pc, og for indvandrere, der kun behersker sparsomt dansk. Den lovgivning vækker forundring blandt jurister i de andre nordiske lande, hvor det som udgangspunkt er frivilligt for borgerne, om de vil bruge de digitale løsninger.
- Det er vældig fint med adgang til de offentlige systemer 24-7 og så videre. Men en ting er muligheden for digital kommunikation. Det er straks sværere at sige, at det er af hensyn til borgerne, at man har gjort det lovpligtigt at bruge de digitale systemer. Tvangssiden hænger sammen med, at man ønsker at spare penge. Det er også helt legitimt, men det rejser altså nogle problemer. Navnlig for dem, der ikke kan finde ud af det, siger Niels Fenger.
Det er imidlertid ikke kun ældre mennesker, der kan have problemer med at bruge de digitale systemer. Det gælder i nok så høj grad de mange borgere, der ikke er skrappe til dansk. Den nye lov om digitalisering af domstolene viser, at politikerne udmærket er klar over problemet. Her har man nemlig undtaget visse udenlandske advokater fra pligten. Andre udlændinge i Danmark har mindre uddannelsesmæssig ballast end advokaterne.
- Jeg er ikke bekendt med, at de danske digitaliseringstiltag bryder EU-regler eller menneskerettighedskonventioner. Men det er et almindeligt forvaltningsretligt princip, at forvaltningen skal kommunikere på et sprog, som borgeren forstår. Det betyder ikke nødvendigvis, at forvaltningen skal tilbyde at betjene borgerne på urdu. Men den skal finde et fælles andetsprog. Og ved et selvbetjeningssystem, som måske ikke engang har en engelsk version, hvad stiller den tyrkiske eller kroatiske hjemmegående kvinde så op, spørger Niels Fenger.
Glemmer at fjerne fortrolige oplysninger
Historien er den samme, når der slipper fortrolige oplysninger ud af de digitale systemer. På den konto har der – dog i korte perioder – været fri adgang til skatteoplysninger og til følsomme oplysninger om blandt andet sociale klienter i flere kommuner. Fejl sker, men konsekvenserne kan være alvorlige, når for eksempel kommunerne i bedste, demokratiske hensigt lægger dagsordener og bilag til kommunalbestyrelses- og udvalgsmøder ud på nettet – og glemmer at fjerne dybt fortrolige oplysninger om for eksempel tvangsfjernelsessager.
Den slags brud på datasikkerheden giver på en meget kontant måde digitalisering et dårligt ry. Og det er ekstra ærgerligt, fremhæver Niels Fenger, fordi digitalisering – anvendt fornuftigt og med omhu – vil have den modsatte effekt og styrke borgernes retssikkerhed.
- Der er ingen tvivl om, at digital sagsbehandling i visse situationer kan udgøre en reel forbedring af afgørelsernes kvalitet. Sagsbehandlere kan som alle andre have dårlige dage. En computer kan ikke på samme måde glemme eller sjuske. Så hvis systemet er indrettet rigtigt, kan det gøre sikkerheden for rigtige afgørelser langt højere. Myndigheden skal bare kende digitaliseringens plads i forhold til de sager, man sidder med, fastslår Niels Fenger.
Niels Fenger
Professor, dr.jur. ved Københavns Universitet og medlem af Procesbevillingsnævnet. Forfatter til 10 bøger og ca. 80 artikler om forvaltningsret, EU-ret og procesret. Tidligere ansat i Justitsministeriet, Indenrigsministeriet, ved EU-Domstolen og EFTA-tilsynsmyndigheden samt medlem af Skattesagskommissionen.
Skinnerne er lagt – desværre det forkerte sted
Lovgiverne havde ikke en god krystalkugle ved hånden, da de vedtog persondatalovgivningen for cirka 20 år siden. Derfor er den ikke til megen hjælp i henseende til at imødegå de problemer, der skulle opstå med digitaliseringen af den offentlige forvaltning. Blandt andet er begrebet samtykke blevet udvandet, mener Rikke Frank Jørgensen, seniorforsker ved Institut for Menneskerettigheder.
Forestil dig, at politikerne beslutter, at der skal bygges en jernbane. Arbejdet bliver sat i gang, men det tager mere end et årti, inden jernbanen står klar. Og før det sker, er man klar over, at den er gal: Folk har ikke bosat sig, hvor man forventede, og de vil i øvrigt også hellere køre i bil. Men nu er det for sent – skinnerne er lagt.
Rikke Frank Jørgensen bruger billedet, når hun skal forklare, hvorfor vi overhovedet har et retssikkerhedsmæssigt problem med digitaliseringen af den offentlige sektor i dag.
- Lidt firkantet sagt: Da vi lavede databeskyttelseslovgivningen på basis af et direktiv fra 1995, var der en helt anden virkelighed, som var baseret på, at man samlede oplysninger om private borgere i nogle registre. Der var en forestilling om nogle meget afgrænsede sociale kontekster, hvor data blev afgivet – for eksempel hos lægen eller hos en social myndighed. I dag har datastrømmene en helt anden kompleksitet. Der er myriader af netværk, og det digitale rum har det gjort det radikalt nemmere at samle information. Hver gang vi bevæger os i det digitale rum, vil alene mediets natur gøre, at data om os lagres. Det er meget banalt, men det er alligevel en fundamental forskel til det fysiske rum. Det betyder også, at muligheden for at overvåge den enkelte borger er blevet langt større, siger Rikke Frank Jørgensen.
- Noget af det, som dengang var borgernes garant, var samtykket. Det var en helt fundamental hjørnesten, at du gav et specifikt samtykke til, at dine data måtte blive brugt og behandlet. Men sådan fungerer det i praksis ikke i dag. Nu giver de fleste mennesker fuldstændig rutinemæssigt samtykke ved at klikke på en boks, hvilket er en forudsætning for, at de kan bruge den pågældende tjeneste, som de gerne vil. De færreste læser, hvad deres samtykke indebærer, fortsætter hun.
Stærk interesse i at besidde oplysningerne
Men en ting er, at de personfølsomme oplysninger nemt flyder ind i de digitale systemer. Det ville ikke i sig selv være et problem, hvis de blev der og i øvrigt blev slettet så snart som muligt, og hvis for eksempel myndighederne håndhævede, at det skulle være sådan.
Der er imidlertid nogle stærke drivkræfter, der trækker i den modsatte retning. Rikke Frank Jørgensen fremhæver, at et af de markante nye vilkår ligger i de internetbaserede virksomheder, som i modsætning til deres analoge forgængere har en stærk interesse i at besidde oplysningerne. Men udviklingen bliver også i høj grad trukket inde fra den offentlige sektor.
- Nettets forretningsmodeller er baseret på persondata som det råstof, man udvinder værdier af. Men oveni kommer så en efterretningsmæssig efterspørgsel. Vi har i mange år levet i en diskurs af frygt, der hele tiden bliver næret af nye terrorangreb. Borgerne vil gerne have beskyttelse, og de er villige til at gå meget langt i henseende til at afgive informationer for at opnå det. Politikerne vil også gerne vise handlekraft i henseende til at skabe den ønskede tryghed. Den tredje ting, der driver efterspørgslen efter persondata, er velfærdsstaten. Det skal være så effektivt det hele, og der sker i stigende grad en udveksling mellem de offentlige systemer. Det gør det nemmere for borgeren, men velfærdsstaten vil også gerne kontrollere sine borgere og være sikker på, at de ikke snyder, siger Rikke Frank Jørgensen og nævner Udbetaling Danmark som et eksempel på, hvordan man har givet en tjeneste adgang til at hente informationer fra en række forskellige kilder, hvis der er en mistanke om snyd og bedrageri.
Udveksling af oplysninger
Det ene med det andet med det tredje: Hvor personfølsomme oplysninger tidligere kun blev indsamlet og udvekslet ud fra et need to have-princip, sker det i dag mere typisk ud fra et nice to have-princip, som Rikke Frank Jørgensen udtrykker det. Og det giver langt større problemer, end at borgerne engang kunne føle sig lidt utrygge eller forulempede.
- Den måde, vi behandler data på, er helt fundamental for en række ting. Dels for retsstaten – at vi som borgere har en garanti for, at der sker en afvejning mellem på den ene side de informationer, staten indsamler og bruger om os, og på den anden side vores egen ret til at have et privatliv. Men der er også et mere lavpraktisk sikkerhedsspørgsmål i det. Vi lever i et lille, gennemregistreret samfund, hvor der bliver indsamlet så kolossalt mange oplysninger om os, og hvor vi langt hen ad vejen har tillid til, at det foregår forsvarligt. Hvis den tillid bliver undermineret på grund af lækager og sikkerhedsbrud, så kommer der også et misforhold mellem borgernes tillid til staten og det store mandat, som staten sidder på, siger Rikke Frank Jørgensen.
Heldigvis er det ikke alt, som er gråt i gråt. Når Rikke Frank Jørgensen oprindelig fangede interesse for digitalisering, var det ikke kun ud fra en bekymring om, hvordan digitale løsninger kan udhule borgerens retssikkerhed. Det var lige så meget drevet af en fascination over, hvordan digitaliseringen kan understøtte og styrke rettigheder.
Dette perspektiv er særlig tydeligt i forbindelse med ytrings- og informationsfrihed. I dag har en stor del af verdens befolkning ikke bare den teoretiske ret til, men også den praktiske mulighed for at søge information, ytre sig, deltage i offentlig debat, og udfordre magthavere – på tværs af grænser.
Rettigheder som en del af løsningen
Og nogle af de problemer, der er kommet med teknologien, kan også løses med teknologien.
- Debatten flytter sig hele tiden, og i dag er man mere opmærksom på, at teknologien kan give os en del af beskyttelsen tilbage. Man taler for eksempel om ‘privacy’ som forretningsmodel og om ‘privacy’ som innovation, hvor virksomheder slår sig op på at levere den beskyttelse, som folk efterspørger. Det bliver mere nuanceret, hvor man ikke kun ser teknologien som noget, der bringer vores rettigheder i fare, men også som en del af løsningen. Samtidig udfordrer det offentlige myndigheder til at gøre noget. Når man rent faktisk har muligheden for at indlejre privatlivsbeskyttelse i det tekniske design og de løsninger, man vælger, hvad er så undskyldningen for ikke at gøre det, anfører Rikke Frank Jørgensen.
Hun ser også muligheder i hele det felt, der handler om it-virksomheders menneskeretlige ansvar, hvor de gennem ‘soft law’ opfordres til at udvise respekt for rettigheder. Her er et af de store mantraer, at man kræver stadig mere transparens fra virksomhedernes side. Flere af de store gør det allerede. Google har for eksempel gennem flere år udgivet transparens-rapporter, vel vidende hvor skadeligt det vil være for dem selv, hvis brugerne mister tilliden til, hvordan deres data behandles.
Og denne sidste betragtning fører direkte videre til det, som den enkelte borger kan gøre selv, på egen hånd.
- Vi er nødt til også at sætte ind på det individuelle plan og styrke vores digitale selvforsvar. At blive mere opmærksomme på at kryptere kommunikation og på, hvad vi deler med andre. Vi skal have digital dannelse ind i skolerne som et naturligt element. Jeg oplever en øget opmærksomhed og interesse i disse år, også i forhold til, hvad folk selv kan gøre. Men det er en lang proces, og man er nødt til at sætte ind på alle fronter samtidig – både i det retlige regime og på det individuelle plan, slutter Rikke Frank Jørgensen
Rikke Frank Jørgensen
Seniorforsker på Institut for Menneskerettigheder med fokus på grænsefladen mellem teknologi og menneskeret. Hun har bl.a. skrevet ‘Framing the Net – the Internet and Human Rights’ (Edward Elgar 2013), ‘Human Rights in the Global Information Society’ (MIT Press 2006), Overvågning eller Omsorg – Privatlivets Grænser (med Birgitte Kofod Olsen, Thomsens Forlag 2005). Rikke Frank Jørgensen er med i Advisory Board for Privacy International (UK) og Ranking Digital Rights (US), tidligere bestyrelsesmedlem i European Digital Rights, og medstifter af Digital Rights DK.
Ny forordning afløser persondataloven
Der er sandsynligvis kun en lille del af danskerne, der ved det. Men persondataloven er tæt på at falde bort. Det sker, når en ny EU-forordning på området træder i kraft. Det skulle være sket allerede fra årsskiftet, men processen er blevet lidt forsinket. Dog ikke mere, end at det formentlig vil ske til sommer, oplyser Rikke Frank Jørgensen.
Med forordningen kommer vi til at lære nogle nye begreber at kende. For eksempel privacy by design. Det betyder, at man skal tænke persondatabeskyttelse ind allerede, når man bygger systemerne. Det kan for eksempel ske ved, at systemerne kun indsamler de data, som er absolut nødvendige for at behandle sagerne og ved, at man anonymiserer så mange oplysninger som muligt.
Et andet nyt begreb er privacy impact assessment, som går ud på, at man i forbindelse med nye love skal foretage konsekvens- og risikoanalyser ved den behandling af data om borgerne, som vil følge med, når loven skal bruges i den virkelige verden. På samme måde som lovforslag fra regeringen i dag skal være forsynet med analyser af konsekvenser for miljø, ligestilling og administrativt besvær for borgere og virksomheder.
Forordningen opererer også med bødestraf ved brud, og så kommer der regler for, hvordan borgere kan få slettet oplysninger om dem selv på eksempelvis digitale medier.
- Man kan så være mere eller mindre positiv i forhold til, hvor meget forbedring forordningen vil bringe. Mange, jeg kender, er meget skeptiske, og de mener, at nogle af de vigtigste ting er blevet udvandet gennem den forhandlingsproces, som nu har stået på i fire år. Det bliver også kriseret, at forordningen fortsat er baseret på, at borgerne skal give samtykke, hvormed den ikke grundlæggende løser de problemer, vi taler om, siger Rikke Frank Jørgensen.
- Omvendt er der også nogle, der er mere positive. De peger blandt andet på mulighederne i privacy impact assessment. Men selv er jeg nok en smule skeptisk på det punkt. Det er svært at synes, at privacy impact assessment ikke er en god idé. Men man kan godt frygte, at det ikke får så meget praktisk konsekvens, og at det vil blive opfattet som voldsomt tungt og bureaukratisk, siger Rikke Frank Jørgensen.
Men uanset hvor effektiv forordningen bliver, så har den under alle omstændigheder været en øjenåbner for alle, der har været med i processen – uanset om det har været som politikere, embedsmænd eller lobbyister. De har oplevet, at persondatabeskyttelse bestemt ikke længere er noget, som lever i et juridisk randområde.
- Det er interessant, at når man taler med de organisationer i Bruxelles, der arbejder med det her, så siger de, at forordningen er dét stykke lovgivningsarbejde nogensinde, der har mødt størst lobbymodstand fra USA. Der har virkelig været massivt pres for at udvande nogle af bestemmelserne. Det siger også noget om, at der trods alt må have været noget kraft i forordningen, siger Rikke Frank Jørgensen.
Arbejdsgruppe i Folketinget undersøgte datasikkerheden
Det er ikke kun i EU, at lovgiverne arbejder med digitalisering ud fra en vinkel om retssikkerhed. Herhjemme afleverede en arbejdsgruppe om datasikkerhed, sammensat af folketingsmedlemmer fra alle partier, så sent som i januar sin beretning. Den har dog siden – til Rikke Frank Jørgensens fortrydelse – levet et stille liv. Der har været folketingsvalg, og regeringen er skiftet ud, hvorved arbejdsgruppens formand, Karsten Lauritzen fra Venstre, blev skatteminister.
Men beretningen indeholdt interessante anbefalinger, mener Rikke Frank Jørgensen. Anbefalingerne kredser i vidt omfang om, at der skal være konkrete ansvarlige for, at digitaliseringen foregår under respekt for retssikkerheden, og at der skal kunne gennemføres sanktioner over for disse ansvarlige, såfremt de fejler.
Endvidere er der en anbefaling om, at så få som muligt skal have adgang til at trække data ud af systemerne, og en anden om, at borgerne skal have vidtgående adgang til at klage.
Og ikke mindst foreslog arbejdsgruppen, at der skulle sættes grænser for rækkevidden af et digitalt samtykke, således at et hurtigt hak i en boks ikke giver grønt lys til, at borgernes oplysninger kan bruges til hvad som helst.