Vil de nye regler om databeskyttelse styrke eller svække borgernes retsstilling, når de danske myndigheder som led i deres kontrol på det sociale område indsamler, opbevarer og deler en lang række personoplysninger. Det er et spørgsmål, som er relevant i disse dage, hvor Folketinget behandler et supplerende lovforslag til den nye EU-forordning om beskyttelse af personoplysninger.
Der udbetales mange offentlige ydelser i Danmark. F.eks. udbetaler Udbetaling Danmark barselsdagpenge, boligstøtte, familieydelse og pension til ca. 2,7 mio. borgere, mens kommunerne udbetaler sygedagpenge og kontanthjælp samt tildeler økonomisk friplads i dagtilbud til ca. 300.000 borgere. Med et så højt antal ydelsesmodtagere kan det ikke undgås, at der sker fejludbetalinger, eller at der er personer, som bevidst prøver at opnå ydelser, som de ikke er berettigede til. Der er derfor behov for en vis kontrol med udbetalingen af ydelser. Kontrollen skal dog udøves på en retssikkerhedsmæssig forsvarlig måde og med respekt for borgernes rettigheder, herunder retten til privatliv og beskyttelse af personoplysninger.
De sociale myndigheder, og særligt Udbetaling Danmark, har over de seneste år fået en meget vid adgang til på forskellig vis at behandle oplysninger om ydelsesmodtagere. Ud over oplysningerne i myndighedernes egne registre samt adgangen til at indhente oplysninger hos modtagerne selv, kan myndighederne indhente oplysninger hos andre myndigheder og private virksomheder uden personernes viden og samtykke. Oplysningerne omfatter ikke bare den enkelte ydelsesmodtager, men også dennes samlever, ægtefælle og andre husstandsmedlemmer samt formodede samlevere og husstandsmedlemmer. De indsamlede oplysninger kan også sammenstilles og sammenkøres elektronisk uden personernes viden og samtykke. Herved kan myndighederne sammenligne oplysninger på tværs af forskellige registre med henblik på at lede efter uoverensstemmelser, som kan tyde på uretmæssig modtagelse af ydelser. Kontrollen indebærer samtidig et tæt samarbejde mellem Udbetaling Danmark og kommunerne, som i vidt omfang kan dele oplysningerne uden personernes samtykke.
Da langt de fleste borgere i Danmark modtager en eller anden form for ydelse, er de fleste af os omfattet af denne omfattende og systematiske kontrol. Det vil sige, at der uden vores vidende og samtykke bliver indsamlet, opbevaret, samkørt og videregivet oplysninger om os og vores nærmeste. Det gælder f.eks. oplysninger om bopælsforhold, familieforhold, økonomiske forhold og samlivsforhold. For de fleste behandlingers vedkommende er der tale om både almindelige oplysninger og følsomme oplysninger som f.eks. helbredsoplysninger.
Dette er et indgreb i retten til privatliv og beskyttelse af personoplysninger som omhandlet i Den Europæiske Menneskerettighedskonvention artikel 8 og EU’s charter om grundlæggende rettigheder artikel 7 og 8. Det betyder ikke, at indgrebene ikke kan foretages, men det er en betingelse, at indgrebene har klar lovhjemmel, at de forfølger et legitimt formål, og at de ikke er mere indgribende end nødvendigt.
Da hensigten er at bekæmpe fejl og snyd med sociale ydelser, må indgrebene anses for at have et legitimt formål, men der kan stilles spørgsmålstegn ved, om lovgrundlaget er klart nok, og om indgrebene går videre end nødvendigt. Eksempelvis er lovgivningens kriterier for, hvornår myndighederne kan indsamle og efterfølgende behandle personoplysninger ikke særlig klare. Samtidig er der tale om en omfattende og systematisk behandling af oplysninger om en meget stor del af befolkningen uden borgernes viden og samtykke eller nogen særlig anledning, f.eks. mistanke om snyd eller lign. Hertil kommer, at kontrollen kun har et meget beskedent resultat. F.eks. giver den omfattende samkøring af oplysninger om Udbetaling Danmarks ydelsesmodtagere alene anledning til ca. 668 kontrolsager årligt, hvilket skal ses i forhold til, at Udbetaling Danmark udbetaler ydelser til ca. 2,7 mio. borgere.
Allerede i dag hviler de sociale myndigheders kontrolbeføjelser således på et retssikkerhedsmæssigt betænkeligt grundlag, som meget vel kan være uforeneligt med Menneskerettighedskonventionen og EU’s charter. Spørgsmålet er derfor, om beskyttelsen af borgernes grundlæggende ret til privatliv og beskyttelse af personoplysninger vil blive styrket eller svækket, når EU-forordningen om beskyttelse af personoplysninger og den supplerende danske lov skal træde i kraft den 25. maj 2018.
Forordningen indeholder bl.a. forbud mod viderebehandling af indsamlede oplysninger, når det er uforeneligt med det oprindelige formål, og skærpede krav om orientering af de registrerede personer. Det supplerende danske lovforslag udhuler imidlertid denne beskyttelse gennem forslag om, at de enkelte ministre skal kunne udstede regler om, at offentlige myndigheder må viderebehandle indsamlede personoplysninger til andre formål, og at oplysningspligten over for de registrerede ikke skal finde anvendelse i disse tilfælde. Disse ændringer vil give de sociale myndigheder en meget vid adgang til – uden vores vidende – at viderebehandle oplysninger om os og vores nærmeste i kontroløjemed. Da det samtidig foreslås, at samkøring af personoplysninger i kontroløjemed ikke længere skal have særskilt lovhjemmel, må det forventes, at de oplysninger, som vi har afgivet i en bestemt sammenhæng og til et bestemt formål, i højere grad vil blive anvendt i helt andre sammenhænge og til andre formål.
Lovforslaget indeholder også andre forringelser. F.eks. foreslås det, at den gældende bestemmelse i persondatalovens § 8, stk. 3, som begrænser myndighedernes adgang til at videregive følsomme personoplysninger på det sociale område, ikke skal videreføres. Begrundelsen er, at bestemmelsen allerede er blevet udvandet i særlovgivningen. Det er korrekt, at bestemmelsen i vidt omfang er blevet fraveget i bl.a. reglerne om Udbetaling Danmarks beføjelser, men en fjernelse af bestemmelsen vil dog give de sociale myndigheder en generel mulighed for at øge delingen af vores følsomme oplysninger.
Herudover foreslås det, at den udvidede nationale beskyttelse af særlige oplysningstyper, som traditionelt er blevet anset for særligt følsomme i Danmark (men ikke i EU), fremover skal indskrænkes. Det betyder, at behandling af oplysninger om f.eks. væsentlige sociale problemer og andre foreningsmæssige tilhørsforhold end de fagforeningsmæssige fremover skal være omfattet af de almindelige og mere lempelige behandlingsregler. Ifølge lovforslaget vil der ikke være tale om en reel sænkning af beskyttelsesniveauet, fordi der fremover skal gælde skærpede krav til proportionalitetsvurderingen. Det må dog alt andet lige anses for et tilbageskridt, når den direkte beskyttelse af disse oplysninger – som i dag anses for særligt følsomme – stort set fjernes.
De nævnte ændringer, som der er lagt op til i forslaget til ny databeskyttelseslov, giver således mulighed for et øget og mere omfattende kontrolniveau, som får betydning for de fleste borgere i Danmark. Det er bekymrende, når det allerede eksisterende regelsæt om de sociale myndigheders kontrol meget vel kan være uforeneligt med vores ret til privatliv og beskyttelse af personoplysninger. Det skal samtidig ses i lyset af den allerede igangsatte digitalisering på det offentlige område, som giver myndighederne adgang til endnu flere oplysninger om os i elektronisk form, som kan deles, samkøres og samles i store databaser.
Lovforslaget understøtter således et kontrolregime, hvor vores personoplysninger uden vores vidende kan anvendes til både det ene og andet formål og på tværs af myndigheder, mens prioriteringen af vores ret til privatliv og beskyttelse af personoplysninger ligger på et meget lille sted.
En kortere udgave af indlægget kan læses i dagens Politiken.