Vad händer när personliga uppgifter blir ettor och nollor?
Under de senaste åren har frågor kring data, integritet och säkerhet blivit alltmer aktuella. I takt med att statliga styrelser schabblat bort en massa ettor och nollor och regionala företag plötsligt anammat ”Öppen tillgång”, har politiker, byråkrater och jurister blivit alltmer nervösa över hur de här små flyktiga rackarna egentligen bör hanteras.
Samtidigt har röster höjts för att vi befinner oss i en ohållbar situation där oklarhet råder kring datatillgång, rättigheter och vem som får göra vad med siffrorna. Man behöver inte vara så elak att påminna om miljondebaclet “Hälsa för mig”, men en akut beröringsångest tycks ha brett ut sig och en hållbar lösning på ett för sjukvården och forskningen allvarligt problem bör snarast tas fram.
Vid ett seminarium nyligen i närheten av Visby-centrum ställde jag frågan om det fanns ett bra exempel man kunde peka på när det gäller hur vi bör tänka kring frågor om hälsodata, integritet och säkerhet. Jag sade samtidigt att jag själv inte satt inne med svaret. Det var förvisso inte helt osant, men jag var mer nyfiken på vad de politiker som jag delade podiet med hade att komma med i frågan. Det blev dödstyst…
Det finns förvisso ingen perfekt modell för hur de här frågorna ska hanteras, därtill är alltför många avvägningar och målkonflikter inblandade. Men det finns faktiskt en ”rimlig” modell för att hantera det här, alltså ”rimlig” i bemärkelsen den minst dåliga av tänkbara lösningar. Jag är givetvis inte den förste att föra fram det här förslaget, men så här har jag tolkat modellen.
All data som på något sätt innehåller viss information om mig som kan anses känslig bör betraktas som ”min” personliga att äga rätten till. Jag säger rätten då man inte kan äga själva data (ettorna och nollorna). Det skulle vara som att försöka äga väte och syre och tro att man kan äga vatten. Däremot kan man äga vattenrätter.
Förslaget om att vi som individer bör äga rätten till våra data är också förenligt med mer allmänna principer, såsom mänskliga rättigheter.
Det är alltså jag (och du och alla andra som berörs, dvs. alla!) som äger denna rätt och som bestämmer vem som får göra vad med ”mina” data. Om någon annan, myndighet, företag eller forskare, vill använda uppgifterna så måste medgivande inhämtas. Det här är alltså förenligt med den lagstiftning som gäller på EU-nivå och som kallas GDPR eller dataskyddsförordningen. Men GDPR berör inte ägarfrågan, bara hur personuppgifter kan användas enligt åtta specifika ”rättigheter”.
Förslaget om att vi som individer bör äga rätten till våra data är också förenligt med mer allmänna principer, såsom mänskliga rättigheter (som jag tror fortfarande gäller på våra breddgrader).
Men hur skulle det kunna fungera i praktiken, frågar sig givetvis läsare av ordning. Eftersom det är en praktisk fråga så finns det en teknisk lösning. Så länge data är i digitalt format finns det inga tekniska hinder för att utforma ett system som uppfyller vissa givna praktiska krav; det är själva kärnan i den sköna nya värld i vilken vi famlar oss fram.
På samma sätt som man får ge medgivande till att alla de hemsidor, där GDPR gäller, som man klickar sig in på tillåts samla på sig kakor, så får man ange om man går med på att de data som samlas in när man till exempel går till doktorn, enligt tydliga och förståeliga riktlinjer, får användas för verksamhetsutveckling, marknadsföring, kvalitetskontroll eller forskning.
Idag blir sådan information delvis omvandlad till ”registerdata” med oklar ägare. Under vissa förhållanden kan dessa användas i avidentifierad form utan att uttryckligt samtycke har getts. Det är etiskt och juridiskt tveksamt och det är den tveksamheten som vissa svenska sjukhus utnyttjat för att skicka patientdata till någon i USA utan att det blir uppenbart om de brutit mot några lagar eller inte.
Ju förr vi får en rimlig grundläggande princip för vem som äger rättigheterna till våra egna personuppgifter, desto bättre.
Frågor kring datasäkerhet och integritet är en del av ett mycket omfattande batteri av frågor med djupa principiella aspekter som kräver en långsiktig lösning innan vi kan gå vidare och utnyttja digitaliseringens möjligheter. Och frågans allvar kommer bara att öka i takt med att allt mer personlig och känslig, och samtidigt mycket värdefull, information hamnar på servrar som vi inte har tillgång till – via smarttrattar, sensorer, Siri, och ännu okända men ännu värre saker.
Att vi som individer ofta väljer att se bort ifrån sådana här saker för att det helt enkelt är för komplicerat är förståeligt, ja, kanske till och med rationellt. Men myndigheter, organisationer och företag kan inte göra det. Och ju förr vi får en rimlig grundläggande princip för vem som äger rättigheterna till våra egna personuppgifter, desto bättre.