Hvis vi vil undgå at starte en ny bølge af COVID-19-smitte, når Danmark igen vender tilbage til en mere normal hverdag, kræver det en omfattende indsamling af data om borgernes personlige gøren og laden. Et af kerneelementerne i de strategier, som eksperter foreslår, er grundig kontaktsporing og overvågning af borgernes adfærd, blandt andet ved hjælp af apps på vores mobiltelefoner.
Nogle argumenterer for, at disse apps kan opbygges, så de sikrer borgernes privatliv. Det gælder blandt andet den tværfaglige gruppe af forskere fra Danmark og Norge, der skrev herom i Weekendavisen i sidste uge (»Vejen til frihed«, Ideer 7. maj). Her anfører forskerne, at »dette faktisk er teknisk muligt« og foreslår blandt andet, at man undgår at benytte brugernes geografiske position, og at data lagres på deltagernes egne mobiltelefoner, fremfor i et centralt datalager.
Men dette er næppe et realistisk scenarie. Vi hverken kan eller bør forhindre, at vores data deles. Og i stedet for at kæmpe denne kamp, der længe har været tabt, bør vi drøfte, hvordan man sikrer borgernes demokratiske og personlige rettigheder i en verden, hvor overvågning er nødvendig. Ikke for at undertrykke os som borgere, men for at løse tidens store udfordringer som klimaforandringer og kræftens gåde.
Umulig anonymitet
Det fremføres, at COVID-19-apps kan udvikles, så de kan bruges uden deling af persondata, for eksempel fordi data kun opbevares decentralt og krypteret på mobiltelefoner og kun videresendes i anonymiseret form. Men disse anonymiserede data vil skulle sammenkøres med andre data om samme personer. Sådanne krydsreferencer vil eksponere de ellers »hemmeligholdte« persondata. Og så er vi lige langt.
Som altid fortæller IT-eksperter os, at vores data kan holdes hemmelige ved hjælp af deres teknologi. Kryptering fremføres som vidundermidlet til effektiv beskyttelse af persondata. Men krypteringsteknologi indgår i komplekse løsninger, der udvikles og bruges af mennesker. Ud over skat og død må vi erkende endnu et grundvilkår for det moderne menneske: IT er aldrig 100 procent sikkert.
I Europa hænger vi håbet om effektiv beskyttelse af vores persondata på Databeskyttelsesforordningen, også kaldet persondataforordningen eller blot GDPR, som er den engelske forkortelse for forordningen. Efter GDPR er det klare udgangspunkt, at den form for meget personlige data om sundhed og færden, som ønskes indsamlet gennem COVID-19-apps, kun kan behandles ved afgivelse af et samtykke fra borgeren.
Der stilles meget høje krav til et GDPR-samtykke. Det skal udtrykke en »frivillig, specifik, informeret og utvetydig viljestilkendegivelse«. Derved skulle den hellige grav være vel forvaret. Danskere behøver jo så ikke at installere appen, medmindre de frivilligt accepterer det. Men staten har også mulighed for at kræve en »ufrivillig« brug af COVID-19-apps.
GDPRs krav om samtykke til behandling af persondata står nemlig ikke over væsentlige samfundsmæssige hensyn, og det er vel rimeligt nok. Et væsentligt samfundshensyn er beskyttelse af borgernes sundhed. I indledningen til GDPR hedder det blandt andet, at retten til beskyttelse af personoplysninger ikke er en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet.
Ud fra en prioritering af folkesundheden kan Folketinget vedtage, at borgerne skal bruge en COVID-19-app. Hvis de rette eksperter vurderer, at en sådan app er nødvendig for at sikre, at samfundet kommer igennem krisen, kan brugen påtvinges. Ekspertvurdering foretages ikke af jurister, men af epidemiologer og IT-kyndige. Det kan bestemmes, at data ikke kun skal indsamles på grundlag af Bluetooth-data, men også på grundlag af GPS, at data skal indsamles i realtid og opbevares centralt og at samkøre dem med andre persondata. Det kan vedtages at benytte de indsamlede data til bredere formål og dele dem med andre. Eneste begrænsninger af lovgivers magt er et krav om proportionalitet og mere generelle krav om lovhjemmel og garantier for retssikkerhed. Loven kan ikke gå længere end påkrævet for at varetage den samfundsmæssige interesse. Den skal tjene til at begrænse smitteudbredelsen. Der er således ikke udstedt nogen blankocheck til at indsamle oplysninger, der ikke tjener formålet. De indsamlede data benyttes ikke til at efterforske andre formål, såsom socialt bedrageri.
Misbrug og potentiale
Hvis præmissen er, at der finder og vil finde massiv overvågning sted, at vi er tvunget til at acceptere en COVID-19-app og også anden persondataindsamling med samme formål, hvad bør reaktionen så være for os borgere? For det første bør det sikres af hensyn til de enkelte borgere, at de data, der nu indsamles og deles, ikke misbruges. For det andet bør samfundet kunne udnytte disse datas fulde potentiale. Begge forhold bør adresseres i den lovgivning, der tillader indsamling og overvågning.
Der er flere måder at forhindre misbrug på. Loven om behandling af persondata skal være klar og tydelig. Den lovforberedende fase skal styrkes. Uafhængige eksperter, inden for alle relevante vidensområder, bør høres. Fordele og ulemper bør klart og tydeligt beskrives på en måde, der muliggør en offentlig debat og efterfølgende revurdering. Hele forløbet skal foregå med mest mulig åbenhed og involvering af borgerne. Alle lovregler på området bør indeholde krav om løbende revurdering og revision. Måske skal en solnedgangsklausul indsættes, så lovene automatisk ophører, hvis ikke de vedtages efter en ny forhandling.
Et forbud mod misbrug har ikke stor værdi, hvis det ikke opdages og ikke bliver håndhævet. Derfor skal de relevante myndigheder sikres ressourcer til en effektiv sikring af borgernes rettigheder. Datatilsynet skal være i stand til proaktivt at kunne hjælpe borgerne, og måske skal dets kompetencer udvides.
Hvis værnet mod misbrug forstærkes, bør det muliggøres, at de indsamlede data kan deles med og anvendes af flere. Værdien af data stiger jo med deres kopiering. Dels bør disse data kunne bruges til forskning. Dels bør de kunne anvendes også af ansvarlige private virksomheder til at udvikle innovative produkter og tjenester med formålet at forhindre smittespredning og muliggøre åbning af samfundet. Endelig bør der sikres den åbenhed, der muliggør, at pressen og organisationer, som for eksempel foreninger med formål at sikre borgernes rettigheder, kan stille myndighederne til ansvar for deres anvendelse af de indsamlede data. Alt skal holdes inden for formålet: at forhindre smitten.
COVID-19 krisen bliver ikke sidste gang, at vi kommer til at acceptere mindre kontrol over persondata. Det er allerede normen. Det er at stikke folk blår i øjnene at påstå andet. Lad os høste frugterne af mulighederne for at indsamle og behandle data. Men lad os sikre, at dette sker med den transparens, der giver mulighed for at holde magthaverne ansvarlige. Fokus bør være at definere og forhindre den misbrug, som vi ikke ønsker.
