onsdag den 19. december 2018

Regeringens brug af den nye databeskyttelseslov - er friheden truet?

Hvordan benyttes den nye persondataforordning egentligt af den danske regering? Foto: Colourbox.
Et frihedselskende Danmark er under pres. Skal regeringen blot stå for at fastlægge de overordnede rammer for borgere og virksomheder eller skal den også medvirke til total- og mikrostyring af samfundet? Skal myndighederne være Big Brother, som det kendes fra den britiske forfatter George Orwells dystopi ”1984” om overvågningssamfundet, der er skrevet i 1949?

Hvis du er af lidt ældre årgang, husker du måske den debat, der har været i tidens løb om myndigheders samkøring af registre. Det blev forsvaret med, at så kunne man fange de sociale bedragere, der modtog ydelser fra stat og kommune uden at være berettiget til det. Efter at debatten havde kørt på sit højeste i presse og tv, blev man forsigtig med samkøringer.

Lad os lige se på om myndigheder har ret til registersamkøringer ifølge den nye persondataforordning - også kaldet GDPR - EU's General Data Protection Regulation. Idéen med denne lov er at beskytte personers personlige data mod salg og udnyttelse, ud over hvad der er legitimt samt at sikre regler for udveksling af disse data.

I denne databeskyttelseslov står der:
§ 5. Stk. 1.
Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.
Persondata må altså kun indsamles og behandles til et udtrykkeligt angivet formål og ikke andre. Et andet sted står der, at der skal afgives samtykke for, at data må gemmes og behandles til dette formål. Og skal data benyttes til andre formål end det oprindelige, skal der indhentes nyt samtykke for, at det kan ske.

Men i samme paragraf som ovenfor siger loven også:
§ 5. Stk. 3.
Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed.
Her står, at myndigheder faktisk kan benytte persondata til andre formål end oprindeligt tiltænkt. Men de skal da indhente samtykke til dette hos den enkelte borger, ikke sandt?

En privat organisation skal have fornyet samtykke til at benytte persondata på en ny måde. Det skal statslige myndigheder ikke. I Danmark er der dog nedsat to folketingsudvalg, der skal godkende ministeriers brug af data. Men borgerne informeres stadigt ikke om ny brug af deres data.

Fjernaflæste målerdata til nye formål

I december 2018 er der fremsat et lovforslag fra den danske regerings om brug af data fra fjernaflæste målere i boligen til at afgøre, om den er beboet - og det uden at skulle indhente et fornyet samtykke til brug af data fra borgerne. Ifølge lovforslaget skal disse data fra elmålere, varmemålere og vandmålere benyttes til at afgøre, om boligen er beboet hele året. I Danmark er der bopælspligt for visse borgere.

I marts 2018 var der et andet lovforslag oppe at vende om brug af fjernaflæste elmålere. Beskæftigelsesminister Troels Lund Poulsen (V) trak et forslag om at udvide overvågningen af borgernes elforbrug tilbage. Udbetaling Danmark skulle ifølge regeringsudkastet have adgang til at samkøre oplysninger om danskernes elforbrug fra den såkaldte DataHub med oplysninger om bopæl. Tanken med forslaget var at intensivere indsatsen mod socialt bedrageri, f.eks. om ledige faktisk var hjemme, ser fjernsyn, bruger komfuret og opvaskemaskinen og ikke er på ferie og dermed ikke til rådighed for arbejdsmarkedet:

”Men indsatsen mod snyd må ikke betyde, at vi begynder at overvåge alle landets borgere, og derfor kommer regeringen ikke til at gå videre med et forslag om at øge brugen af registersamkøringer i Udbetaling Danmark,” oplyste ministeren ifølge Jyllands-Posten.

Overvåges hjemmenes elforbrug i løbet af døgnet og sammenholdes det med kommunernes oplysninger om beboerne, hvad kan de så finde ud af? 

Hvis det viser sig, at en person har et lavt elforbrug store dele af året - og at der ikke bruges mere energi om aftenen end om dagen eller resten af dagen, og personen vides at have et forhold til en anden person, så kan myndighederne ræsonnere sig til, at personen nok nærmest bor hos den anden person. 

Det kan under visse omstændigheder have betydning for udbetaling af offentlige ydelser. Er de to i virkeligheden at betragte som et par? Det medfører regler om gensidig forsørgelsespligt, hvis en af dem bliver arbejdsløs, eller frafald af et tilskud som reelt enlig. Man får dermed det, man for en del år siden kaldte et "dyneløfterpoliti", som træder til, hvis ydelser er forskellige afhængigt af om, man reelt bor sammen med nogen eller ej, selvom man har to forskellige adresser. 

Kun, hvis der er en helt konkret mistanke, kan data om elforbrug indgå i en undersøgelse for socialt bedrageri.

Hvad er DataHubben for noget?

DataHub er et centralt og uafhængigt it-system, som ejes og drives af Energinet. Udover at indsamle milliarder af oplysninger om kunder, forbrug og priser, håndterer DataHub al datakommunikation mellem aktørerne i elmarkedet. DataHub har til formål at sikre ensartet kommunikation og standardiserede processer for de professionelle aktører, der agerer på elmarkedet – alt sammen med henblik på at skabe bedre konkurrence og forbedre vilkårene for elkunderne. 

Alle oplysninger om danskernes elforbrug er samlet i DataHub, som derudover håndterer information om forbrug og forretningsprocesser som for eksempel flytninger, skift af elleverandør osv. Dermed håndterer DataHub alle måledata og forretningsprocesser for de ca. 3,3 mio. danske elforbrugere. 

Dette sker for eksempel, når netvirksomhederne indsender måledata på et målepunkt til DataHub, der så videresender til den relevante elleverandør, som derpå kan afregne kunden. De danske elkunder har mulighed for at se egne data i DataHub via deres elleverandørs hjemmeside eller www.eloverblik.dk

Gladsaxe-modellen

Gladsaxe Kommune var i marts 2018 i færd med at udvikle en algoritme, der ud fra oplysninger fra flere registre forsøgte intelligent at afgøre om børn i 0-6-årsalderen er i risiko for at være udsatte. Det kan afgøres ud fra en række parametre såsom forældrenes (manglende) beskæftigelse, bopæl, etnicitet, misbrugsdata, sundhedshistorik, udeblevne tandlægebesøg, m.m. 

Idéen er, at med en tidlig indsats kan sociale tilfælde med massiv omsorgssvigt eller vanrøgt med senere livsvarig overførselsindkomst til følge afværges undgås blandt børnene. Ifølge lovgivningen måtte kommunen ikke samkøre registrene og ønskede derfor lovgivning, der muliggjorde dette. Regeringen tog til at begynde med dette positivt op som en del af ghettoudspillet i 2018. Det er dog blevet udskudt. 

Debattør Lisbeth Zornig, der selv kender til at være socialt udsat, synes, at kommunerne skal gå endnu videre ved også at inddrage psykiatrijournaler for familierne for at gøre algoritmen endnu bedre.

Hvad er vi oppe mod?

Andre steder i verden såsom USA og Kina, hvor der er slappere databeskyttelseslove, udvikles der i disse år nye overvågningsteknologier.

Kina udvikler et landsdækkende ansigtsgenkendelsessystem til overvågningskameraer, som på 2-3 sekunder kan genkende en person. Dermed kan myndighederne via overvågningskameraer på gader og stræder og butikscentre kortlægge visse personers færden automatisk efterhånden, som de bevæger sig gennem byen.

Kina har desuden skabt et socialt pointsystem (ry-system eller social credit system), der giver eller fratager privilegier for borgere og virksomheder. Hvis man opfører sig godt, får man øgede privilegier, mens personer, der opfører sig dårligt i myndighedernes øjne, straffes med fratagelse af visse privilegier. I 2018 havde Kina endnu ikke bestemt sig for, om det skal være et enkelt eller flere systemer.

I USA benytter politiet visse steder digitale algoritmer til at vurdere, om politiet skal opsøge tidligere straffede personer med henblik på at efterforske deres involvering i ny kriminalitet. Her er faktorerne, hvor man bor, etnicitet, om politiet allerede kender én og for hvilke typer kriminalitet. I USA bliver algoritmen kritiseret for at have såkaldt bias - ”sort” slagside. Firmaet Palantir er involveret i udvikling og indsættelse af IT-systemer i USA til netop dette formål. Det danske Rigspoliti har indkøbt et IT-system fra samme firma til bedre at efterforske kriminalitet.

Ønsker vi at gøre som Kina og USA i Danmark?

Det skal dog bemærkes, at i Danmark registrerer myndighederne rigtigt meget om borgerne, mens de amerikanske myndigheder ikke registrerer i nær samme omfang og samkører heller registre i samme omfang. Til gengæld er man i Danmark mere kritiske over for private firmaers registrering af data med f.eks. CPR-nr. I USA har man af historiske grunde et mere afslappet forhold til registrering hos private firmaer.

Det etiske og tillidsvækkende samfund

Danmark er kendt for at være et samfund, hvor der er en høj grad af tillid borgerne imellem og til myndigheder. Nogle vil måske føle det krænkende, at data bruges uden deres samtykke, og at de er følsomme og private. Med de sociale medier har især den yngre generation åbnet porten på vid gab for offentlig deling af private oplysninger. De ældre generationer har ikke gjort det i samme omfang. De unge har ikke været vant til at have privatliv i samme omfang som de ældre. 

Betyder det så, at de unge er villige til at acceptere et digitalt overvågningssamfund - uden kamp? Tør vi stole på myndighederne, de store IT-firmaer og deres behandling af data? Vi er godt nok med tiden kommet længere, hvad angår frihed og respekten for individet, men vi har også en fortid i Europa, hvor registre er blevet misbrugt i alvorlig grad. Tør vi overlade styringen af databeskyttelse/datadeling/samkøring af persondata til politikerne alene?

Du kan læse mere disse emner i bogen Bliv sikker på nettet - PC- og onlinesikkerhed:
  • Side 390-391: Rigspolitiet køber kontroversielt overvågningssystem hos NSA-leverandøren Palantir
  • Side 428-430: Hvad går EU's nye persondataforordning ud på?
Med venlig hilsen

Lars Laursen, forfatter til bogen Bliv sikker på nettet - PC- og onlinesikkerhed.

Ingen kommentarer:

Send en kommentar