Digitaliseringsstyrelsen: 'Forfærdelige og frygtindgydende muligheder' med borgerdata

Debatten omkring, hvordan det offentlige skal håndtere borgernes data, raser i disse dage. Det gør den også på Infosecurity, hvor to debattører diskuterede, hvad der bør ske fremover med borgernes data og privatliv.

Infosecurity, København. »Vi har forfærdelige og frygtindgydende muligheder for at forstå borgerne, og vi bliver nødt til at have en politisk og etisk diskussion om, hvad vi ønsker at bruge den offentlige data til.«

Sådan startede Jens Krieger Røyen, kontorchef hos Digitaliseringsstyrelsen, oplægget omkring den offentlige sektors brug af data til Infosecurity-konferencen, som i disse dage afholdes i Øksnehallen i København.

For i takt med, at den offentlige sektor får mulighed for at sammenkøre stadigt flere data om borgerne, vil der i sagens natur rejse sig spørgsmål omkring, hvordan man sikrer borgernes privatliv.

Ved sin side, som arrangeret skeptiker og modstander, havde han Christian Damsgaard Jensen, lektor ved DTU Compute.

Flere muligheder for samtykke

»Når man først har fortalt en hemmelighed, så er det ej mere en hemmelighed,« sagde Christian Damsgaard.

Med andre ord: Når først borgerne har oplyst noget til en offentlig myndighed, så mister de i princippet magten over, hvad der skal ske med oplysningen fremover. Hvor den ender henne, hvem der bruger den, og om den sammenkøres med andre data, som kan bruges over for borgeren. Det er op til politikerne og det offentlige.

Derfor var begge foredragsholdere også enige om, at borgerne skal have magten over deres data, så de kan vælge til og fra, hvad de ønsker sker med den.

Herunder skal borgerne også selv have adgang til deres data:

»Vi skal give mange flere muligheder for at give samtykke til, hvad data skal bruges til. Hvis jeg er alvorligt syg, kan jeg få mulighed for at sende den til en læge i Berlin for en second opinion. Det er den vision, som vi arbejder hen imod,« siger Jens Krieger Røyen.

Pseudonymisering og de berygtede bøder

For at undgå, at borgerdata flyder frit i det offentlige system, er store dele af data pseudonymiseret. Men det er ikke godt nok. Til oplægget fortalte Christian Damsgaard Jensen om et tilfælde fra USA, hvor man via samkøring af adskillige tilgængelige og pseudonymiserede data fandt frem til dybt personlige sundhedsdata for guvernøren i Massachusetts.

»Eksemplet viser, at når vi kører forskellige data sammen, så kan vi identificere folk ud fra det,« sagde Christian Damsgaard Jensen.

Dette var Jens Krieger Røyen enig i.

»Jeg deler Christians skepsis for, om det i praksis kan lade sig gøre at anonymisere folk via pseudonymiseret data. Vi er nødt til at tale om, hvad der er ordentlig adfærd med denne data,« svarede han.

Bøder i det offentlige virker ikke

Men hårdere straffe, eksempelvis bøder, var han ikke helt enig i:

»Problemet med bøder til den offentlige sektor er, at pengene bare vil blive flyttet fra en del af sektoren til en anden. Der skal findes et politisk ansvar, hvis man har svigtet,« sagde han.

Til gengæld gav han udtryk for - som privatperson - at der skal være mulighed for skrappere sanktioner:

»Hvis jeg modtager en iPad fra en leverandør, bliver jeg fyret for bestikkelse. Skal vi have tillid til den offentlige sektor, skal vi have lige så stærke sanktioner«

Spørgsmålet er derved, om ansvaret vil blive placeret, hvis ikke der følger en eller anden form for økonomisk konsekvens. Det fremhævede Christian Damsgaard Jensen i hvert fald:

»Jeg er ikke sikker på, at det ansvar vil blive fundet, medmindre der medfølger bøder. Så kommer du til at levere dårligere services på grund af det, og så skal vi nok finde et ansvar,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Spændende artikel.

En ting er, at vi er en del, som oplever det som dybt privatlivskrænkende - et decideret overgreb - at det offentlige nu vil bemægtige sig vore private data - men kunne vi ikke i det mindste i fællesskab aftale det minimum, at danske data med sikkerhed skal blive på dansk jord, og kun i det offentlige? Så kunne vi måske undgå, at skandaler som denne bliver næste overskrift i danske aviser - men denne gang vedr. danske data: https://www.nrk.no/norge/_-dette-er-en-stor-skandale-1.13499904

Og kunne vi ikke som minimum blive enige om, at der skal orienteres og gives samtykke til anvendelse af private data? Folketinget vedtog i sidste uge en ændring til sundhedsloven, L132, som for mig at se fuldstændigt - på trods af masser af fine ord og varm luft, undergraver muligheden for at passe på egne data. For det ser ud til (kan have misforstået det), at man fremover selv har ansvaret for at kontakte diverse behandlere og institutioner, man har været i kontakt med (hvor langt bagud gælder det mon?), og meddele, at man ikke ønsker ens data videregivet - ellers kan disse indhentes, også fra egen læge. Man har selv ansvaret for, at behandleren får noteret det i journalen på en måde, så dette bliver tydeligt, når der spørges til oplysninger.

Hvordan har man tænkt sig, at det skal ske i praksis? Skal man selv kontakte behandlere, som man har været i kontakt med måske år tilbage, og meddele dem, at de nu skal have det ekstraarbejde at sikre, at enkelte patienters data ikke må videregives, når der fra forskerside eller det offentliges side bedes om alle behandlerens data vedr. grupper eller alle dennes patienter?

Hvad vil det betyde for læge-patient-forholdet, at man som patient selv skal starte med at stille betingelser for kontakten - betingelser, som kan medføre ekstraarbejde og bøvl for behandleren? Hvad siger lægen til det, hvis lægen selv går ind for deling af data - eller måske ligefrem selv deltager i (pseudo)-forskningsprojekter?

L132 underminerer - stort set uden debat - for mig at se fuldstændigt muligheden for selv at holde en smule styr på, hvad der sker med ens data. I værste fald (jeg kan have misforstået noget, så korriger mig gerne) giver L132 mulighed for at opbygge en ny DAMD, nu ganske lovligt, og uden at befolkningen overhovedet opdager det.

Af en eller anden grund var Patientdataforeningen (som jeg er medlem af, men ikke repræsenterer) ikke på høringslisten, selv om foreningen har over 8000 medlemmer, som specielt interesser sig for dette emne. Så ønsker man virkeligt debatten fra det offentliges side?

Nej - det tror jeg ikke, at man gør. Jeg har f.eks. efter næsten et år fortsat ikke fået svar fra sundhedsministeren om, hvad Nextpartnership gør med vore data i de projekter, man formidler/sætter i gang, selv om ministeren i efteråret lovede at undersøge det.

http://www.ft.dk/samling/20161/lovforslag/l132/bilag/1/index.htm#nav http://www.ft.dk/samling/20161/afstem/283.htm

Jeg afventer også stadig - efter et par måneder - svar fra Region Hovedstaden på, hvordan Sundhedsplatformen og Epic håndterer datasikkerhedsproblemet, når vore data sendes til USA i forbindelse med særlige opgaver i forbindelse med driften af Sundhedsplatformen. A pro pos Norges-historien.......

https://www.facebook.com/BevarTavshedspligten/

  • 8
  • 1
#5 Anne-Marie Krogsbøll

Skal vi ikke bare tage udgangspunkt i de 951 likes på Facebook? Så behøver du ikke spilde mere tid på det.

Eller i de over 8000 likes på "Bevar tavshedspligten", som jeg forvekslede med, som også udtrykker, at et stort antal er bekymrede over udviklingen - som nok er den, de fleste følger med på, og som også drives af Patientdataforeningens formand Thomas Birk Kristiansen ? Eller de over 3000 underskrifter på skrivunder.net - hvor der stadig kommer nye underskrifter på? https://www.facebook.com/BevarTavshedspligten/ https://www.skrivunder.net/nej_til_udlevering_af_dine_helbredsdata_uden_...

Nok til, at det havde været nærliggende at indhente høringssvar fra patientdataforeningen - hvis man alts virkeligt ønsker en åben debat om disse spørgsmål.

  • 2
  • 0
#7 Mikael Ibsen

at man fra offentlig side tilsyneladende udviser en til ansvarsforflygtigelse grænsende mangel på seriøs interesse for datasikkerhed - ud over det helt banale - og hvis det banale viser sig ikke at fungere, er løsningen et skuldertræk og en floskel om, at "Vi skal blive bedre".

Kun hvis sagen er så spektakulær, at Extrabladet koger en historie op på den, kan man måske regne med lidt mere reaktion.

Datatilsynet ser ikke ud til at have den fonødne autoritet til at kunne fungere effektivt, så det ser næppe ikke ud til at være vejen, at dømme efter historien.

Desværre er den eneste måde at forbedre datasikkerhed nok, at det er enkeltpersoner og ikke organisationer uden identitet, som forsynes med passende beføjelser - og dertil et helt personligt ansvar, som i givet fald kan forfølges, hvis det svigtes.

Svagheden ved denne opstramning er bare, at der hurtigt vil kunne henvises til politiske beslutninger, som svækker - eller direkte saboterer - beskyttelsen af borgernes personlige data, og da politikere i praksis er ansvarsfri for uhensigtsmæssige eller hensynsløse beslutninger, kan der kun alt for nemt sparkes opad, når det er gået galt - og så er vi jo lige vidt.

Retfærdihedsvis må man jo nok fastslå, at der gennem tiderne - og før internet med tilhørende hacking kom ind i billedet - er opbygget så mange utilstrækkeligt beskyttede databaser rundt omkring, at pasnings- og renoveringsopgaven stort set i praksis er blevet umulig.

Hvor skal man begynde ? Hvor skal ressourcerne komme fra - eller tages fra ?

Når digitaliseringen af tingbogsoplysninger blev et helvede, når Skat ikke kan lave et fungerende inddrivelsessystem, og boligvurderingen er lagt død i mange år, er det vist ret naivt, at forestille sig en landsdækkende datasikring.

Ikke mindst når politikerne synes, det er vigtigere at bekæmpe hinanden i hverdagen.

Jeg er bange for, at vi sidder i saksen i al fremtid.

  • 4
  • 0
#8 Kristian Sørensen

Bøder i det offentlige virker ikke

Men hårdere straffe, eksempelvis bøder, var han ikke helt enig i:

»Problemet med bøder til den offentlige sektor er, at pengene bare vil blive flyttet fra en del af sektoren til en anden. Der skal findes et politisk ansvar, hvis man har svigtet,« sagde han.

Det er jo rigtigt nok at bøder til "det offentlige" ikke virker,

Men bøder til de u-ansvarlige offentlige embedsmænd vil formentligt virke særdeles adfærdsregulerende.

Så lav reglerne sådan at det er de offentlige embedsmænd som har det formelle dataansvar der idømmes bøder.

Så får de nok en helt anden fokus på at opføre sig ordentligt med befolkningens data

  • 5
  • 0
#9 Bente Hansen

Bøder i det offentlige virker ikke

Men fængselsstraf gør. Den rammer jo som det eneste også lige, om man er rig eller fattigt.

Man kan bare se hvor meget nogen af skattesvindlerne i Panama sagerne, meget gerne nu, vil skatte angive hvis de kan slippe for fængselsstraf.

Hvis man ikke vil bruge fængselsstraffe i mindre eller førstegangs tilfælde, så måske fyringer og bøder direkte til de ansvarlige leder, samt til de politikker som har vedtaget ulovlighederne.

Et folketingsmedlem, vil nok også føle det som en fængselsstraf at bliver erklæret uværdigt til folketing, også miste pension og andet.

  • 6
  • 0
#13 Tim Carstensen

Selvfølgelig skal persondata forordningen også gælder for offentlige enheder med hensyn til bøder. Det er muligt det er at flytte penge fra en offentlig kasse til en anden, men det er et sprog ansvarlige fra top til bund forstår.

Skulle kassen pengene sendes til flyde over kan den f.eks finansiere det professionelle brokkehoveds IT haverikommission, nogen skal jo stadig hjælpe med at finde årsagen til at tingene går galt.

  • 1
  • 0
#14 Bjarne Nielsen

Selvfølgelig skal persondata forordningen også gælder for offentlige enheder med hensyn til bøder.

Det er også en god måde, at få kvantificeret omkostningen ved en usikker løsning, når der skrives businesscases. Hvis der ikke findes monetære konsekvenser vil det være at for fristende at "glemme" det.

Så ja, bøder skal også gælde for offentlige enheder.

  • 2
  • 0
#15 Albert Nielsen

Citat: "Der skal findes et politisk ansvar, hvis man har svigtet"

Fuldstændig værdiløst.

100,000% ansvar delt mellem to politikere giver mindre end 1% ansvar til hver.

Tanken om at idømme en offentlig institution bøder er latterlig, eftersom det blot er flytten rundt mellem forskellige konti; chefen bliver let irriteret over at skulle klare opgaverne for lidt mindre end det oprindelige budget.

Personligt ansvar i form af følelige bøder, af afskedigelse uden mulighed for fremtidig ansættelse i det offentlige (tænk på Jesper Rønnow Simonsen, som efter tabet af ca. 100.000.000.000 kronerog efter eget udsagn med ansvaret for at EFI fungerede (Skats EFI-system dumpede 40 procent af tests og blev alligevel sat i drift) blev brugt som rådgiver for både Skat og Skatteministeriet) eller, i grove tilfælde, fængselsstraf er nødvendige former for sanktioner, hvis det skal nytte noget.

  • 0
  • 0
Log ind eller Opret konto for at kommentere