På strømmetjenesten Netflix ligger den nye svenske tv-serien «Gjennombruddet», basert på virkelige hendelser. I 2004 ble det begått et dobbeltdrap i Linkøping. På tross av gode DNA-spor og Sveriges nest største etterforskning etter Palme-drapet, fant man ikke gjerningsmannen. Etter 16 år fikk politiet hjelp av en slektsforsker og tilgang til kommersielle slektsdatabaser. Basene brukes av vanlige folk som driver med slektsforskning. Folk sender inn eget DNA for å finne fjerne slektninger. Ved å sjekke gjerningsmannens DNA mot denne slektsdatabasen, fikk man en match med to brødre. De ble kalt inn til avhør, og den ene tilstod. Dette var første gang man oppklarte et drap i Europa på denne måten.
Historien illustrerer hvordan teknologi og deling av data kan gi oss helt nye muligheter, samtidig som det reiser en rekke prinsipielle spørsmål om etikk og personvern. Datadeling og personvern begge viktige ambisjoner. Men av og til vil de stå i motstrid til hverandre.
I høst lanserte regjeringen både strategi og planer for digitalisering og personvern fram mot 2030. Den slår fast at Norge skal være ledende på verdiskaping med data og på datadrevet forskning og innovasjon, men også at vi skal sikre personvernet i all digitalisering.
Hindringene for deling av data er godt kjent
Bedre deling av data er sentralt for alt fra at familier til alvorlig syke barn skal oppleve et sammenhengende tilbud til å lykkes i kampen mot økonomisk kriminalitet. I helsesektoren er det en rekke eksempler på hvordan helsepersonell trenger tilgang til informasjon som kan gi bedre behandling og redde liv. Vi har også eksempler på hvordan aktørene rundt personer med alvorlig psykisk lidelse, som fastlege, spesialisthelsetjeneste, politi, NAV og pårørende må dele opplysninger for å kunne gi riktig behandling og for å forebygge vold. Men datadelingen går tregt eller er mangelfull, noe flere undersøkelser dokumenterer.
Samtidig er en konsekvens av digitalisering og mer deling av persondata at personvernet settes under press. Mange mener at digitaliseringen skjer på bekostning av personvernet, og dilemmaene mellom datadeling og personvern øker.
Internasjonalt ser vi at personvern og regelverk kan være en hindring for datadeling og innovasjon. Draghi-rapporten om europeisk konkurransekraft viser at EU sakker akterut innen innovasjon og teknologi sammenliknet med USA. Noe av årsaken er kompleksiteten i regelverk som personvernforordningen GDPR. Det har blitt dyrt å samle inn, lagre og beskytte data. Dette har ført til at mange EU-selskaper lagrer og behandler færre data.
Hvorfor er det så vanskelig å få til god datadeling? Vi vet en god del om hvor skoen trykker. Bare i løpet av fjoråret kunne vi lese flere rapporter som beskrev utfordringer fra ganske ulike ståsteder, fra Riksrevisjonen og forvaltningseksperter til konsulentselskaper.
Felles for disse rapportene er at alle kommer inn på dilemmaene rundt datadeling og personvern. Ikke overraskende viser dette at utfordringene er sammensatte. Det handler om manglende kvalitet på data og teknologiske utfordringer, og at både kultur og kompetanse for datadeling og personvern må være på plass. I denne sammenhengen har vi valgt å se nærmere på tre av utfordringene som går igjen, og som vi finner i skjæringspunktet mellom datadeling og personvern:
1. Juridiske barrierer oppleves som den største hindringen
Riksrevisjonen er bekymret for at offentlig forvaltning i Norge ikke klarer å utnytte mulighetene som ligger i datadeling. De har derfor undersøkt hvordan myndighetene har tilrettelagt for deling og gjenbruk av data i forvaltningen. Deres konklusjon er at det finnes mye data som ikke deles og gjenbrukes, og at det fortsatt er betydelige barrierer.
Ifølge Riksrevisjonen er den viktigste utfordringen juridiske barrierer. Hele 65% av offentlige virksomheter peker på dette som en barriere mot å dele data med andre. Dette kan illustreres ved to hensyn som kan stå i motstrid til hverandre: I henhold til EUs personvernregelverk GDPR skal personopplysninger kun brukes til det formålet de opprinnelig ble samlet inn for. Samtidig sier «kun én gang prinsippet» at norsk forvaltning skal gjenbruke data i stedet for å spørre brukerne på nytt om forhold de allerede har opplyst om.
Mange virksomheter fremhever kompleksitet i regelverket, og er usikre på om de har hjemmel til å dele data. En annen forklaring er at lovverket i mange tilfeller ikke er tilpasset de digitale mulighetene, og henger etter teknologiutviklingen.
Dessuten er en utfordring at personvern ikke blir tilstrekkelig utredet tidlig nok i utviklingsprosjekter. Man er litt for opptatt av prosjektenes mål og tekniske og funksjonelle muligheter, men uten å ha avklart det juridiske mulighetsrommet.
2. Frykt for å gjøre feil og forventning om nullrisiko
Neste utfordring er beslektet med juridiske barrierer, og handler om frykten for å gjøre feil og kanskje en litt misforstått oppfatning av hvordan man skal forstå regelverket.
Konsulentselskapet Bouvet har gjennomført 15 dybdeintervjuer med ansatte i helsevesenet. De ønsker å formidle hvordan spørsmålene om pasientsikkerhet og personvern oppleves av dem som er tett på problemstillingene i sitt daglige arbeid, og spør om personvernet står i veien for pasientsikkerheten.
Basert på disse intervjuene kan Bouvet fortelle om en form for etterlevelsesfrykt. Man er redd for å bryte regelverket, og det kan da være lettere å si nei. Mange har også en misforstått forventning om nullrisiko når det gjelder personvern som gjør at man vegrer seg mot å tolerere risiko i det hele tatt.
At det er vanskelig å få til en risikobasert tilnærming i praksis, beskrives også i Datatilsynets prosjekt Kvist. Flere virksomheter er usikre på hva som er godt nok, og hvilke personverntiltak de skal prioritere.
3. Avveining mellom personvern og andre samfunnsinteresser
Den siste utfordringen er den vanskelige avveiningen mellom personvern og andre samfunnsinteresser. Dette tok Personvernkommisjonen opp da de etterlyste en nasjonal personvernpolitikk. Digitaliseringsstrategien følger opp med å slå fast at vi må «ta de vanskelige avveiningene og vurdere prinsipielle spørsmål og etiske dilemmaer. Personvern må vektes mot andre interesser.»
DFØ, som er eksperter på hvordan forvaltningen er organisert, styrt og ledet har evaluert Datatilsynet. De har blant annet sett på forbedringsbehov i lys av fremtidige utfordringer på personvernområdet.
DFØ er enig med Personvernkommisjonen om at det er behov for å løfte spørsmålet om personvern til en offentlig og politisk diskusjon, «men vi er først og fremst opptatt av dette for å sikre en balansert og opplyst debatt om hvordan personvern som verdi må balanseres og avveies mot andre viktige hensyn og verdier. Hvor store inngrep i personvernet innbyggerne må tåle, vil kunne endre seg i tråd med samfunnsutviklingen og kriser og krig.»
DFØ observerer også at diskusjonene ofte bare blir en diskusjon om regelverk og ikke en diskusjon av de mer prinsipielle og overordnete spørsmålene om personvern sett i relasjon til andre rettigheter, verdier og hensyn. Personvern kan ikke alltid ses som et spørsmål om juss.
Er ambisjonene forenelige?
Med den nye digitaliseringsstrategien har vi fått en datapolitikk som sier at vi skal være best på verdiskaping med data, samtidig som vi skal sikre personvernet i all digitalisering. Men er disse ambisjonene forenelige? Er det realistisk at Norge kan bli verdens mest digitaliserte land med personvernet i behold?
Det samlede kunnskapsgrunnlaget viser at det ikke er så lett. Virksomhetene opplever fortsatt viktige barrierer, og datadelingen går for tregt. Det er fortsatt behov for både rydding i regelverk, forenkling av prosesser, bedre veiledning til virksomheter samt å løfte de prinsipielle og etiske dilemmaene opp til politisk diskusjon. Det kan for eksempel handle om hvordan vi bør veie personvern opp mot sikkerhet og kriminalitetsbekjempelse, hva som er et akseptabelt nivå av personverninngrep i krisesituasjoner (slik som under pandemien) og hvordan balansere effektiv tjenesteyting i offentlig sektor med individets rett til personvern.
Til syvende og sist er dette et spørsmål om hva slags verdier vi til enhver tid legger vekt på i samfunnet, og slik sett handler det om politisk valg.
