fredag 1 juli 2016

Anonymitet och personlig integritet

Vi har i Europa av historiska orsaker mycket stränga direktiv och lagar gällande personuppgifter och personregister. Inom EU har man arbetat för att förenhetliga dessa direktiv på ett sätt som gör det klarare för företag och myndigheter hur persondata ska hanteras. Det nya direktivet som nu kommer att implementeras de närmaste åren berör väldigt många. Säg det företag, den myndighet eller förening som inte sitter med olika register och uppgifter om personer? I Finland har vi redan från tidigare vant oss vid stränga regler och rimliga krav, som att man i princip har rätt att få ut alla uppgifter som finns om en och att det måste finnas en registerbeskrivining om alla personregister.

Framför allt har man velat trygga människors rättigheter och kontroll över uppgifter om dem själva. Inom vetenskaplig forskning där källmaterialet är data om människor utgör har man traditionellt haft två olika strategier för hur man gått till väga med persondata efter att forskningen är slut:


  • Källmaterialet förstörs, vilket innebär att forskningen blir omständlig, dyr och ibland omöjlig att upprepa. Detta skadar både kvalitetsgranskning, trovärdighet och effektivitet.
  • Källmaterialet anonymiseras varefter det kan arkiveras och/eller publiceras. Anonymisering innebär att man ser till att det är fullt omöjligt att koppla ihop uppgifter ur materialet med enskilda personer. Alla spår ska förstöras, inga nycklar får finnas sparade. 

Även anonymiseringen försvagar materialets värde, ibland så mycket att det inte anses värt besväret. Det finns olika sätt att göra anonymisering. Ofta handlar det om att ta bort information eller göra den grovkornigare, t ex att byta hemort mot landskap eller exakt ålder mot ålderskategori. Detta gör på sitt sätt data mer koherent, men kan också göra att våra förutfattade sätt att klassificera och strukturera saker döljer relevanta faktorer. Man kan också förskjuta värden eller på annat sätt "förfalska" dem för att anonymisera data, med detta verkar inte vara väl ansett bland samhällsvetare i dag, även om jag tror att det i framtiden med data från t ex sociala medier kan vara ett adekvat sätt att skydda enskilda personers integritet. Ett problem med anonymisering är att man inte efteråt kan få tag i personen hur viktigt det än skulle vara, någonsin (tänk medicinsk forskning). I teorin, åtminstone.

I praktiken har nya metoder med gruvdrift i data möjliggjort avanonymisering, vilket gjort det mycket svårt att definiera hurdana data som är "tillräckligt" anonymiserade. Det är möjligt att anonymisering i praktiken kommit till vägs ände. De enorma mängder data som finns i dag gör det möjligt att med mycket stor sannolikhet identifiera personer. Vi borde kanske annars också se oss om efter effektivare och mera rationella sätt att hantera problemet. 

Vi kan till exempel sträva till att utnyttja pseudonymisering i stället. Då bryter man inte kontakten mellan person och data helt, men man hanterar och administrerar informationen. Man kan använda koder och nycklar till vilka man ger endast begränsad tillgång. I EU-direktivet finns också en idé om att var och en äger data om en själv, att man har rättighet att bestämma om den. MyData-initiativet utgår från samma tanke och söker tekniska lösningar och modeller för hur människor på ett enkelt sätt kunde administrera sina data, och till exempel ge tillgång till sina data. Också inom forskningen har man funderat i liknande banor. Även om principen är mycket viktig och enligt min åsikt absolut borde genomföras tekniskt, är frågan är hur mycket människor kan och orkar engagera sig i praktiken. 

Traditionellt har man också sysslat med forskning på makronivå, så kallad registerforskning, för att kunna studera samhällsfenomen såsom hälsa eller socioekonomisk utveckling. Då är individen i sig inte intressant och vid kombinerandet av olika register görs ibland pseudonymisering. Denna typ av forskning är i princip den enda då man inte behöver be om lov av alla "deltagare". Forskning finns också med i det nya direktivet, eftersom den är av stor vikt för samhället. 

Dessa forskningsdata kan man ändå sällan publicera och ytterst ligger det ett stort etiskt ansvar på både myndigheter och forskare. Medlemsstaterna åläggs i direktivet "att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv". Och nu gäller det inte bara myndigheter, utan också företag som skaffat sig mycket stora rättigheter till den data de samlar in och kan fortsätta med även enligt det nya direktivet, t ex att sälja eller ge informationen vidare. I slutändan är det syftet som avgör, att man inte får kränka någons privatliv eller intressen t ex genom att läcka eller peka på information som kan skada någon, t ex gällande hälsa eller övertygelse. Att man måste agera transparent och ärligt.

Vi har alltså lagstiftning som möjliggör forskning på känsliga material, men regleringen gällande hur människor ska informeras och hur och när tillstånd ska begäras är mycket strikta. Forskningen har ändå getts en viss särställning, som är kopplad till utbildning  hos dem som hanterar data och kontroll inom etik. I Finland har vi en ovanligt bred forskningsetisk verksamhet, som spänner över hela forskningsfältet.

Frågorna om öppenhet och personlig integritet är komplexa. Ytterst klarar vi oss ändå inte utan transparens och förtroende.

Finland går förresten i bräschen gällande My Data. I månadsskiftet augusti-september ordnas en internationell konferens i Helsingfors för intresserade.



Inga kommentarer:

Skicka en kommentar