Dataetik: Flyt fokus fra privatliv til bedre brug af data

Professor Klaus Høyer, KU.
Professor Klaus Høyer, KU. (Foto: Ditte Valente)

Med GDPR har individet i princippet fået flere rettigheder. Spørgsmålet er imidlertid, hvor mange der ved, hvem der har data på dem? Eller bare ved, hvordan de skulle finde ud af det? Ideen om individuel kontrol er en dejlig illusion – men netop en illusion. Og det kan være farligt at bygge politik på illusioner, skriver professor Klaus Høyer, Københavns Universitet, i denne uges klumme, hvor han slår til lyd for at regulere, hvad data bruges til, for ikke at skade det enkelte menneskes muligheder for et frit liv.

Når etikken omkring digitale data har været til debat, har der i flere år været fokus på privatliv. Det betyder, at man har diskuteret, hvordan mennesker bedre kan kontrollere, hvem der har hvilke data om vedkommende. Dette fokus ser vi også i lovgivningen, eksempelvis i GDPR. Nu er det tid til at supplere dette fokus på individet med en diskussion af, hvordan data bliver brugt, og om brugen er i overensstemmelse med de interesser, som borgerne har. I en ny debatbog om sundhedsdata, der netop er udkommet på Informations Forlag, slår jeg således til lyd for at fokusere mindre på initiativer, der placerer ansvar hos den enkelte, og mere på nye kollektive måder at beskytte borgerne på.

Det er en besnærende tanke, at individer kan kontrollere alt, der vedrører dem selv. Studier viser, at det kræver mange timers arbejde hver uge bare at læse ’terms of agreement’ i forbindelse med brug af digitale tjenester, og lovgiverne er også klar over, at folk typisk ikke læser disse kontraktlige vilkår for brugen af tjenesterne. Disse kontrakter er desuden ikke til forhandling, selvom vi i mange tilfælde er nødt til at bruge de tjenester, de giver adgang til, enten for at være i kontakt med venner eller for simpelthen at udføre vores arbejde. Med GDPR har individet principielt fået flere rettigheder, bl.a. til at få data udleveret og til at blive glemt. Spørgsmålet er imidlertid, hvor mange, der ved, hvem der har data på dem, eller bare ved hvordan de skulle kunne finde ud af det? Når man vil give individet rettigheder, indebærer det desuden også mere ansvar. Hvilke muligheder har vi som enkeltpersoner for reelt at løfte dette ansvar og gøre brug af vore individuelle rettigheder? Selvom ideen om total individuel kontrol er en dejlig illusion, er det netop blot en illusion. Og det kan være farligt at bygge politik på illusioner. 

Data er ikke bare data
Det er også værd at huske, at de færreste data kun er data på et enkelt individ eller data om bare én ting. Data er i sidste ende data på det, som dataanalysen fokuserer på. Tag eksempelvis data fra en sundhedsjournal. Det er måske nok i første omgang data på patienten, men det er også lægens dokumentation af vedkommendes arbejde. Derudover er det data på, hvilke ydelser som er leveret og som bruges til at estimere ressourceforbruget og fastlægge, hvor mange ressourcer et hospital eller en klinik kan gøre krav på fra regionerne. Data kan også bruges til forskning, hvor det ikke siger noget om individet som sådan, men om faktorer af betydning for sygdom og sundhed. Eller tag data fra dit strømforbrug, der måske umiddelbart siger noget om, hvor meget strøm der er blevet brugt hvornår, men som i kraft af specifikke dataanalyser kan sige noget om, hvornår nogen er hjemme, hvilket kan være relevant for eksempelvis sociale myndigheder i deres tilskudsberegning. Hvad data er data på er altså ikke givet på forhånd. Det afhænger af den konkrete brug. Også derfor kan vi ikke begrænse dataetikken til datakildernes til- og frasagn – det handler også om at regulere, hvad data bruges til.

Flere og flere dataetikere taler nu om at supplere det tidligere fokus på individuelt privatliv med det, de kalder gruppe-privatliv. Det går ud på ikke at se blot at forbinde privatliv med datakilden, men med dem der bliver gjort til genstand for og forsøgt styret med dataanalyser. Dataanalytiske værktøjer kan bruges til at udpege grupper og bestemme hvilke valg, medlemmerne af denne gruppe får. Når man først har udviklet dataanalyseværktøjerne, så bruges de til at karakterisere folk som gruppe – uanset om de enkelte medlemmers data blev brug i første omgang til at udvikle værktøjet.

Hvis for eksempel det at bruge strøm om natten først er blevet brugt til at etablere en risikoscore, der forbinder et bestemt strømforbrug med en adfærd, der giver højere risiko for hjertekarsygdomme, så kan det være ligegyldigt for dig, om det var dine data, der blev brugt til at etablere den sammenhæng: Når sammenhængen først er etableret, kan strømdata nemlig fremover være relevante for eksempel forebyggelsestiltag, men også for forsikringsselskaber til beregning af livsforsikring. Den natlige strømforbruger kan derfor blive ramt som gruppemedlem uden at have bidraget som datakilde til at lave de nye værktøjer.

Begræns brugen af data til nye formål
Som en del af bevægelsen fra individkontrol til beskyttelse af gruppen foreslår jeg stærkere begrænsninger på brugen af data til nye formål, når data bruges på måder, der er imod individets interesser. Det kan for eksempel være begrænsninger i ellers legitime formål, som at bruge sundhedsdata til at opdage social snyd, fordi hvis man ikke kan være sikker på, at det, man siger til en læge eller sygeplejerske (for eksempel om hvorvidt man bor alene), ikke bliver brugt til at vurdere ens ret til sociale ydelser, så går det ud over tilliden til sundhedsvæsenet og dermed kvaliteten af sundhedsydelserne. Det kan også være igangsættelse af et arbejde, der skal munde ud i ny lovgivning, der sætter stærkere grænser for det voksende private dataprofilmarked. Det kan bidrage til at sikre, at data ikke bliver brugt i sammenhænge, hvor det klart begrænser individers muligheder.

Et større fokus på, hvad data bliver brugt til, handler også om at diskutere kvaliteten af de dataanalytiske værktøjer. Markedet for dataanalytiske produkter er karakteriseret ved manglende transparens omkring de metodiske præmisser – for det er ofte beskyttet som forretningshemmeligheder. Uden transparens kan man ikke vurdere kvalitet. Der mangler derudover fælles standarder for evidens og kvalitet, og der mangler ofte indsigt i de data, algoritmerne er trænet på. Også i den offentlige administration laves der stadigt flere dataanalyser, uden at man tager den store usikkerhed, som analyserne er forbundet med, alvorligt. Vi har ikke brug for flere dataanalyser, hvis det ikke også bliver bedre dataanalyser.

Måske er dårlige dataanalyser, der på et uigennemsigtigt og ubegrundet grundlag profilerer individer på bestemte måder, på vej til at blive et etisk problem, vi må tage lige så alvorligt som borgerens manglede kontrol med egne data. Vi skal helt bestemt bruge data, men de skal først og fremmest bruges til at sige noget, som der er metodisk og empirisk belæg for, og noget som ikke skader det enkelte menneskes muligheder for et frit liv.

Hoeyer, K. (2019) Hvem skal bruge sundhedsdata – og til hvad?, Copenhagen. Informations Forlag.

Skrevet af

Klaus Høyer

Klaus Høyer, professor, KU

Klaus Høyer er uddannet cand.scient.anth. (KU, 2001), ph.D. medicinsk etik (Umeå Uni., 2004) og arbejder på Afdeling for Sundhedstjenesteforskning på Det Sundhedsvidenskabelige Fakultet på Københavns Universitet. Klaus Høyer har i år udgivet debatbogen ’Hvem skal bruge sundhedsdata – og til hvad?’