Ekspert: Sydkoreansk corona-opsporing er på kanten af dansk lov

Foto : Ing.dk

Ekspert: Sydkoreansk corona-opsporing er på kanten af dansk lov

Det er ikke i overensstemmelse med regler og GDPR at bruge persondata til kontaktopsporing, mener jurist. Individuel opsporing anvendes derudover kun i 10 procent af tilfældene i Sydkorea.

Sydkorea fremhæves af Verdenssundhedsorganisationen, WHO, som et af de bedste lande til at dæmme op for corona-smitte. Blandt de initiativer landet har foretaget, er intensiv kontaktopsporing, hvor persondata om lokation også kan indgå.

I avisen Politiken (kræver login) udtaler Hanne Marie Motzfeldt, som er jurist og lektor ved Center for Informations- og Innovationsret ved Københavns Universitet, om Sydkoreas model for smitteopsporing:

»Den overvågning, der skal til, vil være ulovlig i alle mulige andre sammenhænge. Men EU’s databeskyttelse rummer en undtagelse for lige præcis den situation, vi står i nu. Og det er med god grund.«

Jacob Mchangama fra tænketanken Justitia bakker samme sted op om princippet:

»...Øget dataindsamling kan give borgerne større frihed til at bevæge sig rundt, mødes med folk og gå på arbejde. Det kan muligvis være et bedre trade-off, der samlet set giver større frihed.«

Sydkorea: Kun individuel opsporing i 10 procent af tilfældene – med lille udbytte

Ifølge Politikens artikel er »nøglen til den sydkoreanske succes [en] omfattende overvågning af borgerne via mobiltelefonen, som muliggør en effektiv smitteopsporing.« Politiken angiver ikke specifikke kilder til dette udsagn, men henviser til Wall Street Journal, Reuters og avisen selv.

Men ifølge en peer-reviewed videnskabelig artikel med titlen ‘Response to COVID-19 in South Korea and implications for lifting stringent interventions’ i tidsskriftet BMC Medicine, der udgives af Springer-forlaget og som er udgivet i sidste måned, er det ikke tilfældet. Her skrives der om Sydkoreas opsporing:

»Individuel case-baseret kontaktopsporing udgør kun 10 procent af sagerne og tegner sig for en relativt lille del af det samlede antal sager, mens klynge-opsporing tegnede sig for 66 procent.«

Sydkorea har blandt andet anvendt massive målrettede tests af hospitaler og lokalmiljøer, skriver forskerne.

Forsigtighed er nødvendig i forsøget på at replikere den sydkoreanske respons i befolkninger med større og mere geografisk udbredte epidemier, hvor det kan være vanskeligere at finde, teste og isolere tilfælde, der er knyttet til klynger, lyder konklusionen.

Opsporing kan have vidtrækkende konsekvenser

Jurist Birgitte Kofod Olsen, som er medstifter af og forperson for tænketanken Dataethics, er ikke enig med Hanne Marie Motzfeldt og Jacob Mchangamas synspunkter, som de gengives i Politikens artikel.

Hun mener, at de to overser et helt afgørende forhold:

»Kravet om proportionalitet, som vi har et meget tydeligt krav til i GDPR. Motzfeldt henviser til, at GDPR rummer muligheden for, at man kan indsamle data om befolkningen som led i bekæmpelsen af covid-19, og det er også rigtigt, og det er kommet som en udmelding fra det europæiske databeskyttelsesråd.«

Men der er forskel på at sige, at myndighederne kan indsamle oplysninger for at få styr på smitten, og så til at sige: Og derfor må vi gerne indsamle oplysninger om hele befolkningen og kende deres bevægemønstre, hvem de mødes med, hvornår de gør det, og hvor de går rundt:

»Der kommer mange supplerende oplysninger ud af indsamlingen, nemlig hvilke miljøer jeg kommer i, og hvilke mennesker jeg omgås. Eksemplet fra Sydkorea i Politikens artikel er meget godt: Man kan se, at nogle personer frekventerer bestemte barer, bl.a. en LGBT-bar. Der er stor risiko for, at sådanne oplysninger om vores præferencer og vaner kommer ud på den ene eller anden måde.«

Det har vidtrækkende konsekvenser, når man begynder at registrere bevægelser og opholdssteder på en hel befolkning, påpeger Birgitte Kofod Olsen.

»Der er efterhånden flere domme fra EU-Domstolen, der fastslår, at det kan man altså ikke, og samtidig opfylde proportionalitetsprincippet. Jeg synes, at man skal tage med i overvejelserne, hvor mange af oplysningerne det er nødvendigt at indsamle, og om de behøver at være på personniveau. Man må også forholde sig til sikkerheden: Hvor må oplysningerne ligge? Hvem må have adgang til dem? Hvem må de videregives til? Der er en hel masse ting, som ikke er klare i Sydkoreas ordning, set udefra.«

Skal passe på ved dansk it-sikkerhedsniveau

Men det hun hæfter sig mest ved, er, at personoplysningerne i Sydkorea er lækket til medierne, og det har haft personlige konsekvenser for nogle af borgerne, som i Politikens eksempel med LGBT-baren, hvor sydkoreanske borgere ifølge avisen blev udstillet med alder, køn, lokation, bevægelser og en beskrivelse af vedkommendes arbejde, i lokalmedier.

»Med det it-sikkerhedsniveau, vi har i Danmark, som ikke er voldsomt imponerende, hverken i den offentlige eller private sektor, hvis vi ser på den kritik, der kommer fra Datatilsynet og Rigsrevisionen, så skal vi passe på med at samle så mange oplysninger om borgernes privatliv.«

Birgitte Kofod Olsen mener dog ikke nødvendigvis, at den personlige dataindsamling er direkte ulovlig.

»Jeg vil hellere sige, at Hanne Marie Motzfeldt og Jacob Mchangama overser kravet om proportionalitet. Derudover synes jeg, hvis vi går op på en højere klinge og siger: Privatlivsbeskyttelse og persondatabeskyttelse er det, der gør det muligt for os at bruge vores øvrige rettigheder, som forsamlingsfrihed og ytringsfrihed, blandt andet.«

Hun forsætter:

»Man kalder på engelsk retten til respekt for privatliv en 'enabling right', og det anses derfor som helt fundamentalt for livet i et demokratisk samfund, at vi ikke har en stat, der kigger med ind i vores private sfære. Hvis man gjorde som i Sydkorea, ville det hæmme vores frihed til at forsamles og være sammen med dem, vi har lyst til at være sammen med. Så derfor har det vidtrækkende konsekvenser, også for vores andre frihedsrettigheder, hvis vi indfører sådan en form for overvågning.«

Lektor: Alle borgeres grundlæggende rettigheder indgår i afvejning

Hanne Marie Motzfeldt mener, at Birgitte Kofod Olsen på den ene side har ret og på den anden side tager fejl:

»Det er korrekt, at der er en proportionalitetsvurdering, der skal med. Vi er imidlertid efter min opfattelse pænt inden for statens manøvrerum i forhold til det meget centrale aspekt af proportionalitetsvurderingen, som i hvert fald jeg beskæftiger mig med,« skriver hun i en e-mail til DataTech.

Alle borgernes grundlæggende rettigheder og øvrige interesser må og skal indgå i afvejningen i forhold til, hvilke data smitteopsporingsenhederne kan gives adgang til, og især om de oplyste nære kontakter er blevet testet, mener Hanne Marie Motzfeldt.

»Det er en fast del af en proportionalitetsvurdering, at man skal inddrage ‘rettighedssammenstød’ og dermed samlet opnå det mindst mulige samlede indgreb i alle de påvirkede rettigheder. Ikke alle rettigheder drejer sig om privatliv og data, og retten til beskyttelse af privatliv og databeskyttelse står ikke over de andre grundlæggende rettigheder og hensynet til at begrænse pandemien.«

Prøv DataTech gratis

DataTech giver dig ny viden, cases og erfaringer med at lykkes med AI og data science i praksis. Få 3 ugers gratis og uforpligtende prøveabonnement

Klik her