GDPR-reglerne har stukket en solid kæp i hjulet, når forskere skal udføre interviews, dele data med kolleger eller gemme data til senere brug. Det fortæller en række univeristetsprofessorer og lektorer til Version2, der har foretaget en rundringning til en række danske universiteter.
Loven, der har været håndhævet i omkring to år, beskytter europæernes persondata, men går både ud over dataindsamlingen, tværfagligheden og tilliden til forskningen, lyder det.
Dataene danner nemlig grundlaget for flere fagområders studier – f.eks. kan det omfatte hele dataindsamlingen for antropologer på feltarbejde.
Der er altså et sammenstød mellem de regler, der skal beskytte samfundets borgere, og en gammel praksis, som skal sørge for samfundets udvikling og læring, mener Ayo Wahlberg, professor i antropologi på Københavns Universitet (KU).
»Hele den antropologiske feltmetode er bygget op omkring at etablere en tillid til sine informanter,« siger professoren, der er nervøs for, at fremtidens GDPR-retningslinjer vil gå ud over tilliden og true fagets metode.
Tillidsforhold i fare
Da KU skulle implementere GDPR-reglerne, lagde de sig i første omgang som en skygge over antropologernes fremtidige forskning, fortæller Ayo Wahlberg:
»På et tidspunkt var vi bange for, om vi skulle holde op med at lave etnografi. Vi var meget bekymrede for, om vi overhovedet måtte udføre interviews og observere i feltarbejdet.«
De arbejder dog stadig i dag, for det er stadig tilladt at indsamle data, hvis blot forskerne noterer dato og sted for mundtlig samtykke i deres feltdagbog – gerne med et ekstra vidne på. Den praksis har antropologerne ifølge professoren ‘forhandlet sig frem til’, for den første besked fra KU’s jurister lød på, at forskerne skulle fremlægge en samtykkekontrakt for informanterne.
»Det er umuligt at forske under de vilkår, for som antropologer er der mange uformelle samtaler. Så snart man vil have dem til at skrive under på noget, så skræmmer du folk,« vurderer Quentin Gausset, lektor i antropologi ved KU.
Begge peger på et brud i tillidsforholdet mellem forsker og informant, hvis en kontrakt skal på bordet, og ifølge Ayo Wahlberg hersker der stadig en tvivl omkring fremtiden for retningslinjerne blandt forskerne, for de komplekse GDPR-regler er relativt nye, og på nuværende tidspunkt er implementeringen ‘trial and error’ mange steder.
Han tvivler på, at universiteterne har helt samme retningslinjer og et ‘klokkeklart regelsæt’.
»Hånden på hjertet: Hvis samtykkekontrakten ender med at være det krav, vi er underlagt – glem det! Så er etnografi, som vi kender det i dag, slut,« konstaterer professoren.
En hytte i et udviklingsland
Lisa Ibenfeldt Schultz, der er Data Protection Officer (DPO) på Københavns Universitet, mener også, at der kan være tilfælde, hvor GDPR-reglerne ikke er realistiske i forskningsregi:
»Der kan være nogle fine regler om, at man skal indhente et samtykke, og de regler er jo skrevet for borgere i EU. Hvis man også bruger dem i en hytte langt ude på landet i et udviklingsland, hvor folk måske ikke har skriftsprog, så er det altså meget svært at anvende dem, og derfor må man bøje dem lidt,« siger hun.
Lisa Ibenfeldt Schultz fortæller dog også, at der i andre tilfælde kan være tale om misforståelser hos forskerne, og at der aldrig har været en juridisk forpligtelse til at bruge samtykkekontrakter i forbindelse med feltarbejde.
»Der har været en del myter om GDPR,« siger hun.
I antropologernes egne retningslinjer på instituttet, står der: ‘Du skal sikre dig, at forskningsdeltagerne har givet deres samtykke. Hvis ikke skriftligt samtykke er muligt, så skal du sikre, at verbalt samtykke for den deltagende er indsamlet.’
Uden samtykket kan dataene nemlig ikke bruges til andet end forskning. De må hverken dele data med andre eller publicere data i en forskningsartikel – kun hvis de er aggregerede, ifølge Lisa Ibenfeldt Schultz.
Dataindsamling bremset på tværs af områder
På Aarhus Universitet oplever lektor i antropologi Janne Flora også udfordringer med at skulle overholde GDPR i dataindsamlingen, når hun bruger deltagerobservation som metode på feltarbejde i Grønland. I små samfund med omkring 100 mennesker kan alle i princippet identificeres ved blot at afsløre navnet på stedet.
Det er udfordrende at hente informeret samtykke fra alle, og hvis ikke det kan lade sig gøre, bliver hun nødt til at anonymisere personerne – en praksis der blev brugt af forskere og opdagelsesrejsende under kolonitiden, men som i dag oplever modstand flere steder i Grønland. Hun oplever også, at det vækker mistro blandt nogle informanter, hvis hun skal hente samtykke med en kontrakt.
»I yderste konsekvens bliver løsningen, at jeg ikke tager noget fotografi, eller at jeg redigerer nogle detaljer ud, fordi jeg kan simpelthen ikke overskue, hvordan jeg skal kunne få dem skrevet ind, uden at det ikke også overskrider nogle regler omkring GDPR,« siger Janne Flora.
Det er dog ikke kun i feltarbejdet, der er udfordringer med dataindsamlingen. Anders Kristian Munk, teknologi-antropolog ved Aalborg Universitet, forsker i, hvordan folk debatterer på f.eks. Twitter, Facebook og Instagram. Han peger på, at data altid er personhenførbare og derfor underlagt GDPR, så han er nødt til at sørge for, at de, der tweeter, kan vælge at blive taget ud af forskningen, hvis de ønsker det.
»Lige præcis når vi taler om den offentlige debat på internettet, så er det meget nemt at tænke sig til scenarier, hvor GDPR ikke vil være særlig hensigtsmæssigt. F.eks. ekstremistiske grupper, som ytrer sig om et eller andet kontroversielt emne, og det kunne de godt tænke sig ikke blev arkiveret i forskningen,« siger han og tilføjer:
»Er det f.eks. rimeligt, at Donald Trump skal have indflydelse på, hvilke formål man må bruge hans tweets til, ved at bede om at blive taget ud af en dataindsamling? Det ville nok ikke holde i virkeligheden.«
Anders Kristian Munk har endnu ikke været i en situation, hvor han skal vælge mellem at være tro mod sin forskning eller være GDPR-compliant, men han frygter at stå i den en dag:
»At skulle træffe det etiske valg – det er en situation, jeg ikke ønsker at stå i, hvis jeg skal overveje, om jeg vil tillade et eller andet højre- eller venstreradikalt militant parti, ikke at være en del af min undersøgelse af den offentlige debat. Man kunne forestille sig nogle meget ubehagelige situationer, men jeg har ikke stået i dem endnu.«
Også Henrik Reintoft Christensen, lektor i religionsvidenskab ved Aarhus Universitet, har oplevet konsekvenser af GDPR, der fik hans dataindsamling udskudt.
Lektoren ville observere begravelser i kirker og skrive tilhørende feltnoter. Men fordi præsterne var nervøse for, om det arbejde ville bryde med GDPR, endte sagen med at ligge i Kirkeministeriet i flere måneder, før de fik en afklaring, fortæller han, hvilket udskød projektet og dataindsamlingen.
Mindre tværfaglighed efter GDPR
GDPR rammer ikke kun dataindsamlingen, men også datadelingen, fortæller KU-antropologerne, og ifølge lektor Quentin Gausset fra KU går det ud over samfundets læring.
»I praksis, så udveksler vi ikke data i så høj grad, som vi gjorde før, så det er rigtig dårligt for tværfaglighed og samarbejde på tværs. Deling af information er hæmmet. Det er den største konsekvens for forskningen,« vurderer han.
Ayo Wahlberg peger på, at det ikke kun er tværfagligheden i Danmark, som GDPR har konsekvenser for – det gælder også forskernes internationale samarbejdspartnere.
Ifølge professoren har man endnu ikke fundet en praksis for sikker datadeling på tværs af landegrænser, men arbejder på en løsning med en loginkonto til KU’s it-system, så partnerne kan tilgå dataene. Dog vurderer han, at der altid er en risiko, når man giver slip på master-filen:
»Alle er nervøse omkring det her. Jo flere, der har et login, jo større er risikoen for at en uvedkommende får adgang til dataene. Det er en kæmpe udfordring, som vi bestemt ikke har løst endnu på nogen måde.«
Derudover fortæller teknologi-antropolog Anders Kristian Munk, at han ikke kan lægge data ud som open source i dag på grund af GDPR. Det går både ud over forskernes mulighed for at gå hinanden i bedene og den transparens, som åbne data skaber over for borgerne, mener han.
Data har fortsat værdi, men skal slettes
Endnu en konsekvens af GDPR er, at forskerne, nu ikke må gemme data i lige så høj grad, som de måtte før, fortæller de. Derfor mister samfundet noget historisk værdi i de data, som forsvinder, mener Quentin Gausset:
»Jeg tror, der er mange ting, der bare er forsvundet i et klik. Det er synd, for måske kan de godt bruges alligevel om 10-20 år – måske af nogle idehistorikere, som gerne vil se på vores data, men nu er de bare væk på grund af GDPR.«
Den obligatoriske sletning vil også have en konsekvens, hvis der på et tidspunkt stilles spørgsmålstegn ved validiteten af noget forskning, påpeger Ayo Wahlberg, der selv nævner Milena Penkowa som et eksempel på, at sådan noget kan finde sted:
»Vi kommer aldrig nogensinde til at kunne tjekke det, når vi har fået den her nye tidsbegrænsning på data, så det må siges at være en begrænsning.«
GDPR i samfundet udfordrer også forskere
Ole Sejer Iversen, professor i informationsvidenskab ved Aarhus Universitet, forsker i, hvordan man kan gøre børn mere kritiske og velreflekterede over for kunstig intelligens og algoritmer. Derfor udfører han og forskere ved Center for Computational Thinking & Design interventionsstudier, hvor de tager ud på skoler og arbejder med børn om algoritmer og data. I forbindelse med projektet oplevede han, at de ikke måtte bruge platforme som f.eks. Youtube.
Det var nemlig en del af projektet, at forskerne ville bede børnene om at søge efter noget specifikt på platformen. Men de søgninger bliver registreret på individet af Googles dataindsamling, fortæller professoren, og derfor har den kommune, hvor forskningen fandt sted, vurderet, at det er i strid med GDPR, hvis forskerne ‘kontanimerer børnenes søgestreng’ på Youtube.
Skulle reglerne følges, måtte forskerne i stedet forklare om algoritmerne på whiteboard under projektet, der i sidste ende skal gøre børnene mere opmærksomme på personfølsomme data, når de surfer på nettet.
»Det faktisk ret ironisk, at det er GDPR, der gør, at vi ikke kan lære børnene at være kritiske over for data og algoritmer,« mener professoren.
Også Jens Søndergaard, professor ved Forskningsenheden for Almen Praksis på Syddansk Universitet, har oplevet at blive begrænset af GDPR udefra.
I forbindelse med sin forskning har enheden lavet spørgeskemaundersøgelser, der blandt andet involverer praktiserende læger. Før i tiden kunne han selv sende skemaerne ud efter at have fået mailadresser fra fag- og brancheforeninger, men det er slut efter GDPR.
Nu må fag- og brancheforeningerne ikke udlevere mailadresserne mere, siger professoren, og derfor bliver foreningerne nødt til at overtage logistikken med at sende skemaerne ud til medlemmerne.
»Det gør det logistisk meget svært for os, men det gør det endnu sværere for fagforeningen,« siger han og uddyber:
»De plejer jo ikke at skulle gøre noget. I gamle dage skulle de bare sende os emailadressen – det kan de ikke mere. Men de er jo nødt til at følge reglerne.«
DPO: Reglerne justeres hele tiden
De mange forskellige fagområder på universiteter leder til mange forskellige anvendelser af GDPR for at bevare den frie forskning, fortæller Data Protection Officer (DPO) på Aarhus Universitet Søren Broberg Nielsen:
»Juraen skal kunne trives i og sammen med forskningsfriheden. Når forskere hele tiden får nye ideer – og det er jo det, de er her for – så er der også hele tiden nye problematikker,« siger han og tilføjer:
»Jeg kan ikke være i personlig kontakt med dem alle, selvom jeg gerne ville.«
Samme problemstilling oplever Lisa Ibenfeldt Schultz, der er DPO på KU.
Ifølge Søren Broberg Nielsen bliver de juridiske løsninger løbende justeret for at matche ny forskning. Han tilføjer, at man aldrig kan være helt sikker på, at det, man er gør, er tilstrækkeligt, når GDPR skal fortolkes. Det vil i sidste ende være domstolene, der afgør dét.
»Man skal hele tiden afveje de risici, der er i forhold til databehandlingen. Den eneste måde, man kan være helt sikker er ved ikke at behandle data – og det giver ikke mening, for det er jo det, vi skal.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
