Den offentlige sektor bliver mere og mere digital. Det har uden tvivl mange fordele, men digitaliseringen må ikke ske på bekostning af borgernes retssikkerhed. Det er ikke alle typer af sager, der egner sig til digitalisering, især ikke på det sociale område, og samtidig kan en omfattende indsamling og viderebehandling af borgernes oplysninger komme på kant med menneskerettighederne. Det skal vi have fokus på, når vi i stigende grad digitaliserer den offentlige sektor.
Af Birgitte Arent Eiriksson, advokat, Justitia
Det går stærkt med digitaliseringen af den offentlige sektor. Om kort tid skal nye love og administrative forskrifter administreres digitalt, og om endnu kortere tid træder den nye databeskyttelsesforordning i kraft, som nøje foreskriver, hvordan myndighederne må behandle borgernes oplysninger. Forordningen skal suppleres af en national databeskyttelseslov, og snart vil der højst sandsynligt også blive fremsat et lovforslag om ændring af forvaltningsloven med henblik på at understøtte digitaliseringen.
Digitalisering i den offentlige sektor har uden tvivl mange fordele, men der opstår også spørgsmål om borgernes retssikkerhed, når lovgivningen simplificeres, og sagsbehandlingen helt eller delvis automatiseres. Det er ikke alle områder, der er lige egnede til digitalisering, og på de digitaliserede områder kan det være svært at identificere de atypiske sager, som kræver særlige hensyn til borgeren.
Samtidig er flere af de eksisterende partsrettigheder svært forenelige med en automatiseret sagsbehandling, ligesom en omfattende indsamling og viderebehandling af borgernes oplysninger kan komme på kant med retten til privatliv og beskyttelse af personoplysninger. Det er derfor nødvendigt at overveje, hvordan borgernes retssikkerhed og rettigheder kan sikres i en offentlig sektor, som bliver mere og mere digital.
Digitaliseringsklar lovgivning
Fra 1. juli 2018 skal nye love og administrative forskrifter så vidt muligt kunne administreres helt eller delvis digitalt. Det indgik regeringen og de øvrige partier en politisk aftale om i januar 2018. Samtidig skal den eksisterende lovgivning løbende gennemgås og revideres med henblik på at sikre, at den er digitaliseringsklar.
Umiddelbart er der mange positive ting ved at øge digitaliseringen. Det indebærer blandt andet, at lovgivningen som udgangspunkt skal udformes, så der anvendes objektive kriterier, klare og entydige begreber samt fællesbegreber fremfor særbegreber. En sådan lovgivning vil klart være nemmere at forstå for både borgere og myndigheder, og det vil gøre det lettere at administrere reglerne. Myndighedernes afgørelser vil også blive mere forudsigelige, fordi borgernes rettigheder og pligter i højere grad vil bero på objektive kriterier i stedet for konkret skønsudøvelse. Borgerne vil derfor i højere grad opleve at blive behandlet ens, uanset hvilken kommune de bor i, og hvilken sagsbehandler de møder. Borgerne skal heller ikke i samme grad ulejliges med anmodninger om oplysninger til brug for sagernes behandling, fordi deres oplysninger så vidt muligt skal kunne genbruges på tværs af myndigheder. Ændringerne vil utvivlsomt kunne føre til væsentlige effektiviseringer i den offentlige sektor, kortere sagsbehandlingstider og en bedre tilgængelighed.
Digitaliseringen skaber dog også en række udfordringer. For det første er der områder, som generelt ikke er egnede til en lovgivning med objektive kriterier, fordi det vil være retssikkerhedsmæssigt betænkeligt at fjerne den eksisterende fagprofessionelle skønsudøvelse. Det er man også opmærksom på i digitaliseringsaftalen, hvor man blandt andet nævner sager om barnets tarv og sager om støtte til særligt udsatte borgere. Der er givetvis mange andre sagstyper, som heller ikke er egnede til en sådan digitalisering, især på det sociale område.
Derudover kan der være områder, som ud fra en generel betragtning er velegnede til digitalisering og automatiseret sagsbehandling, men hvor enkeltstående sager ud fra en konkret vurdering bør behandles af en sagsbehandler, fordi der er brug for særlige hensyn. Det kan dog være vanskeligt at identificere disse atypiske sager på forhånd.
For det andet vil en velfungerende digitalisering med automatiseret sagsbehandling kræve, at man øger indsamling og genanvendelse af borgernes oplysninger på tværs af myndigheder. Det betyder, at myndighederne får betydeligt flere oplysninger om borgerne, som bliver delt og anvendt til helt nye formål, som borgeren måske ikke havde forestillet sig, da vedkommende gav oplysningerne. Samtidig vil borgernes muligheder for selv at bidrage med oplysninger til brug for sagens behandling blive begrænset.
Der er også en række mere systemtekniske risici. Selv små fejl i it-systemerne kan få stor betydning, fordi de bliver systematiske og således rammer mange borgere. Samtidig vil afgørelsernes rigtighed i høj grad afhænge af kvaliteten af de data, som er til rådighed. Fejlbehæftede oplysninger i ét register vil hurtigt kunne sprede sig og indgå i afgørelser hos andre myndigheder.
Datasikkerheden har også afgørende betydning. De tekniske løsninger skal kunne understøtte en tilstrækkelig sikker og tryg datahåndtering, men det er lettere sagt end gjort. Der har tidligere været mange eksempler på, at myndigheder uforvarende er kommet til at lække borgernes oplysninger på den ene eller anden måde.
Efterprøvelse af automatiserede afgørelser rejser også relevante spørgsmål, eksempelvis hvordan man skal foretage efterprøvelsen. Det kan næppe ske ved en ny automatiseret behandling, hvor udfaldet vil blive det samme. Samtidig vil en efterprøvelse foretaget af fysiske personer kræve gennemsigtighed i den automatiserede afgørelse fra førsteinstansen og indsigt i systemets programmering.
Selvom digitaliseringen har mange fordele, er der således også en række udfordringer af retssikkerhedsmæssig, teknisk og databeskyttelsesmæssig karakter, som man skal være opmærksom på, når man udvælger de områder, der skal digitaliseres, og når man tilrettelægger de halv- eller helautomatiserede sagsbehandlingsprocesser.
Digitaliseringsaftalen indeholder krav om, at man vurderer og beskriver implementeringskonsekvenserne i de efterfølgende lovforslag med digitaliseringsklar lovgivning. Man skal blandt andet vurdere, hvilke konsekvenser de foreslåede ændringer vil have i forhold til borgerne. Hvis det er et område, hvor der er behov for særhensyn eller skønsudøvelse i visse situationer, bør det ifølge aftalen også overvejes, om der er behov for særlige opsamlingskategorier i lovgivningen, eller om der er risiko for, at automatisering vil forringe sagsbehandlingen for borgeren.
Det er positivt med dette obligatoriske fokus på borgerne. Men det ville være ønskeligt, hvis ressortmyndighederne fik ansvar for at identificere de sager, som kræver særhensyn eller skønsudøvelse. Hvis man overlader vurderingen til borgerne selv, kan man frygte, at især mindre ressourcestærke borgere må nøjes med en automatiseret afgørelse, som ikke tager hensyn til borgerens særlige situation eller sagens særlige karakter.
Ny databeskyttelseslov
Den 25. maj 2018 træder databeskyttelsesforordningen og en supplerende dansk databeskyttelseslov i kraft. De erstatter de gældende regler i EU's databeskyttelsesdirektiv og den danske persondatalov. Ifølge den nye forordning kan myndighederne kun behandle oplysninger om borgerne, når der er hjemmel hertil i de almindelige behandlingsregler, og når behandlingen samtidig overholder en række grundlæggende principper for databehandling. Et af principperne er, at oplysninger skal indsamles til udtrykkeligt angivne og legitime formål, og at de ikke må viderebehandles på en måde, der er uforenelig med disse formål. Der er derfor grænser for, hvilke andre formål indsamlede oplysninger senere kan anvendes til.
Lovforslaget til ny databeskyttelseslov indeholder dog et kontroversielt forslag. Nemlig at de enkelte ministre efter forhandling med justitsministeren skal kunne fastsætte nærmere regler om, at offentlige myndigheder må viderebehandle borgernes oplysninger til andre formål, end de oprindelig var indsamlet til, og at det kan ske uafhængigt af formålenes uforenelighed. Anvendelsen af bestemmelsen er underlagt enkelte begrænsninger, men giver i øvrigt ministerierne en temmelig bred adgang til at fastsætte regler om eksempelvis videregivelse af oplysninger på tværs af myndigheder samt sammenstilling og samkøring af oplysninger i kontroløjemed.
Samtidig fjernes det gældende krav om, at samkøring af borgernes oplysninger i kontroløjemed skal have særskilt lovhjemmel, ligesom der ikke længere skal gælde særlige begrænsninger for videregivelse af borgernes følsomme oplysninger på det sociale område.
Lovforslaget indeholder også et andet kontroversielt forslag om den dataansvarliges oplysningspligt. Ifølge databeskyttelsesforordningen skal borgeren informeres, hvis en myndighed vil viderebehandle borgerens oplysninger til et andet formål, end de er indsamlet til. I lovforslaget til ny databeskyttelseslov foreslår man imidlertid, at denne del af myndighedernes oplysningspligt skal begrænses, når viderebehandlingen sker i henhold til regler udstedt af de enkelte ministre.
Det betyder, at man markant øger myndighedernes muligheder for at dele, sammenstille og samkøre borgernes oplysninger i kontroløjemed uden borgernes samtykke og kendskab. Den manglende orientering betyder samtidig, at borgerne ikke får mulighed for at berigtige eller supplere oplysningerne, inden de udsættes for en større granskning af deres personlige forhold på grund af en (muligvis fejlagtig) mistanke om uregelmæssigheder.
Ændring af forvaltningsloven
Med den fællesoffentlige digitaliseringsstrategi 2016-2020 blev der nedsat et stående udvalg i regi af Digitaliseringsstyrelsen, som beskæftiger sig med tværgående juridiske udfordringer ved digital forvaltning. Udvalget skal blandt andet undersøge, hvordan forvaltningslovens regler om eksempelvis partshøring, sagsoplysning, begrundede afgørelser og vejledningspligt kan tilgodeses på en hensigtsmæssig måde i en digital verden.
I forbindelse med udvalgets arbejde er der allerede peget på, at partshøringsreglerne er vanskelige at understøtte digitalt og i en automatiseret afgørelsesproces, fordi der stilles krav om en række skønsmæssige vurderinger. Udvalget undersøger derfor, om partshøringsreglerne kan justeres, eller om hensynene bag partshøring kan tilgodeses på anden vis. Ifølge Finansministeriets pjece ”Enkle regler, mindre bureaukrati – lovgivning i en digital virkelighed” kan en løsning være, at partshøring på udvalgte områder tilpasses og erstattes af en særlig hurtig klagemulighed.
Forvaltningsloven er affattet på et tidspunkt, hvor myndighedernes sagsbehandlingsprocesser helt eller delvis var manuelle. Det er derfor forståeligt, at man ønsker nogle ændringer, som i højere grad understøtter en digital sagsbehandling. Der er dog tale om nogle af borgernes mest grundlæggende rettigheder i forhold til myndighedernes behandling af deres sager, og der bør derfor udvises stor varsomhed ved eventuelle ændringer. I den forbindelse bør det særligt tages i betragtning, at det ikke er alle borgere, som har de fornødne personlige ressourcer til selv at vurdere sagsbehandlingens kvalitet eller afgørelsens rigtighed, ligesom de kan have svært ved at få juridisk bistand. At erstatte partshøring med en særlig hurtig klageadgang vil derfor kunne føre til en forringelse af disse borgeres retssikkerhed.
Det hele hænger sammen
Der er altså tale om flere initiativer, som behandles trinvis. Først skulle de politiske partier forhandle om en digitaliseringsaftale, som nu er på plads. Sideløbende har der været forhandlinger om et lovforslag til en ny databeskyttelseslov, som endnu ikke er afsluttet. Når man ser på de mange folketingsspørgsmål og indkaldelsen af ministeren til samråd om dette lovforslag, ser det ikke ud til, at folketingspolitikerne har været tilstrækkeligt orienteret om de to initiativers sammenhæng og konsekvenser, når det gælder myndighedernes adgang til at indsamle og genbruge borgernes oplysninger. Senere vil der højst sandsynligt blive fremsat et lovforslag om ændring af forvaltningsloven, som også skal ses i lyset af de to øvrige initiativer. Dette initiativ er kun flygtigt berørt i aftalen om digitaliseringsklar lovgivning.
Det kunne have været ønskeligt, hvis man forudgående havde samlet information om alle tre initiativer og deres samlede konsekvenser for borgerne og deres retssikkerhed.
Der er også andre elementer, som kunne have været bedre belyst. Eksempelvis hvordan folketingspolitikerne skal tage ansvar for en digitaliseringsklar lovgivning ved at tage klar politisk stilling til lovgivningens kriterier, begreber og undtagelser. Det vil formentlig kræve en stor indsigt i de pågældende områder og lovtekniske færdigheder. Det ville også have været ønskeligt med flere oplysninger om forholdet mellem Justitsministeriets lovkvalitetskontor og den nye statslige enhed for digitaliseringsklar lovgivning, som er etableret i regi af Digitaliseringsstyrelsen. Det ser ud til, at de begge skal gennemgå ministeriernes lovforslag, selvom opgaven og ministeriernes dagsorden ikke er den samme.
For meget overvågning
Som nævnt indeholder lovforslaget til ny databeskyttelseslov nogle forslag, som indebærer en bredere adgang for myndighederne til at indsamle og viderebehandle borgernes oplysninger. Det understøtter den kommende digitaliseringsproces, men skal dog ses i lyset af, at de danske myndigheder i forvejen har en meget vid adgang til at behandle oplysninger om borgerne. Det gælder ikke mindst på det sociale område, hvor Udbetaling Danmark har en vidtgående adgang til – uden borgernes samtykke – at indhente oplysninger om ydelsesmodtagere og deres nærmeste hos andre myndigheder og private virksomheder, ligesom oplysningerne kan samkøres i kontroløjemed, uden at borgerne er bekendt med det. Kontrollen indebærer samtidig et tæt samarbejde mellem Udbetaling Danmark og kommunerne, som i vidt omfang kan dele oplysningerne uden borgernes samtykke.
De fleste borgere i Danmark modtager en eller anden form for offentlig ydelse og er derfor en del af den omfattende og systematiske kontrol, som udføres hos Udbetaling Danmark. Det vil sige, at der uden deres vidende og samtykke jævnligt bliver indhentet, samkørt og videregivet oplysninger om dem og deres nærmeste, blandt andet oplysninger om bopæl, familieforhold, økonomi, samlivsforhold og helbred.
Dette er et indgreb i borgernes ret til privatliv og beskyttelse af personoplysninger, som er beskyttet i Den Europæiske Menneskerettighedskonvention og EU’s charter om grundlæggende rettigheder. Det betyder ikke, at indgrebene ikke kan foretages, men det er en betingelse, at indgrebene har klar lovhjemmel, at de forfølger et legitimt formål, og at de ikke er mere indgribende end nødvendigt. I dette tilfælde er formålet givetvis legitimt, men der kan sættes spørgsmålstegn ved, om lovgrundlaget er klart nok, og om indgrebene går videre end nødvendigt. Eksempelvis er lovgivningens kriterier for, hvornår der kan indsamles og efterfølgende behandles oplysninger, ikke særlig klare. Samtidig er der tale om en omfattende og systematisk behandling af oplysninger om en meget stor del af befolkningen uden deres viden og samtykke eller nogen særlig anledning, eksempelvis mistanke om snyd. Hertil kommer, at kontrollen kun har et meget beskedent resultat. For eksempel giver den omfattende samkøring af oplysninger om Udbetaling Danmarks 2,7 millioner ydelsesmodtagere alene anledning til cirka 670 sager årligt om ændring af ydelser.
Myndighedernes behandling af oplysninger om ydelsesmodtagere og deres nærmeste kan således allerede nu meget vel være uforenelig med borgernes ret til privatliv og beskyttelse af personoplysninger.
Borgernes retssikkerhed
I aftalen om digitaliseringsklar lovgivning står der, at digitaliseringen af den offentlige sektor og arbejdet med digitaliseringsklar lovgivning skal ske med respekt for borgernes retssikkerhed. Det betyder blandt andet, at digitaliseringen skal bidrage til større gennemsigtighed, bedre tilgængelighed og en mere ensartet sagsbehandling.
Retssikkerhed i forholdet mellem borger og myndighed handler imidlertid i høj grad også om at sikre rigtige afgørelser og om borgernes rolle i sagsbehandlingsprocessen.
I dag er det cirka en tredjedel af de påklagede afgørelser fra kommunerne og Udbetaling Danmark, som bliver omgjort i Ankestyrelsen. Nogle af fejlene kan måske undgås med en mere digitaliseringsklar lovgivning og en automatiseret sagsbehandling. Digitaliseringen kan dog også føre til alvorlige fejl, eksempelvis fordi der ikke i tilstrækkelig grad bliver taget hensyn til borgernes særlige situation eller sagens karakter, fordi afgørelserne bygger på mangelfulde eller fejlagtige oplysninger, fordi it-systemet har tekniske fejl, eller fordi ny lovgivning eller ny praksis fra klageinstansen eller domstolene ikke er blevet implementeret. Samtidig er der en alvorlig risiko for, at særligt de mindre ressourcestærke borgere, der modtager en automatiseret afgørelse, vil være tilbageholdende med at kontakte myndigheden eller klage over afgørelsen.
Det er derfor uhyre vigtigt, at der udvises den fornødne omhu ved udvælgelsen af de områder, som skal digitaliseres, og at borgernes retssikkerhed får den højeste prioritering, når digitaliseringen går i gang. Der bør være særligt fokus på, hvordan man kan sikre den fornødne vejledning af borgerne, og at alle relevante oplysninger inddrages i sagsbehandlingsprocessen, herunder også borgernes eventuelle bemærkninger og indsigelser. Det er også afgørende, at automatiserede afgørelser har den fornødne gennemsigtighed, både for at borgeren kan vurdere, om afgørelsen bør påklages, og for at kunne sikre en reel efterprøvelse. Herudover bør det overvejes, hvordan der kan sikres en større gennemsigtighed i myndighedernes behandling af borgernes oplysninger, så borgerne får mulighed for at reagere, når der eksempelvis behandles urigtige eller vildledende oplysninger.
Henset til at nogle myndigheders behandling af personoplysninger allerede nu kan være på kant med retten til privatliv og beskyttelse af personoplysninger, bør det også overvejes, om det er forsvarligt med en så bred udvidelse af myndighedernes adgang til at viderebehandle personoplysninger i kontroløjemed. Under alle omstændigheder bør der opstilles klarere kriterier for indsamlingen og den efterfølgende behandling af borgernes oplysninger, ligesom der bør opstilles objektive kriterier for en mere målrettet kontrol, som omfatter en mindre del af befolkningen. Endelig bør det sikres, at borgerne orienteres om denne viderebehandling af deres oplysninger.
Birgitte Arent Eiriksson
Advokat i Justitia, hvor hun er projektleder på to større projekter om adgangen til effektiv domstolsprøvelse og retssikkerhed for socialt udsatte personer. Birgitte Arent Eiriksson har tidligere arbejdet i cirka 20 år på Justitsministeriets område.