Vi kan i Danmark godt lide at opfatte os selv som et af verdens førende lande, når det gælder digitale teknologier. Strategier for både det offentlige og det private erhvervsliv er da også baseret på en målsætning om at bibeholde denne position i fremtiden.
Men det bliver ikke let. Morgendagens teknologier er langt mere komplekse end dem, der har givet Danmark en førerposition i de foregående år. Dette erkendte Erhvervsministeriet også sidste år i en “Redegørelse om digital vækst”:
“Derfor er det regeringens vision, at Danmark skal være en digital frontløber...
Men flere andre lande rykker hurtigt på den digitale dagsorden. Og der er tegn på, at vi ikke er helt så godt med, når det kommer til nyere digitale teknologier, fx Big Data og kunstig intelligens. Vi er heller ikke helt fremme på virksomhedernes muligheder for at ansætte digitale eksperter og medarbejdere med stærke, digitale kompetencer. Samtidig skal vi som samfund sikre, at den digitale udvikling sker ansvarligt. Vi kan med andre ord ikke bare læne os tilbage. Hverken i den private eller offentlige sektor."
Der er flere organer, som nødvendigvis må spille en central rolle, hvis Danmark skal fastholde vores digitale førerposition, herunder selvfølgelig Digitaliseringsstyrelsen, Erhvervsstyrelsen, KL, KOMBIT, Ombudsmanden samt en række erhvervsorganisationer og klyngesamarbejder. Men fokus i dette indlæg er på et tilsyn, som ofte er skydeskive for kritik, herunder for at lægge hindringer i vejen for innovation og digitalisering: Datatilsynet.
Sagen er nemlig, at det er så godt som umuligt at lave en digital løsning baseret på teknologier som Big Data og AI uden at ramme ind i komplekse udfordringer i relation til GDPR. Hvis danske myndigheder og virksomheder skal overkomme disse udfordringer, har de brug for al den hjælp, de kan få fra det danske datatilsyn. EU Kommissionen er herudover af den opfattelse, at EU-landene alene kan vinde det digitale kapløb med USA og Kina, hvis vi udnytter den konkurrencefordel, der ligger i at have en stærk databeskyttelse, jf. deres nye data-strategi fra februar i år.
Datatilsynet har en vigtig rolle - men hvilken?
Med udgangspunkt heri vil jeg i dette indlæg fokusere på, hvilken rolle Datatilsynet bør have, hvis vi skal indfri DK’s og EU’s digitale ambitioner.
Datatilsynet offentliggjorde i sidste uge en ny tilsynsstrategi, som bl.a. indeholder følgende målsætninger:
”Udsyn: Datatilsynet skal i endnu højere grad åbne sig mod og interagere med omverdenen for at have fingeren på pulsen i forhold til tendenserne i samfundet, den teknologiske udvikling og interessenternes behov.
Mod: Datatilsynet skal turde træffe beslutninger, også i vanskelige sager. Datatilsynet skal være tydelig i sine udmeldinger for på den måde at være retningsgivende og bidrage til forståelsen af databeskyttelsesreglerne.
Proaktivitet: Proaktivitet skal kendetegne Datatilsynets opgaveløsning og den måde, tilsynet møder omverdenen på.”
Jeg synes, at det lyder som nogle fornuftige målsætninger, herunder særligt det øgede fokus på den teknologiske udvikling, modet til at træffe beslutninger i vanskelige sager samt ambitionen om en proaktiv tilgang. Det er min opfattelse, at der i høj grad er plads til forbedring på de nævnte områder.
Datatilsynet er fint med, når det gælder de helt gængse teknologier, som alle bruger, såsom kryptering af mails, hjemmesider, samt god, gammeldags IT-sikkerhed. Men budskabet i dette indlæg er, at billedet er et helt andet, når vi ser på moderne teknologier såsom Big Data og AI. Som rådgiver med speciale i nye teknologier oplever jeg ofte, at det ikke er muligt at finde svar på retsstillingen i danske afgørelser og vejledninger. Jeg ender derfor ofte med at trække på viden fra datatilsyn i andre EU-lande, hvilket har den store ulempe, at det ikke er givet, at det danske Datatilsyn vil anlægge samme holdning til de konkrete emner.
I det følgende vil jeg fremhæve forskellige eksempler, som jeg mener er illustrative for dette budskab:
Big Data og AI
De fleste EU-lande, inkl. UK, Norge og Danmark, har ambitioner om at være førende i relation til udnyttelse af Big Data og AI. Det er derfor relevant at se på, hvordan datatilsynene i de tre lande har understøttet disse ambitioner:
UK
Datatilsynet i UK (ICO) har i snart 10 år haft stor fokus på Big Data og AI. Tilbage i 2014 udgav de deres første vejledning, som beskrev flere udfordringer end løsninger, og en opdateret udgave tre år senere. I de senere år er indsatsen på området blevet intensiveret, herunder i form af et forskningsprojekt i samarbejde med Alan Turing Institute og en Regulatory Sandbox. I år er arbejdet kulmineret i to grundige og praktisk anvendelige vejledninger om “Explaining Decisions made with AI” og til hvordan man kan lave lovlige AI-baserede løsninger. Opsummerende så er ICO i dag på et sådant modenhedsstadie ift. Big Data og AI, at de er i stand til at vejlede UK myndigheder og virksomheder om selv nogle af de vanskeligste og mest teknisk komplicerede spørgsmål. Som praktiker og rådgiver sætter jeg stor pris på ICO’s mange vejledninger og værktøjer, og jeg er særligt begejstret for, at de også tør være åbne om, at der er nogle fundamentale udfordringer/modsætninger mellem krav til databeskyttelse på den ene side, og de grundlæggende teknologier og drivkræfter bag AI-baserede løsninger på den anden.
Norge
Billedet er langt hen ad vejen det samme i Norge. De startede også ud med nogle tidlige overvejelser tilbage i 2014, med senere opdateringer i 2017.
Siden 2017 har de taget en række initiativer relateret til AI, herunder:
- Input til regeringens AI strategi i 2019
- Konkret arrangement med fokus på AI i sommer 2019.
- Meget juridisk og teknisk grundig vejledning ift brug af AI ved analyse af overvågningsoptagelser.
- Udtalelse om selvkørende biler
- Flere dybdegående blogindlæg om AI
- Regulatorisk sandkasse for AI
- Og netop i disse dage holder tilsynet oplæg på en stor konference om brug af AI i det offentlige.
Danmark
Så vidt jeg kan se har det danske datatilsyn kun skrevet én side om Big Data og profilering her. Dernæst viser en søgning på hjemmesiden, at Datatilsynet i 2018 opfordrede folk til at komme med bemærkninger til en international erklæring om AI, MEN de ville ikke selv modtage bemærkningerne, de henviste blot til et internationalt sekretariat (link)
Andre eksempler
Efter min opfattelse er ovenstående billede det samme for stort set alle andre nye teknologier.
Der har i årevis været efterspørgsel efter mere konkret vejledning om databeskyttelsesretlige krav i relation til brug af cloud-løsninger. Sidste år fik vi rent faktisk en sådan vejledning, som netop har fokus på databeskyttelsesretlige og sikkerhedsmæssige krav ved offentlige myndigheders brug af cloud, men af uransagelige årsager blev den skrevet af Digitaliseringsstyrelsen og Center for Cybersikkerhed uden involvering af Datatilsynet. Det er jo i sidste ende Datatilsynet, som har kompetencen til at fastlægge kravene for anvendelse af cloudløsninger, og derfor havde det været ønskeligt at få en vejledning, som rent faktisk er udtryk for Datatilsynets opfattelse af retsstillingen. Dernæst kan Datatilsynets manglende involvering i udarbejdelsen af konkrete vejledninger som denne medføre en risiko for, at Datatilsynets afgørelser vil bære præg af manglende indsigt i emnet. Nogle vil mene, at dette allerede er sket, fx da tilsynet sidste år traf afgørelse i en sag omhandlende en kommunes brug af cloudløsningen Service Now, som bl.a. resulterede i kritik fra DI:
“Vi har foreslået – og gentager i denne sammenhæng – at Datatilsynet får tilført flere penge, så de udover håndhævelsen også kan vejlede virksomhederne i efterlevelse. Sker det ikke risikerer vi at konsekvensen af afgørelsen bliver en stor og unødig usikkerhed ved brugen af cloudløsninger.”
Et andet eksempel er droner: Vi ser os selv som et af verdens førende lande indenfor droner, men det danske datatilsyn har så vidt ses ikke skrevet ét ord herom på hjemmesiden eller i vejledninger - dette på trods af, at WP29 (I dag: Databeskyttelsesrådet) helt tilbage i 2015 fremhævede de mange databeskyttelsesretlige aspekter ved brugen af droner, og opfordrede nationale tilsyn til at bidrage proaktivt med vejledning. Også her er der mere hjælp at hente på andre tilsyns hjemmesider.
Endelig kan man jo også nævne, at det danske datatilsyn blankt har meldt ud, at man ikke har ressourcerne til at gå ind i sager om tech-giganter såsom Google.
Kan det betale sig at have et svagt datatilsyn?
Jeg vil godt understrege, at det ikke er min hensigt at kritisere de dygtige folk hos Datatilsynet, da jeg mener, at en meget lille del af ansvaret for ovenstående tendens ligger hos dem. Det er således min opfattelse, at Datatilsynet har alt for få ressourcer.
Det er vel indiskutabelt, at man ikke opnår mere sikre digitale løsninger og bedre databeskyttelse ved Datatilsynets begrænsede ressourcer, men spørgsmålet er, om myndighederne så til gengæld får mere frie rammer til udvikling af digitale løsninger? Eller sparer staten i det mindste en masse penge, som vi fx kan bruge på flere sundhedsydelser?
Så vidt jeg kan se, er svaret et rungende “Nej!”
Såvel myndigheder som leverandører udtaler, at de bruger enorme ressourcer på at håndtere spørgsmål om databeskyttelse i forbindelse med udvikling af fx AI-løsninger. Forklaringen herpå er bl.a. negativ opmærksomhed fra bekymrede borgere, eksperter og medierne, som “skræmmer det offentlige væk fra AI projekter”.
Et eksempel herpå er det berømte/berygtede “Gladsaxe-projekt”, der blev lukket ned pga. presseomtale og politisk berøringsangst, mig bekendt helt uden, at Datatilsynet på noget tidspunkt udtalte sig i sagen. Projektet omhandlede analyse af en lang række datapunkter om børnefamilier i kommunen (fx adresse, tandlægejournaler, skilsmisse mv.) i forsøget på at identificere eventuelle sociale udfordringer og behov for støtte så tidligt som muligt. Ud fra omtalen i medierne forstår jeg godt, at mange blev utrygge, men mit budskab er blot, at Gladsaxe Kommune jo utvivlsomt havde gode hensigter med projektet, og måske fra starten havde lavet en bedre model, hvis der (ligesom i Norge og UK), havde været fyldestgørende vejledninger fra Datatilsynets side.
Endelig vil jeg også tillade mig at stille spørgsmålstegn ved, om staten i sidste ende sparer penge på at skære Datatilsynet så meget ind til benet. Ovenstående sager og al den negative medieomtale har utvivlsomt kostet rigtig mange interne og eksterne ressourcer for de implicerede myndigheder. Fx kan jeg konstatere, at KL og KOMBIT har fået omfattende bistand fra Kammeradvokaten til udvikling af en “AI Værktøjskasse” bestående af vejledninger om overholdelse af GDPR’s krav ved udvikling af AI. Jeg har dyb respekt for de dygtige folk hos Kammeradvokaten, men lige præcis i disse sager leverer de altså bistand, som i Norge og UK i vidt omfang leveres af datatilsynene. Og jeg tvivler altså på, at det i sidste ende er en billigere model for staten. Under alle omstændigheder er konsekvensen af den danske model, at værdifuld viden, indsigt og erfaring opbygges hos Kammeradvokaten fremfor hos Datatilsynet.
Vi har behov for et stærkt Datatilsyn med stærke digitale kompetencer
Det er efter min opfattelse en forudsætning for indfrielse af vores digitale ambitioner, at vi har et stærkt og synligt og proaktivt Datatilsyn, så de kan forsøge at indhente deres kolleger fra UK og Norge.
Det er ikke en holdning jeg står alene med. Eksempelvis har formanden for TechDK Komissionen, Stine Bosse, udtalt følgende:
”Når vi benytter os af kunstig intelligens, hvem sætter så rammerne for det? Er det bare fri leg?” spørger hun og tilføjer, at hvis Finanstilsynet ikke fandtes for den finansielle sektor, ville vi være nogenlunde i wild west-land¸ og at lidt af det samme skal til i forhold til det digitale område... Jeg vil nødig sige, at Datatilsynet er svagt, men jeg tror, at det har brug for langt flere muskler. Både en stærkere lovgivning at læne sig op af og nogle flere ressourcer til at holde øje med, at lovgivningen så også bliver opfyldt. Når vi benytter os af digitalisering og kunstig intelligens, også i den offentlige sektor, hvem sætter så rammerne, hvis der ikke er et tilsyn med tilstrækkelige ressourcer”.
Helt konkret er det mit forslag, at det danske datatilsyn opretter en særskilt afdeling med fokus på, og heraf følgende specialisering i, nye teknologier. ICO (UK) har længe haft en sådan specialist-enhed, og pt. er de ved at udvide og søger derfor bl.a. en Data Scientist og en Machine Learning Specialist. Norge er som nævnt også godt med på denne front, og Sverige har for nyligt afsat mange flere ressourcer til deres datatilsyn, netop for at imødekomme den stigende digitalisering og nye teknologier såsom AI.
Så vidt jeg har forstået, har det danske Datatilsyn pt. ikke noget, der ligner specialistkompetencer i digitale teknologier såsom cloud, Big Data og AI, og ej heller ressourcer til at efteruddanne eksisterende medarbejdere på disse områder.
Kære Justitsminister: Hvorfor insisterer I på at have et underfinansieret Datatilsyn?
Dette er langt fra første gang, at nogen påpeger, at Datatilsynet har alt, alt for få ressourcer. Særligt det sidste år er dette budskabet blevet fremsat af en lang række brancheorganisationer, foreninger mv. i anledning af den igangværende høringsproces.
Datatilsynet kritiseres for stort set alt: For lidt vejledning, for få udstedte bøder, for lidt tilsyn med offentlige myndigheder, for lidt/ingen håndhævelse overfor techgiganter, for lang sagsbehandlingstid på klagesager, for få offentliggjorte afgørelser, for dårlig rådgivning når man ringer på telefonen osv osv. Se fx her, her, her, her, her og her.
Det paradoksale er, at på trods af utallige opfordringer til at afsætte flere ressourcer, bliver der rent faktisk skåret i tilsynets ressourcer i de kommende år...!
Det er muligt, at der er en god forklaring på tingenes tilstand, men i så fald kunne jeg godt tænke mig at høre denne forklaring. Så jeg vil hermed opfordre nogen til at belyse og eventuelt forelægge Justitsministeren disse spørgsmål:
Er der nogen gode grunde til, at Datatilsynet ikke er klædt på til tænderne med tekniske kompetencer, og derved opnå en bedre forståelse og indsigt i de teknologier, som de skal vejlede og træffe afgørelser om?
Hvor mange ressourcer er der pt. afsat til rekruttering af digitale kompetencer og/eller efteruddannelse i Datatilsynet?
Hvorfor skærer vi i Danmark i Datatilsynets ressourcer, når fx Sverige netop har afsat yderligere til deres? Forventer I rent faktisk, at der kommer færre sager, eller at de bliver mindre komplicerede i fremtiden?
Mener Justitsministeriet selv, at vi i Danmark lever op til GDPR's artikel 52(4) samt artikel 57(1(i):
”Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser... .”
"...skal hver tilsynsmyndighed... holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi..."
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
