De sociale myndigheder i Danmark har i dag beføjelser til at indsamle og samkøre borgerdata fra vidt forskellige myndigheder for at kontrollere, om borgere svindler med sociale ydelser.
Kontrollen sker, uden at borgere er under konkret mistanke, og uden at de bliver informeret – en praksis, der ifølge en vurdering fra den juridiske tænketank Justitia »meget vel kan være uforenelig« med både menneskerettighederne og EU’s charter.
»Der er tale om en omfattende og systematisk behandling af oplysninger om en meget stor del af befolkningen uden borgernes viden og samtykke eller nogen særlig anledning,« forklarer advokat i Justitia Birgitte Arent Eiriksson.
Kontrolbeføjelserne, som de sociale myndigheder har fået, hviler på et betænkeligt grundlag, vurderer tænketanken.
Ikke desto mindre lægger tre separate politiske initiativer lige nu op til at øge både den data-baserede kontrol og den automatiske sagsbehandling. Tilsammen peger de i retning af mere datadeling mellem myndigheder, mere kontrol af borgere og mindre inddragelse af og information til de pågældende borgere.
»Vi mener, [paragraf 23] skrider grundlæggende imod princippet om transparens og forværrer forbrugernes mulighed for at have kontrol over personlige oplysninger, som den ny forordning netop har til formål at styrke« »IDA finder det bekymrende, at der i §5, stk. 3 gives en minister mulighed for at tillade,at personoplysninger må viderebehandles til andre formål, end de oprindeligt var indsamlet til.« »Den fuldstændigebegrænsning af oplysningspligten ved viderebehandling i henhold til § 5, stk. 3, som Justitsministeriet foreslår i databeskyttelseslovens § 23, gør risikoen for at borgernes personoplysninger i hemmelighed vil lyde rundt i det ofentlige system, uden at borgerne er klar over det, endnu større.« »Det er Lægeforeningens opfattelse, at der er tale om en meget vidtgående bemyndigelsesbestemmelse, der bryder med den hidtidige persondatalov og, efter vores opfattelse, ikke synes at være i databeskyttelsesforordningens ånd.« »Når først en offentligmyndighed er kommet i besiddelse af en personoplysning, kan den principielt set ende hvor som helst og anvendes til et hvilket som helst formål (selvfølgelig forudsat at der er en regel) (...) [Databeskyttelsesloven] medvirker til at sikre en fuldstændig uigennemsigtighed for borgerne om, til hvilke formål og af hvilke myndigheder deres personoplysninger behandles.«Høringssvar til Databeskyttelsesloven
- Forbrugerrådet Tænk
- IDA
- IT-Politisk Forening
- Lægeforeningen
- Rådet for Digital Sikkerhed
Forordning udhules
Forrest står den danske såkaldte Databeskyttelseslov, der ledsager EU’s længe ventede forordning for databeskyttelse.
Forordningen varsler med strammere regler for samtykke, nye borgerrettigheder og historisk store bøder for datasjusk nye tider for borgeres datarettigheder.
Men en del af beskyttelsen er godt på vej til at blive udhulet i den danske implementering, lyder det fra kritikere.
Forordningen efterlader et stort rum for nationale variationer – særligt med hensyn til, hvordan reglerne gælder offentlige myndigheder.
Her har Justitsministeriet foreslået en paragraf, der tillader enhver minister at blåstemple nye samkøringer af borgeres data – hvorved disse data vil blive brugt til helt andre formål, end de var indsamlet til.
Og Databeskyttelsesloven står ikke alene. I januar blev samtlige partier i Folketinget enige om en aftale, der kaldes Digitaliseringsklar Lovgivning.
I denne giver partierne blandt andet hinanden håndslag på, at al fremtidig lovgivning skal udarbejdes, så den i højere grad end i dag kan administreres automatisk.
Det betyder, at loven så vidt muligt skal bestå af objektive regler, der kan omsættes til computerkode. Dette skal ske med respekt for borgerens retssikkerhed, lyder det i teksten.
Men formuleringen placerer ikke noget ansvar for, hvem der skal identificere, hvornår en borgers sag er så tilpas kompliceret, at en automatisk afgørelse er uhensigtsmæssig.
Dertil kommer den såkaldte Digitaliseringsstrategi, der varsler ændringer i Forvaltningsloven, så reglerne ikke står i vejen for digitaliseringen.
Her har en arbejdsgruppe blandt andet kig på de såkaldte partsrettigheder, som betyder, at en myndighed skal orientere en borger om de oplysninger, man har, inden man træffer en afgørelse.
Artiklen fortsætter efter grafikken
Ikke en stor ting
Tilsammen baner de tre tiltag vej for, at myndigheder kan dele flere data og bruge automatiseret sagsbehandling til at træffe afgørelser på baggrund af disse – og at borgeren ikke informeres om datagrundlaget for afgørelserne og derfor ikke kan protestere imod det.
Et eksempel på konsekvenserne kunne være, at man afleverer information til en myndighed i en sag om forældremyndighed, hvorefter disse data deles med en anden myndighed, der bruger informationerne i en automatisk sagsbehandling i en sag om boligsikring.
Et andet eksempel er, at en minister kan give et jobcenter fri adgang til registerdata som karakterer, lærerudtalelser, særlig støtte i skolen osv. for at danne sig et grundigt billede af den jobsøgende.
Særligt Databeskyttelsesloven bliver mødt med kritik fra eksperter og oppositionen. Selv regeringspartiet Liberal Alliance har erklæret sig skeptisk. Men justitsminister Søren Pape Poulsen (K) kunne ved et samråd i sidste uge slå fast, at han ikke har til hensigt at ændre lovforslaget.
Til spørgsmålet om, hvorfor ministeren ikke havde fremhævet de kontroversielle paragrafer, da de tilsyneladende ubemærket gled igennem Folketingets førstebehandling, svarede ministeren:
»Vi bragte det ikke op i salen, da vi ikke synes, det er en særlig stor ting.«
Den vurdering er mange uenige i. I høringssvar kalder både IDA og Ejendomsforeningen Danmark den kontroversielle paragraf 5, stk. 3 for »bekymrende«, Lægeforeningen mener, forslaget er »for vidtgående«, og IT-Politisk Forening, at det har »vidtgående konsekvenser for borgernes ret til privatliv og databeskyttelse«.
Catrine Søndergaard Byrne, der er jurist og partner i advokatfirmaet Labora Legal og en del af tænketanken DataEthics, kalder reglen i strid med retsstatens grundprincipper.
Alle data skal kunne bruges
Som svar på kritikken sagde Søren Pape Poulsen på samrådet, at han skam lytter til eksperternes bekymringer. Men at han ikke er enig:
»Jeg vil ikke finde mig i socialt bedrageri. Derfor vil jeg ikke stå på mål for, at oplysninger indsamlet til andet formål ikke kan bruges til at afsløre socialt bedrageri,« sagde han.
Gevinsterne ved den allerede i dag omfattende datasammenkøring er i øvrigt beskedne. Ifølge Justitia har man hos Udbetaling Danmark, der betaler ydelser til 2,7 millioner danskere, under 700 årlige kontrolsager.
I et debatindlæg på netmediet Altinget bemærker juraprofessor ved Københavns Universitet Peter Blume, at det var beskyttelse af borgere mod staten, man havde i tankerne, da man i 1970’erne begyndte at indføre regler om databeskyttelse:
»Der var en frygt for Big Brother. Ham hører man ikke så meget til længere, men han er her stadigvæk.«
Denne artikel stammer fra den trykte udgave af Ingeniøren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
