Digitalisering af den offentlige sektor og den demokratiske udfordring
Af Niels Henrik Nielsen

Offentliggjort: 23. april 2019

I de seneste måneder har aviserne bragt adskillige artikler om teknologigiganternes udfordring af demokratiet gennem deres overvågning af brugerne. Den offentlige digitaliseringsstrategi kan imidlertid blive en lige så stor udfordring, for borgernes demokratiske deltagelse er ikke en del af strategien. I stedet bruger myndighederne i stigende grad de samme metoder som teknologigiganterne til at danne sig et billede af den enkelte borger til brug for – ja hvad?

For nylig fortalte en af mine venner om en oplevelse. En aften stod han og hustruen i køkkenet og skulle i gang med at tilberede aftensmaden. Begge deres mobiltelefoner lå på spisebordet – tændte. Hustruen fortalte, at hun havde ødelagt sine klip-klappere og ville købe nye den følgende dag. Samme aften gik hun på nettet og ville ”google” skobutikker. Det var imidlertid ikke nødvendigt. Søgemaskinens åbningsside var fyldt med reklamer for klip-klappere. Ikke nok hermed, reklamerne var fra skobutikker i nærheden af deres bopæl. Telefonerne havde lyttet med og i stedet for at bruge tid på at finde skobutikker, så havde telefonerne sørget for at sende besked til Google, hvorefter en af deres algoritmer havde foretaget søgearbejdet for hende. Hun kunne så selv vælge hvilken butik hun ville købe de nye sko i.

I dette tilfælde var det android-telefoner, men det kunne i princippet lige så vel have været IPhones, for Apples hjælper, Siri, lytter også med. Eksemplet illustrerer hvorledes, det bliver stadig vanskeligere at opretholde en privatlivssfære. Overvågning er ikke længere et spørgsmål hvem men hvor meget hver enkel borger bliver overvåget og hvad den bruges eller kan bruges til. Det gælder ikke kun i forhold til de store teknologigiganter, det gælder snart i lige så høj grad i forhold til staten – eller myndighederne. For den danske variant af EU’s persondataforordning, dvs. de særlige tilføjelser justitsministeriet foretog, åbner nye muligheder for myndighederne til at følge med i borgernes gøren. Myndighedernes kritik af de amerikanske teknologigiganter bliver på den baggrund lidt hul.

Persondatalovgivning

Der er nogle interessante forskelle i måden at opfatte persondata og privatliv på, hvis man sammenligner amerikansk og europæisk tilgang. I USA er persondata og privatliv koncentreret omkring ejendomsretten. Det betyder eksempelvis, at den enkelte afgiver – eller sælger - retten til egne data mod til gengæld at få ret til at bruge en given tjeneste, det kan være søgemaskine eller socialt netværk. Det kan også kaldes noget for noget princippet. Ønsker du at bruge Googles søgemaskine, så får Google ret til at bruge dine data i kommercielt øjemed. Det samme gælder for Facebook og andre tjenester.

Herover for står opfattelsen, således som den kommer til udtryk i EU-forordningen kaldet GDPR. Her er udgangspunktet, at den enkelte borger ejer retten til sine egne data, medmindre andet er bestemt ved lov. Og borgeren har ret til at vide hvilke data virksomhederne eller myndighederne har om dig inden for lovens rammer, samt stille krav til den sikkerhed som omgiver de personlige data. Principielt betyder det, at borgeren, i stedet for at sælge sine oplysninger, giver tilladelse til at ens data kan bruges af andre, men borgeren ejer fortsat sine egne data. Det lyder som en stærk beskyttelse, men i virkeligheden er borgerens position ikke så stærk, som det kunne lyde, for hvis du ikke afgiver dine data og lader Facebook eller Google bruge dem til kommercielle formål, får du ikke adgang til deres tjenester. Konkret afspejles forskellen i at virksomhederne skal gøre borgeren opmærksom, hvordan ens data bruges, jf. på alle hjemmesider popper der i dag en meddelelse op om brug af dine data.

Den forskellige tilgang til persondatabeskyttelse har ikke kun givet anledning til en række kontroverser mellem de amerikanske teknologigiganter og EU-landene, men er rent faktisk også en udfordring for de danske myndigheder og den offentlige digitaliseringsstrategi. Ikke mindst fordi offentlige myndigheder i årtier har opfattet persondata, ikke som borgernes ejendom, men som grundlaget for og en vigtig ressource i forvaltningen af velfærdsstaten, som myndighederne automatisk har råderet over, hvorfor stat, kommuner og regionsråd i egen selvforståelse kan bruge persondata i fællesskabets interesse. 1

Med den offentlige digitaliseringsstrategi skal data ikke længere kun være til brug for offentlige myndigheder. Således kan man læse ”Den fællesoffentlige digitaliseringsstrategi 2016-2020 udstikker kursen for den fællesoffentlige digitalisering og for dennes samspil med erhvervslivet.”2 Med andre ord skal erhvervslivet i uafklaret omfang ligeledes have adgang til offentlige myndigheders data om den enkelte borger. Det anses på den ene side for nødvendigt, hvis digitaliseringen af den offentlige sektor fortsat skal udvikles, eftersom det er private virksomheder, der skal udvikle softwaren mange af programmerne og på den anden side kan kommunerne bruge private virksomheder til at få et detaljeret indblik i den enkelte borger. Kommunernes Landsforening (KL) skriver ” Datavirksomheden Cambridge Analytica har skabt stor opmærksomhed med sine analyser og brug af data og kunstig intelligens i valgkampagner for f.eks. i den amerikanske præsidentkampagne og i forhold til Brexit. I teknologien benyttes adfærdspsykologiske modeller og indsigt fra sociale medier til at forudsige præcist, hvilken type en person er. Med bare 70 Facebook ’likes’ kan en algoritme forudsige mere om dig og dine vaner, end dine venner ved om dig, med 150 likes mere end din familie ved om dig og med 300+ likes, vil algoritmen bedre kunne forudse dine præferencer end din partner/ægtefælle. - - Perspektivet er, at en kommune vil få mulighed for at målrette kommunikation og emner til borgere, der har interesse for netop det emne og kommunikere på en måde, der motiverer netop denne borger til involvering.3 Det er samme KL som oprindeligt overlod datavaretagelse og vedligeholdelse til netop det Cambridge Analytica, som senere blev beskyldt for at manipulere det amerikanske præsidentvalg og som følge heraf måtte lukke.4

En ting er, at profilering på basis af så få data som om ikke det rene nonsens så i hvert fald stærkt tvivlsomt. Hvis denne skribent f.eks. skrev på sin facebookprofil – som han ikke har – at regeringen skal gøre mere for klimaet, ville det kunne samle adskilligt mere end 300+ likes. Af profilen kunne man udlede, at klimaet skal forbedres, korrekt, at profilen måske var vegetar, hvilket han ikke er, at profilen sandsynligvis ville bruge offentlig transport til og fra arbejde, hvilket han ikke gør osv. Det bekymrende er, hvorledes offentlige myndigheder, i dette tilfælde særligt KL, åbenbart påtænker brugen af sådanne metoder til profilering af borgerne.

Det mere bekymrende er, hvorledes private platforme og virksomheder kan rykke ind og få lov til at så at sige udvinde persondata og bruge disse til at skabe nye markeder baseret på oplysninger fra offentlige systemer. Blandt de mere kendte eksempler er offentlige hjemmesiders brug af Google Analytics til at måle brugen af hjemmesiden. En undersøgelse fra 2017 viste, at hele 39 af 86 offentlige hjemmesider bruger Google Analytics. I alt 47 af de 86 hjemmesider videregav oplysninger til private virksomheder.5 Nogle af de sider der har indgået aftale med private virksomheder, herunder Google, er blandt andet ”min side” på borger.dk og Odense kommune.

Det mest bekymrende ved den offentlige digitaliseringsstrategi er imidlertid, hvorledes borgerne hverken inddrages i udformningen eller forventes at være aktive deltagere. Borgernes rolle er som passiv forbruger – eller kunde – et middel der skal sikre strategien lykkes. Uden at kaste sig ud i motivforskning er det formentlig et bevidst valg, for hvis borgerne blev inddraget, ville en række projekter givetvis blive udsat for stærk kritik.

Mod nye teknologiske højder

I marts i år offentliggjorde KL, Danske regioner og regeringen, at de havde indgået en såkaldt digitaliseringspagt for at sætte yderligere skub i digitaliseringen af den offentlige sektor. Projekterne vil blive gennemført inden for sundheds- social- og beskæftigelsesområdet samt området for tværgående behandling. Et felt som særligt skal fremmes, er brugen af kunstig intelligens, for kunstig intelligens kan bidrage til at effektivisere den offentlige sektor yderligere ifølge pagten.6 Netop brugen af kunstig intelligens i sagsbehandling er særlig problematisk – især hvis det er den såkaldte machine-learning version, som anvendes. Det særlige ved machine-learning algoritmerne er, at det ikke er muligt efterfølgende at aflæse, hvorledes algoritmen er nået til en bestemt konklusion. Den er kodet med såkaldt objektive kriterier som lovgivning, - digitaliseringsklar lovgivning - tidligere afgørelser eller udtalelser mv. - Men principielt kan den fortolke data anderledes end forventet. Machine-learning er endnu på udviklingsstadiet, men det kan forudses, at den vil indgå i egentlig sagsbehandling, eftersom den kan håndtere meget store mængder data.

Digitaliseringspagten betyder ikke i sig selv, at rammerne for de kommende års digitaliseringer lagt til rette. Ifølge KL’s seneste udspilskal mulighederne for at indsamle og dele data videreudvikles, så kommunerne har adgang til de data, som er centrale for at skabe målrettede, sammenhængende indsatser for borgerne.”7

Umiddelbart lyder meget af det som en god idé for jo mere maskinerne kan klare af kedeligt arbejde, jo bedre. Så enkelt er det imidlertid ikke, for forudsætningen for sådanne projekter er, at der indsamles data – ikke kun om udvalgte personer men om alle som på en eller anden måde kommer i kontakt med offentlige myndigheder inden for de pågældende områder. Og i det omfang, myndighederne deler data øges faren for, at disse ofte meget personfølsomme data kommer i forkerte hænder, eftersom sikkerheden ikke er stærkere end det svageste led.

Hvor galt det kan gå blev tydeligt illustreret, da Gladsaxe kommune to gange ved et såkaldt uheld lækkede følsomme personoplysninger på ca. 20.000 borgere, den ene gang da en bærbar PC blev stjålet fra en bil. Og d. 8. februar i år offentliggjorde dagbladet Politiken en historie under overskriften ”Tre gange om dagen oplever kommuner brist i datasikkerhed”. En del var, ifølge myndighederne selv, af den mindre alvorlige slags, såsom at et brev blev sendt til forkert modtager – hvorfor det er mindre alvorligt, når det indeholder personoplysninger om en anden borger vides ikke. Men over 300 tilfælde blev af Datatilsynet betegnet som alvorlige. Hvad der præcis menes hermed blev ikke oplyst.

Samkøring af data – til folkets bedste

Ganske ofte fremhæves det, hvorledes samkøring af data kan hjælpe den enkelte borger til en nemmere og bedre hverdag. Projektet behøver ikke nødvendigvis handle om stærkt personfølsomme data såsom sundhedsdata eller oplysninger om sociale forhold. Det kan også handle om noget så umiddelbart ikke personfølsomt som trafik – eksempelvis ”smart by” projekterne.

København har siden 2017 anvendt et trafikledelsessystem, som gør det muligt at overvåge og styre trafikken og samtidig give trafikanterne trafikinformationer. Indsamlingen af data sker ved hjælp af sensorer i vejen, på lygtepæle eller via bilernes og telefonernes GPS. Alle data som ikke kun er vigtige for at afvikle trafikken bedst muligt, men tillige har stor betydning for en række virksomheder som udvikler nye såkaldt intelligente trafiksystemer. Med wi-fi og fotoapparater i lygtepælene kan bilerne identificeres og position fastslås. Systemet kan sammen med bl.a. såkaldte grunddata der indeholder oplysninger om den enkelte borgers bopæl, stilling, bilmærke osv. give en betydelig indsigt i den enkeltes privatsfære. Der er vel at mærke ikke tale om mistænkte eller efterlyste personer – altså dem ved lov bestemt – som overvåges. Der er tale om alle.8

Den overordnede del af projektet som handler om, hvor der er sket færdselsuheld eller tendens til kødannelser og oplyse trafikanterne herom, så de gives muligheden for at vælge en anden vej, er en god idé. Den anden del af projektet, hvor man indsamler data om, hvem som kører der er unødvendig, men udvikles med henblik på at give borgerne ”personlig” trafikinformation. Hvilke virksomheder der har adgang til de personlige informationer vides ikke.

Flere andre byer er med i ”smart by” trafikprojekter – her i blandt Aarhus og Aalborg.

Det formentlig mest grelle projekt var det, som Gladsaxe kommune var i gang med at udvikle, hvor alle børnefamilier skulle profileres for at opdage mistrivsel hos børnene. Kommunen samkørte data fra de forskellige forvaltninger. Algoritmen som kommunen var i gang med at udvikle skulle tildele point i forhold til sociale begivenheder. Ledighed betød 500 point, manglende besøg af sundhedsplejerske 1000 point, psykisk lidelse – så vidt vides ikke nærmere defineret – gav 3000 point osv. Når en familie havde opnået et vis pointantal, skulle kommunen så gribe ind. Socialministeren syntes indledningsvis, det var en rigtig god idé, som skulle spredes til alle kommuner, det handlede jo om børnenes tarv og målet hellig midlet. Projektet blev stoppet bl.a. med følgende begrundelse fra Liberal Alliances politiske ordfører ” Jeg er ikke parat til at sætte det forslag systematisk i værk, før kommunerne bliver langt bedre rustet til at håndtere det store ansvar, der ligger i at passe på borgernes personoplysninger.” 9 Det må opfattes som, at det er lagt i skuffen, men ikke opgivet.

De facto vides det ikke i hvilket omfang myndighederne i dag foretager registersamkøring. Senest i 2015 har Folketinget fastslået, at myndigheders registersamkøring kun må ske med et klart og utvetydigt retsgrundlag, og at borgerne skal oplyses, når det sker. Imidlertid fik justitsministeren indføjet en passus i den nye lov om databeskyttelse – GDPR – der indebærer, at Folketinget ikke længere kan kontrollere lovgivningen på området. Borgerne skal fremover alene blive orienteret om, at myndighederne agter at overvåge dem, når samkøringen af data sker i såkaldt kontroløjemed. Der er ikke krav om, at borgerne altid skal orienteres, når der foretages registersamkøring af deres personoplysninger. Som der står i betænkningen til lovforslaget ” Når Gladsaxe Kommune vil profilere kommunens børnefamilier for at identificere udsatte børn, vil ingen af de profilerede borgere blive oplyst herom”.”10 Det skal tilføjes, at beretningen blev skrevet inden Gladsaxe kommune, i hvert fald midlertidigt, måtte stoppe sit algoritmeprojekt og inden socialministeren trak sin støtte til ideen om udbrede metoden.

Digitalisering med omtanke

Det er indlysende, at den offentlige sektor skal bruge de teknologiske muligheder for at levere en bedre service til borgerne. Men det burde være lige så indlysende, at borgerne burde blive direkte inddraget i processen og myndighederne ikke kun samkører data eller foretager profilering af en borger uden samtykke. Den nuværende offentlige digitaliseringsstrategi udfordrer borgernes tillid til myndighedernes brug af deres data.

Der er behov for en debat om grænser. Ikke i abstrakt forstand men meget konkret. Må myndighederne eksempelvis samkøre data indsamlet af et trafikledersystem til at profilere en borger og dermed kunne give borgeren en bedre service, når pågældende henvender sig? Må en kommune indsamle oplysninger om alle familier i kommunen for bedre at kunne finde frem til dem som mistrives? Eller må kommunerne aflæse boligens elmåler for bedre at kunne afsløre socialt bedrageri – en tanke beskæftigelsesministeren luftede. Noble formål kan det hævdes. Men det bør ikke kun være politikere og embedsmænd, der besvarer disse spørgsmål. Hvis borgerne ikke inddrages, Hvis ikke der sættes grænser vil det i fremtiden blive algoritmerne, som styrer samfundet.

EU-forordningen GDPR har fået mange fine ord med på vejen om bedre beskyttelse af borgerne og det gælder delvist i forhold til de store teknologigiganter som Google og Facebook. Men når det gælder myndighedernes anvendelse af data, synes der snarere at være sket en svækkelse af borgernes beskyttelse. Frem for borgerinddragelse har regeringen valgt en klassisk løsning, nemlig nedsættelsen af et Dataetisk Råd. Et råd som for det første kun kan anbefale og for det andet mangler medlemmer fra nogle af de fagforeninger, som er mest involverede – det gælder blandt andet Prosa og HK. Til gengæld kan man med klar røst hævde, at databeskyttelseslovgivningen er gjort klar til et andet af regeringens krav, nemlig digitaliseringsklar lovgivning.

1 Se forord i Eksponeret – grænser for privatliv i en digital tid, København 2018

3 Se Nye teknologiers påvirkning af og perspektiver for danske kommuner s. 14.

4 Oplysningen om datavaretagelse og vedligeholdelse kan læses i DJØF-bladet 13/9 2018

7 Se På forkant med fremtidens velfærd, marts 2019

8 Projektet er bl.a. beskrevet i bogen Eksponeret – grænser for privatliv i en digital tid. København 2018.

9 Her citeret fra Politiken 14. december 2018