Interview

Forhindrer forretningshemmeligheder indsigt i persondata?

15. oktober 2019 kl. 05:039
Forhindrer forretningshemmeligheder indsigt i persondata?
Illustration: digitalista/Bigstock.
Med henvisning til forretningshemmeligheder har pensionsselskab afvist at give indsigt i lægekonsulents vurdering af en sag. Men er det et gyldigt argument? Formand for IT-Politisk Forening kommenterer sagen her.
person
Dan Mygind tip@version2.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Dan Mygind tip@version2.dk

Kan en begrundelse om at beskytte forretningshemmeligheder bruges som argument for at nægte folk indsigt i deres persondata? Det har vi talt med formand for IT-Politisk Forening Jesper Lund om.

IT-Politisk Forening arbejder for at »styrke borgernes rettigheder og frihed i informationssamfundet,« som det hedder på foreningens hjemmeside.

Først lidt baggrund. Spørgsmålet om forretningshemmeligheder versus indsigt i persondata er aktuelt i forbindelse med en principiel sag i Datatilsynet, som Version2 kunne berette om i forrige uge. En pensionskunde er nægtet indsigt i dokumenter vedrørende vedkommendes egen pensionssag.

Konkret har kunden søgt indsigt i en rapport udarbejdet af en lægekonsulent, samt i den ledsagende interne korrespondance hos Juristernes og Økonomernes Pensionskasse (JØP).

Artiklen fortsætter efter annoncen

I dokumenter som Version2 er i besiddelse af, argumenterer JØPs advokat for at nægte indsigtsret ved at henvise til databeskyttelsesforordningens bestemmelser om forretningshemmeligheder, samt bestemmelser i databeskyttelsesloven om virksomheders forretningsgrundlag og -praksis.

Om IT-Politisk Forening

IT-Politisk Forening blev stiftet den 30. december 2002.

IT-Politisk Forening er dannet på baggrund af et ønske om at styrke borgernes rettigheder og frihed i informationssamfundet. Foreningen ønsker at modarbejde den stigende overvågning i både den private og den offentlige sektor, samt den øgede kontrol af borgerne, som centrale databaser med persondata giver mulighed for.

Foreningen deltager aktivt i den offentlige debat og er sparringspartner for beslutningstagere i den politiske verden. Det er foreningens ambition, at kernekompetencen for IT-Politisk Forening skal være samspillet mellem teknik, jura og politik med et klart fokus på grundlæggende rettigheder i det digitale domæne.

IT-Politisk Forening er uafhængig af partipolitiske og økonomiske interesser, og foreningen samarbejder med en række organisationer i ind- og udland om fælles politiske mål. Dette samarbejde foregår især gennem paraplyorganisationen European Digital Rights (EDRi).

kilde: IT-Politisk Foreninrg, itpol.dk/om

Datatilsynet forventer at træffe en afgørelse i sagen om halvanden måneds tid, så i mellemtiden har Version2 bedt Jesper Lund, om at kommentere sagen.

Så hold fast og spænd lovhjelmen på, vi skal ud på en bumlet vej brolagt med lovgivningsmæssige detaljer og spidsfindige lovfortolkninger, der forsøger at forbinde individets rettigheder med virksomhedernes forretningsgrundlag.

Forretningshemmelighed som værn mod indsigt?

JØPs advokats begrundelse for at nægte indsigt i lægekonsulentens vurderinger og tilhørende korrespondance grundet forretningshemmeligheder sker med henvisning til databeskyttelsesforordningens artikel 15, stk. 4 hvori det hedder »Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Der står altså ikke noget direkte om forretningshemmeligheder, men i en såkaldt præambelbetragtning nr. 63 til databeskyttelsesforordningen fremgår, at sådanne rettigheder omfatter forretningshemmeligheder.

Præambelbetragtninger har til hensigt at forklare baggrunden og formålet med en forordning og i nr. 63 hedder det blandt andet:

»Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af.«

Det gælder imidlertid kun for andres forretningshemmeligheder, ikke den dataansvarliges egne forretningshemmeligheder, argumenterer Jesper Lund og henviser til en vejledning fra EUs Artikel 29-Gruppe, som blev nedsat for at rådgive om databeskyttelse og privatlivets fred.

I vejledningen hedder det på side 18:

»Dataansvarlige kan dog ikke påberåbe sig beskyttelse af deres forretningshemmeligheder som en undskyldning for at nægte at give den registrerede adgang eller oplysninger.«

Automatiske beslutninger og forretningshemmeligheder

Bed du i øvrigt mærke i formuleringen »navnlig den ophavsret, som programmerne er beskyttet af« fra præambelbetragtning nr. 63?

Præambelbetragtning nr. 63 omtaler forretningshemmeligheder i forbindelse med »logikken der ligger bag en automatisk behandling af personoplysninger«, og Jesper Lund undrer sig da også over, at JØPs advokat henviser til præambelbetragtning nr. 63 og forretningshemmeligheder.

Artiklen fortsætter efter annoncen

»I forhold til præambelbetragtning 63 havde jeg forestillet mig, at begrundelsen om forretningshemmeligheder ville blive anvendt i forhold til eksempelvis algoritmer i forbindelse med automatiske afgørelser, hvor indsigtsretten omfatter ‘meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.’, jf. GDPR artikel 15, stk. 1, litra h.,« skriver Jesper Lund i en mail til Version2.

Artikel 29-Gruppen ser også præambelbetragtning nr. 63 som primært rettet mod ophavsret til programmer:

»Betragtning 63 sikrer de dataansvarlige en vis beskyttelse med hensyn til at afsløre forretningshemmeligheder og af intellektuel ejendomsret, der kan være særlig relevant i forbindelse med profilering. Det anføres i betragtningen, at denne indsigtsret ikke bør ‘krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af.’«

I de dokumenter Version2 har set, er der ikke umiddelbart noget der indikerer, at lægekonsulenten har benyttet profilering eller automatiske afgørelser i sin vurdering, men da Version2 ikke har set lægekonsulentens rapport og tilhørende korrespondance, har vi spurgt JØP, om pensionsselskabet og/eller deres lægekonsulenter anvender software til at profilere/udregne en score for pensionskunder, der ansøger om en ydelse.

JØP oplyser, at selskabet ikke anvender scoring/profiler i forbindelse med afgørelse om hvilken ydelse en pensionskunde skal tildeles. Læs mere her.

Brede undtagelser i databeskyttelsesloven

Udover begrundelsen om forretningshemmeligheder henviser JØPs advokat til databeskyttelseslovens §22 og tilhørende bemærkninger, der omhandler begrænsninger i registreredes muligheder for at få indsigt i egne data:

»Det fremgår af bemærkningerne til § 22, stk. 1, i forslaget til databeskyttelsesloven, at en dataansvarlig i en række tilfælde vil kunne nægte at udlevere personoplysninger i forbindelse med
en indsigtsanmodning, hvis den dataansvarlige virksomheds forretningsgrundlag eller
forretningspraksis vil lide væsentlig skade.«

Databeskyttelsesloven lægger en række begrænsninger på muligheden for indsigt i data som der ellers er lagt op til i databeskyttelsesforordningen. IT-Politisk Forening protesterede da også i et høringssvar til loven i 2017 mod de mange undtagelser for dataindsigt.

Foreningen fik dog ikke meget ud af sine protester, og Jesper Lund vurderer da også, at JØPs advokat har gode muligheder baseret på §22, som har nogle ret brede undtagelser fra indsigtsretten.

»Som § 22 i databeskyttelsesloven er formuleret, er det temmelig uklart hvilke begrænsninger som kan blive indfortolket her. Folketinget har vedtaget nogle ret brede og generelle undtagelser fra indsigtsretten - selv om GDPR artikel 23 forlanger specifikke undtagelser,« lyder det fra Jesper Lund.

Han henviser blandt andet til at Metro Service for nylig fik medhold i, at en anmodning om indsigt i optagelser fra TV-overvågning kunne afvises grundet hensynet til den offentlige sikkerhed og efterforskning af strafbare forhold.

»Det skete selvom Metro Service ikke beskæftiger sig med hverken den offentlige sikkerhed eller politimæssig efterforskning,« siger Jesper Lund og fortsætter:

»På den baggrund er det ikke utænkeligt, at Datatilsynet vil mene at indsigtsretten kan begrænses på grund af ikke nærmere definerede hensyn til JØP.«

Ekstra indsigtsret ved AI, men …

Uanset hvilken afgørelse Datatilsynet når frem til, viser den principielle pensionssag, at henvisning til forretningshemmeligheder er noget, som vil blive anvendt til at begrænse retten til at få indsigt i egne data.

Der har gennem længere tid været fokus på AI der kan anvendes til at træffe automatiske afgørelser, og behovet for at AI-systemernes beslutninger kan forklares og forstås af mennesker.

»Automatiserede beslutninger uden en menneskelig indblanding eller forståelse vil lade hånt om europæiske ideer om autonomi og menneskelig værdighed,« som det eksempelvis hedder i en artikel fra International Data Privacy Law.

En af hensigterne med GDPR var at sikre muligheden for indsigt i automatiske afgørelser.

»Når der er tale om en automatisk afgørelse giver GDPR nogle ekstra rettigheder i forhold til
indsigt, nemlig retten til som minimum at modtage ‘meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.’,« forklarer Jesper Lund med henvisning til artikel 15 i GDPR

Han har dog nogle forbehold for, hvorvidt det rent faktisk vil ske:

»Undtagelsen fra indsigtsretten for forretningshemmeligheder vil utvivlsomt blive et væsentligt stridspunkt, når AI vinder frem, og den registrerede vil have ‘meningsfulde oplysninger om logikken’ vedrørende de anvendte algoritmer. Hvis hensynet til forretningshemmeligheder desuden kan bruges direkte på personoplysninger, for eksempel en AI-beregnet score for kreditværdighed eller lignende - fordi denne score måske kan afsløre noget om algoritmen, der er en forretningshemmelighed - vil ganske væsentlige dele af det, som GDPR skal beskytte, blive udvandet. Det vil være en meget bekymrende udvikling.«

Jesper Lund forudser, at vi kommer til at se retssager i den forbindelse, der kommer hele vejen til EU-Domstolen.

En vej, brolagt med lovgivningsmæssige detaljer og spidsfindig lovfortolkning, som forsøger at forbinde individets rettigheder med virksomhedernes forretningsgrundlag i en stadig mere digitaliseret verden.

Artiklen er opdateret efter JØP er vendt tilbage med et svar.

Fokus
Emner
9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Henrik Biering
15. oktober 2019 kl. 12:42

... men den mangler desværre stadig at redegøre for hvordan en vurdering af en specifik persons sag som kan betragtes som en forretningshemmelighed, når lov om forretningshemmeligheder entydigt fastslår at oplysningerne skal have handelsværdi, fordi de er hemmelige.

Kan pensionsselskabet redegøre for denne handelsværdi, som man mener at miste, hvis personen fik indsigtsret? Hvem er det man vil sælge disse specifikke personoplysninger til? Og hvor man mener at kunne miste denne handelsværdi qua personens indsigtsret.

At oplysningerne kan have en værdi ved at skævvride afgørelser for de personer, der ikke ender med at føre retssag mod selskabet er helt evident. Men det kan næppe betegnes som en handelsværdi.

  • more_vert
    • insert_linkKopier link
5
Bjarne Nielsen
15. oktober 2019 kl. 08:23

agtindsigt

Ups. Freudian slip? Godt spottet, Yoel - og iom. jeg kastede selv den første sproglige sten, så fortjener jeg det.

  • more_vert
    • insert_linkKopier link
4
Yoel Caspersen
15. oktober 2019 kl. 08:12

agtindsigt

Ja, det er vel egentlig det, det handler om, selv om det primært er akterne, man typisk beder om ;)

Undskyld - jeg kunne ikke lade være, nu hvor du selv bragte det sproglige i fokus. Og ja, juraen er en svær størrelse, nogle gange kunne man godt kortvarigt ønske sig tilbage til ordlyden og ånden i Jyske Lov.

  • more_vert
    • insert_linkKopier link
3
Anne-Marie Krogsbøll
15. oktober 2019 kl. 07:32

Lad mig i stedet pege på, at slaget nærmest er tabt rent sprogligt, i og med at vi taler om forretningshemmeligheder vs. persondata. Udgangspunktet ville være et helt andet, hvis vi i stedet snakkede om forretningsdata og personhemmeligheder. "

Super pointe, Bjarne Nielsen.

  • more_vert
    • insert_linkKopier link
2
Bjarne Nielsen
15. oktober 2019 kl. 07:21

Af bitter erfaring, så vil jeg overlade juraen til de mere kyndige, for jeg prøver hele tiden at bruge sund fornuft og rimelighedsbetragtninger - og det kommer der sjældent noget godt ud af, når der er jura og paragraffer involveret.

Lad mig i stedet pege på, at slaget nærmest er tabt rent sprogligt, i og med at vi taler om forretningshemmeligheder vs. persondata. Udgangspunktet ville være et helt andet, hvis vi i stedet snakkede om forretningsdata og personhemmeligheder. Er det rimeligt? Ups, der gjorde jeg det igen, altså lavede en rimelighedsbetragtning.

Apropos, så har jeg været med på en lytter i en agtindsigt, hvor en offentlig aktør nærmest tiggede en privat virksomhed om at sige ordet 'forretningshemmelighed', for ellers ville samme aktør være tvunget til at udlevere oplysninger til agtindsigten. Og sjovt nok, så var der senere i materialet sorte bjælker i aktørens materiale med henvisning til førnævnte firmas 'forretningshemmeligheder'. Jeg kan af gode grunde ikke sige, om det var rimeligt (sic!), men jeg husker at det forekom mig utroligt bekvemt, at man som offentlig aktør kunne undslå sig indsigt på den måde bare ved at have været forudseende nok til at få en privat virksomhed med.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
15. oktober 2019 kl. 06:58

Tung og deprimerende kost, men super gennemgang af de relevante paragraffer, man skal have ved hånden, når man møder den frygtede sorte bjælke i sine aktindsigtssvar. Er straks printet ud og sat ind i min private håndbog for dataaktivister. Ikke at jeg gør mig forhåbninger om at kunne hamle op med bjælkemalerne rent juridisk - men man kan da altid forsøge at bluffe lidt med et par velvalgte paragraffer og citater - det har i enkelte tilfælde virket...

Men som frygtet kan GDPR godt vise sig at være lidt af en papirtiger - både pga. at osten består mest af huller, og fordi viljen til at håndhæve GDPR kan ligge et meget lille sted i Danmark.

  • more_vert
    • insert_linkKopier link