https://www.berlingske.dk/virksomheder/digital-ansvarlighed-skal-vaere-et-dansk-varemaerke
Det var hurtigt, at den dagsorden røg. Måske skulle Dataetisk Råd bare nedlægge sig selv hurtigst muligt? Det ville give medlemmerne mulighed for at bevare deres værdighed.
Jeg tror, at svaret ligger i Rigsrevisionens opgørelse af, at der ligger 34 dejlige mia i vente ved kommercialisering af danskernes oplysninger.Ja, det er faktisk utroligt grove løjer, og jo mere, jeg tænker over det, jo mere bliver jeg overbevist om, at der virkeligt sidder nogle spindoktorer og jurister et eller andet sted i magtlaget, og helt bevidst arbejder på, hvordan de kan snige sig uden om det der væmmelige problem med menneskerettigheder og retten til privatliv, for det er jo godt nok en sten i skoen, når man nu har så mange store visioner om totalovervågning og eksponentiel vækst og udvikling og evigt liv i skyen.
Digst har været gode til at innovere og udfordre gamle konventioner - dette ofte i et sammenspil med kommercielle giganter - men har til gengæld utroligt svært ved at forstå formålet med mange af de love og regler, som de finder besværlige. Det er love og regler, der er skrevet til at sikre en grundlæggende balance mellem individ og samfund, og det er den balance, som man nu udfordrer gevaldigt ved at indføre en national databroker model, som skal hjælpes på vej ved en rådssanktioneret "privacy policy".
Dataetik er et uklart svar på spørgsmålet "hvordan vi får "pillen" til at glide ned"? Hvordan skubber vi balancen uden at individet mister tilliden? Jeg har endnu ikke set noget, der betrygger mig. Tværtimod ser jeg et lidt udfordet Råd, der ikke rigtigt har lyst til at lægge sig ud med nogen. Rådgivere, lovgivere og myndigheder der kalder jura for etik (og dermed pludselig som noget man kan vælge til eller fra), og en befolkning der efterlades med mindre transparens og færre rettigheder.
Jeg tvivler på, at ovenstående var visionen for dataetik.
Jeg hilser sådan set formandens melding om ikke at blande sig i juridiske anliggender velkomment, men...
det er godt svært at se rådets berettigelse, hvis det ikke ser sig kompetent til at knytte nogle bemærkninger til et generelt spørgsmål, der i høj grad knytter sig til borgernes tillid til dataanvendelse; kan man sikre åbenhed i forhold til AI? Bevares der ligger en juridisk fortolkning i det, da man har pligt til at underrette om behandling og til at gøre det på en transparent måde, men hvis Dataetisk Råd reelt skal give nogen mening og have værdi i forhold til privatlivsbeskyttelse, må det (også) kunne have holdninger til spørgsmål, der er reguleret.
Så Johan Busse - hvilken værdi er det I som råd tilfører Danmark?
Kære Anne-Marie,
Nu er der jo ikke nogen, der forbyder dig noget - slet ikke at gøre lidt research, inden du trykker på 'Gem'-knappen ;)
Jeg er ikke sikker på, at du forstår, hvordan rådsmedlemmerne er udpeget og arbejder på. Det er folk, der qua deres kvalifikationer og stillinger med berøring til databeskyttelse, er udpeget til at have holdninger til emnet. De mødes en håndfuld gange om året, mens de i årets øvrige dage er ansat til at træffe beslutninger eller rådgive om ting, der jo så selvsagt vedrører GDPR mv. Derfor - og det nævnte jeg også i mit første indlæg - vil der fra tid til anden komme sager, hvor et rådsmedlem har en interesse i en sag, der kommer for rådet. Her er det Datarådets opgave at sørge for, at disse ikke deltager i behandlingen. Det gælder både åbenmundede rådsmedlemmer, der går ud og fortæller, hvordan en sag bør skæres, og rådsmedlemmer, der selv er med til at forberede eller rådgive herom.
Du må meget gerne uddybe, hvad det er, du finder kafkask eller hvilken adfærd, du mener, der er uforståelig. Det kan jeg ikke læse ud af dine indlæg, og derfor virker det også meget spekulativt.
Nu har du henvist til mørklægningsloven et par gange. Jeg formoder, at du mener offentlighedsloven. Den ændring, der kom i 2012(?), og som gav den dette tilnavn, har altså ikke ændret på, om der var indsigt i forlæg til Datarådet og i referater. Det har sådan set altid været undtaget.
Systemkritik er rigtigt fint - og der er flere sager, hvor man sagtens kan kritisere myndigheder og Datatilsynet. Uden at vide mere end, hvad der er beskrevet her, synes jeg bare ikke, der er grundlag for det, og magtmisbrug er i min bog en ret alvorlig anklage, der bør begrundes.
Kære TJ,
Jeg anerkender, at det kan være svært at finde den rette sammensætning til sådan en institution, og jeg så gerne, at man fik flere borgerrettede organisationer ind, der har berøring til databeskyttelse.
Alt det bedste Henrik
Kære Christian,
Lad mig sige det sådan - det løfter i hvert fald ikke niveauet at bringe misinformation ud om gældende lov. Det bør vi være enige om.
Jeg mener at have kommenteret på begge forhold, men du har ret i, at jeg ikke er gået ind i substansen, da mit ærinde sådan set var at kommentere debatten. Meget meta!
Det er utvivlsomt en spændende sag. På den ene side oplever pensionsselskaberne, at de bør have et fortroligt rum med en lægekonsulent til at stille spørgsmål som led i deres sagsbehandling. På den anden side er der - selvsagt - tale om følsomme oplysninger, der anvendes til et formål, som kunden har en mærkbar interesse i at kunne blive gjort bekendt med og reagere på. Det er helt åbenbart, at der er nogle vægtige interesser på spil. Hvad det konkret bør ende ud i, vil jeg afholde mig fra at gætte på.
For så vidt angår inhabilitet for Datarådet bør man ikke deltage i behandlingen af sag, hvor man selv er eller repræsenterer en part i sagen. Det er sådan set meget enkelt.
Kære Kenn,
tak for kommentaren.
Ja hvis du oplever "at blive taget i skole", så er det fordi, det er det, jeg gør. Vi skriver nu 41 år siden den første indsigtsret efter disse regler blev lovfæstet, og det har alle årene været sådan, at indsigt i data kan begrænses. Nuvel, det kræver væsentlige bevæggrunde, og det er disse Datatilsynet nu vil granske. Det synes jeg i øvrigt er fint.
Jeg har intet imod systemkritik eller at være skeptisk over for forvaltningen. Der er rigeligt med eksempler at tage fat på! Det jeg derimod opponerer imod er, når brugere på et mangelfuldt grundlag og imod bedre vidende spekulerer og tillægger andre de værste motiver.
Det er sådan set det, og det gør mig ked af at læse, hvordan misforståelser om lovgivningen fører til mistanker.
Alt det bedste, Henrik
Misinformation, unøjagtigheder og usømmelige insinueringer.
Kære Forum,
Der florerer virkelig mange oplysninger her på denne tråd. Oplysninger der bærer præg af uvidenhed til helt basale retsforhold og administrativ praksis og noget, der der ligner og smager af anklager om manglende habilitet og embedsmisbrug.
Det må simpelthen stoppe.
indsigtsret er ikke absolut og har aldrig, som i siden 1978 med de første registerlove, været det
som ressortmyndighed er det ganske legitimt for Datatilsynet at behandle spørgsmål om grænserne for indsigt
er sagen af principiel karakter skal sagen forelægges Datarådet. Dette for at sikre, at afgørelser, der har væsentlig betydning, ikke afgøres af en administrativ myndighed men forelægges repræsentanter fra den del af samfundet, der til dagligt har “fingrene i bolledejen”
af denne årsag vil der derfor også - særligt ift advokater og professorer men også andre - fra tid til anden opstå spm om habilitet. Rådet og rådets formand påser, at medlemmerne er habile
rådets behandling er fortrolig, dvs forlæg til rådet og referat herfra er undtaget indsigt. Dette efter alle indsigtsregler på området.
Datatilsynets afgørelse (med oplysning om rådsbehandling) skal begrundes, jf forvaltningsloven
Undskyld, men kan vi ikke løfte niveauet herinde? Selvfølgelig behøver man ikke have en cand.jur. for at bringe observationer eller bekymringer på banen... Men der bliver overskredet nogle grænser herinde, som risikerer at efterlade læserne dummere og mere skeptiske end, hvad der er nødvendigt og rimeligt.
Det er særdeles velkendt, at det er let og godt at bedrive forskning i Danmark pga. vores landsdækkende registre og anvendelse af entydige identifikationsnumre (CPR). Det er der ganske få lande, der kan tilbyde et tilsvarende setup, og det burde Danske Patienter sådan set blot være taknemmelige for.
Når man læser BB's ellers glimrende notat, særligt casesektionen, skinner det dog tydeligt igennem, at det her er en industri og et fælleskab, der er hæmningsløst, når det kommer til respekten for det enkelte individs privatliv. Det er desværre set før, og Anne-Marie har formentligt ret i Singularity inspirationen.
Til at illustrere ovenstående, taler Danske Patienter ikke kun om at lette adgangen (endnu) yderligere til forskning, men også til at kunne anvende data til administrativ brug til bl.a. evaluering af prisaftaler eller input til processer ved Amgros eller Medicinrådet(!). Jeg ved ikke om anvendelsen af data her kan komme meget længere væk fra kerneformålet, nemlig patientbehandling eller hvilken direkte interesse jeg som patient har i at mine helbredsoplysninger anvendes til prisforhandling mellem Amgros og et pharmaselskab...
Det er i det hele taget meget tydeligt ved at læse cases, at det her er forsker og private virksomheders ønsker, ikke patientønsker, og en række af de gennemgåede cases handler om, at vi som samfund skal give nogle af de mest følsomme oplysninger om os fri bare fordi der eksisterer noget teknologi, der ikke er kompatibelt med lovginingen, og fordi der er nogle spillere, der ønsker at skabe et digitalt helbredsmarked.
Som nævnt er et notat af denne type set før. For laang tid siden (2012) udgav Digitaliseringsstyrelsen et notat om regler, der udgør en barriere for offentlige myndigheders brug af cloud computing. Også her var tesen, at lovgivningen var utidssvarende og stod i vejen for den nye teknologi.
Notatet var et juridisk makværk og drevet af et ønske om at spare penge og skabe et brohoved eller rettere en motorvej for nogle store, hovedsagligt amerikanske it-virksomheders ind i det offentlige Danmark på bekostning af borgernes fundamentale ret til privatliv. For selvfølgelig var det da borgernes retssikkerhed, der skulle svækkes, for at passe til en forretningsmodel og ikke omvendt..
I sin afslutningsrapport fra 2015 noterer Digitalingseringsstyrelsen, at det videre arbejde med at ændre lovgivningen stoppes dels pga GDPR og dels fordi markedet har tilpasset sig reglerne.
Jeg underkender ikke, at samspillet mellem databeskyttelsesreglerne og sundhedslovgivningen kunne trænge til et service eftersyn (igen!), og at der inden for GDPR er spillerum - men måske bør man 1) anerkende patienters ret til et privatliv, 2) indrette sin forretning/teknologi på at den overholder lovgivningen (det kan faktisk godt lade sig gøre), 3) droppe masken - det her er ikke et patient tiltag, men et tech og pharma tiltag. Det er uærligt og manipulerende at påstå andet.
Problemet for Michael mv. er jo netop, at en total overvågning af borgere uden diskretion ift. specifikt behov for dataindsamling, netop er ulovligt (disproportionalt). Det er problemet med Gladsaxemodellen, det er problemet med en række ML løsninger, der ligger på bordet.
Det er ikke etik eller maskinstormer mentalitet - det er ganske enkelt gældende lovgivning.
Jeg tror, de fleste af os kan stille scenarier op, hvor en krænkelse af en borgers privatliv kan retfærdiggøres, men det er jo netop ud fra en konkret vurdering i et konkret tilfælde. Her er det som regel også tilladeligt. Der hvor snoren knækker, er hvor Michael argumenterer for, at enhver krænkelse af vores privatliv kan berettiges ift. den svimlende lille andel af vores medmennesker, der ikke kan finde ud af det. Det kan den ikke. Logningsdirektivet er et glimrende eksempel herpå.
Løsningen er ikke at undergrave retssikkerheden eller folks fundamentale rettigheder. Løsningen er mere intelligente - og lovlige - løsninger, der tager højde for tekniske muligheder og samtidig respekterer individers rettigheder.
De data, vi forsøger at lægge ind i algoritmen lige nu, og som vi ikke har en tilstrækkelig mængde af, er egne data fra Gladsaxe Kommune. Det er eksisterende sager, hvor man laver en vurdering af, hvad der er et udsat barn. Og det er alle de børn, som modtager en foranstaltning efter paragraf 52 i serviceloven. Det vil sige børn, som der allerede er lavet underretninger på, og som er vurderet som udsatte.
Og så kunne man jo godt tænke sig at høre, hvilket grundlag Gladsaxe Kommune har for at igangsætte denne manøvre - altså forudsat der er tale om personhenførbare data? Der sker jo helt åbenbart en behandling af endda ret følsomme oplysninger, men det er angiveligt til et machine learning formål - så spørgsmålet er, hvor finder kommunen grundlag i lovgivningen til dette?
Jeg er ikke rigtigt sikker på, at jeg forstår det sidste i udtalelsen. Dog er jeg forholdsvist sikker på, at en behandling af personoplysninger ikke forudsætter at man ser på ("overvåger") alle data. Hvis formålet er at monitorere ud fra bestemte parametre, så vil alle borgere, hvis data behandles til dette formål, være udsat for en overvågning. Ud fra samme logik ville tv-overvågning jo heller ikke være tv-overvågning, så længe du ikke foretager dig noget kriminelt.
Men måske er det bare mig.
Kære Erik,
rart at læse, at du er aktiv også i kommentarsporet.
Jeg har kommenteret på dette før, men altså det er i sin essens forkert at anskue etik som en driver for noget som helst andet end en holdning om at ville gøre det rigtige.
Hele italesættelsen omkring dataetik har været, at det fremmer forretningen, skaber en større indsamling og udveksling af data, der igen gør at du kan overvinde konkurrencen. Kort sagt, at dataetik er en konkurrencefordel.
Det er allerede her, det går galt. Vi har knapt nok taget privatlivsbeskyttelse til os, og behandler det ret stedmoderligt, når man ser på lovgivningen - samt særligt Digitaliseringsstyrelsens tilgang til området. Og alligevel skal vi nu tale om "laget over loven" og om at være førende på området.
Jeg er ikke engang sikker på om dataetik som begreb giver mening. Der ligger vel ikke nogen selvstændig værdi i at behandle data etisk? At det så kan være en ramme for en række forskelligartede etiske konflikter, der sker som følge af at data kan indsamles og kan anvendes til forskellige formål, er jeg jo enig i. Men dataetik er i sig selv en begrebsmæssig blindgyde, der hurtigt kommer til at give det indtryk at dataindsamling og dataanvendelse lever i sin egen verden, sådan lidt adskilt fra os virkelige mennesker.
Der har været dækning fra Datatilsynet, hvor det har været tilkendegivet, at man godt kunne have ønsket sig at bevissikringen, der skete via politiet, kunne være gået hurtigere. Det læser jeg som den beklagelse, som Karin her efterlyser, og jeg tænker sådan set ikke hun kommer det nærmere ved at henvende sig til justitsministeren herom.
Det der imidlertid (også) er ret skræmmende er, at vi har en it-ordfører, der tilsyneladende (jf. Anne-Maries indlæg) er fuldt ud på bølgelængde med Mark Zuckerberg. Videre har hun heller ikke har sat sig så meget ind i sit ansvarsområde, at hun ikke forstår, at Datatilsynet er en uafhængig myndighed - dvs. Pape hverken kan/skal blande sig i tilsynets håndtering af konkrete sager.
Men ok, ingen er forpligtet over evne, og modsat mange andre hverv, kræver det jo ingen kvalifikationer at være MF'er endsige ordfører for selv de største partier i landet.
Det kunne jo tyde på, at der er lavet en brugeridentifikation i bookingsystemet på grund af det oplyste telefonnummer. Om det alene gælder for 8x0 eller alle numre, man måtte indføre, er lidt uklart. Det er faktisk en smule svævende, hvorfor det skulle gøre en forskel, men måske nogle mere tech savvy mennesker kan forklare dette.
Men i det helt grelle tilfælde, hvor alle numre er behandlet ens, har en person jo kunnet oprette en bruger og herefter knytte fx ægtefællens telefonnummer til, og så adgang til oplysninger, der måtte være udvekslet fortroligt med en psykolog. M.a.o. kan telefonnummeret have skabt en "bagindgang" til brugeroplysninger og følsomme oplysninger, og så er det jo et rimeligt stort problem med et vist misbrugspotentiale.
Min oplevelse er desværre den, at "dataetik som konkurrencefordel" er blevet skamredet dels på grund af et noget uklart indhold, dels på grund af sammensætningen af ekspertrådet og dets opdrag og dels på grund af udtalt umodenhed og utilstrækkelig viden på databeskyttelsesområdet.
Det er ikke udtryk for etisk adfærd at overholde loven. Så Privacy-by-design and -default, transparens, mv. er ikke noget særligt dygtige organisationer gør for at udvise høj etisk adfærd - det gør de fordi loven kræver det. Det forvansker desværre det retlige billede og risikerer at udfordre retssikkerheden, når fx myndigheder kan slippe afsted med at sige at de sletter data af dataetiske hensyn, når det i virkeligheden er et legalt krav.
Jeg kan godt læse og forstå, at Etisk Råd bifalder oprettelsen af et særligt dataetisk råd. Det mener jeg dog er forkert. Data i sig selv bærer ingen særlig beskyttelsesinteresse. Det er måden, hvorpå mennesker afkræves eller afgiver oplysninger om sig selv, og den måde, data anvendes på disse personer, der betyder noget. Der mener jeg bestemt, at det er vigtigere med fokus på etiske, filosofiske - ja selv teologiske - drøftelser fremfor tech og forretningsdrevne. Rapporten taler sådan set sit eget sprog. Der er selvklart behov for, at etisk råd klædes på til opgaven, så de forstår, hvordan teknologien virker og implikationerne af disse. Men for mig er det ærgerligt at Etisk Råd melder hus forbi.
Opdraget har jo fra starten været, at rådet og dets arbejde skulle være en enabler for at skabe tillid som så kan skabe mere dataanvendelse og dataforretning. For at gå tilbage til etik - så er det jo karakteristisk for etikken, at man gør noget, fordi det er det rigtige at gøre - ikke fordi man nødvendigvis får noget ud af det, f.eks. for at pulje flere oplysninger sammen og skabe en overvågningsøkonomi. Der er desværre en rød tråd fra dette arbejde, og så de planer, der har været for den offentlige digitaliseringsstrategi, hvor man har fremhævet "etiske" foretagender som Google og Facebook - og endda også fundet rosende ord til Cambridge Analytica (vel at mærke før skandalen).
Jeg kunne godt tænke mig, at man tager et skridt tilbage. Anerkender at machine learning og AI og andre teknologier og dataanvendelser indeholder særlige etiske overvejelser. Men samtidig også anerkender at langt de fleste af disse overvejelser hører hjemme i det almindelige etiske rum - de skal blot "oversættes" og gøres konkrete, fx som med genetik.
Altså hvis et dataetisk råd skal forholde sig til fuldstændigt anonymiserede persondata eller andre typer af oplysninger, så by all means. Ellers hedder det Datatilsynet, Datarådet og EDPB. For det etiske råderum, når det kommer til persondata er nemlig meget begrænset, når vi taler privatlivsbeskyttelse i EU.
Bevares, hvis et dataetisk råd vil tage stilling til, om myndigheder bør forfølge behandling, der er nødvendigt til varetagelse af "legitime interesser", så må de da gerne lege med det, men det er vel i store træk også det eneste håndtag, de har at rode rundt med.
Etisk stillingtagen til anvendelsen af persondata eller af data mod borgerne giver mening i USA, hvor beskyttelsen grundlæggende er et værn, indtil man har overdraget oplysninger til tredjemand (fx Facebook). Herefter afhænger beskyttelsen af det tredjemand lover de vil give dig. I Europa og Danmark er der ikke samme valgmuligheder, med mindre man derved mener, at det er udtryk for særlig etisk adfærd at overholde lovgivningen (ping sletning af trivselsundersøgelser).
I min verden er jurister, der taler for dataetik i relation til privatlivsbeskyttelse, enten dovne eller inkompetente.
Det skriger jo til himlen, at man på den ene side vil have "dataetik" og på den anden vil kommercialisere og Googleficere vores alle sammens oplysninger.
MEN det bekræfter mig blot til fulde, at den digitaliseringsstrategi, der er lagt for det offentlige, er skrupforkert baseret på virksomheder som netop Google og Facebook og uden den grundlæggende forståelse for databeskyttelse, at det faktisk er en grundrettighed og at borgernes data er borgernes og ikke det offentliges eller virksomheder.
At dataetik som koncept også er ret upassende til de grundrammer, vi arbejder inden for EU, er så en helt anden snak, men igen rammende for den forståelsesramme, som vores kære politikere desværre arbejder under.
Der er nogle gode pointer, der centrerer sig om at tænke sikkerhed og privacy ind i systemer/løsninger på så tidligt et tidspunkt som muligt.
Selv hvis man har med danske leverandører at gøre, kan man ikke som dataansvarlig forlige sig på at GDPR-krav i en RfP er tilstrækkelig. Du er nødt til at have din rådgiver med i designfasen og testfasen også.
Sletning af enkeltoplysninger i backup (som følge af en anmodning herom), ville jeg dog ikke overveje at bruge tid på, så længe backup'en har en begrænset levetid. Som datasubjekt har man ingen rimelig forventning på sletning af sådanne data per anmodning, med mindre de er blevet gendannet i systemet.
Det sidste er ansporet af Annettes glimrende indlæg, men ikke møntet på hende:
Uanset om det måtte være ilde hørt i it-kredse - der er tilsyneladende tale om en kollektiv undladelsessynd: Kan vi ikke godt holde op med at tale om sletteret og -pligt som noget nyt og banebrydende? De to ting har været en del af dansk ret siden 1978. Just get it done. Tak :)
Det er en meget fin erkendelse, at når man ikke ved alt, ved man måske kun meget lidt, Hans.
Som jeg har redegjort for oven for, er det ret tvivlsomt, om der overhovedet er tale om en misvedligeholdelse (sic).
Jeg kan ikke være uenig med dig i, at manglende håndhævelse i form af bøder kan have haft en indvirkning på området, men dette forhold kan ingenlunde tilskrives en fuldmægtigs behandling af en enkelt sag.
At hænge "konsulenten" ud med navn, Version2. Det er ikke rigtigt til at se nødvendigheden i det. At starte en egen drift-sag er en ledelsesbeslutning, og ikke én den enkelte medarbejder træffer.
Og lige nu kan det virke massivt i denne @anders.dk-kampagne. Men hvis du som tilsynsmedarbejder modtager en enkelt henvendelse, der vedrører en "typo" i et enkelt jobopslag for en enkelt kommune, så vil det nok være nærliggende at søge at håndtere sagen hurtigt og effektivt ved at ringe til kommunen.
Der er fakta, vi ikke er bekendt med her, og det forbehold må tages, men at slutte at der ikke er noget tilsyn, synes alligevel til den grove ende, Caterine.
Henrik R Jørgensen