Ekspertvurdering af KL’s digitaliseringspolitik 2022: Der skal mere til (Danish) (Copy)

Skrevet af Christina J. Colclough, PhD, grundlægger af The Why Not Lab. Publiceret 27. februar 2024

Kommunernes Landsforening har den 23. maj 2022 udgivet deres Digitaliseringspolitik. Den er et skridt på vejen, men som med strategien fra Digitaliseringsstyrelsen er den simpelthen ikke nytænkende eller dybdetænkende nok. Den er heller ikke fremtidssikret. Her er mine kommentarer i nogenlunde vilkårlig rækkefølge

Ikke et eneste sted nævnes der i politikken, at de digitale systemer der anvendes skal løbende forvaltes (styres), og at dette skal gøres i samarbejde med relevante borgergrupper og medarbejdere. Det er en iøjnefaldende mangel. Rundt omkring i Danmark, Europe og verdenen har digitale systemer haft meget skadelige effekter på borgere og ansatte. I Holland måtte regeringen gå af, da algoritmer der skulle spotte snyd med børnepengene viste sig at diskriminere mod ikke-etniske hollændere. I Danmark har en fejl i et algoritmisk system betydet at 513 hjertepatienter kan have risikeret at være blevet opereret unødigt. I England har algoritmiske systemer konsekvent givet børn fra fattigere områder lavere karakter end børn fra mere velstående områder. Eksemplerne er mange - denne database over fejl i digitale systemer giver god anledning til panderynk. Det er derfor en seriøs bekymring at KL enten ikke kender til disse mange tilfælde, eller ikke forstår vigtigheden af at digitale systemer skal løbende styres, så (u)tilsigtede skader rettidigt ses, rettes og undgås.

Ikke et eneste sted nævnes der i politikken, at de digitale systemer der anvendes skal løbende forvaltes (styres), og at dette skal gøres i samarbejde med relevante borgergrupper og medarbejdere.

KL's teknologitænketank anbefaler godt nok at kommunerne skal "tænk i samarbejde og borgerinddragelse, når i udvikler digitale løsninger." Det er altså ikke nok at borgerne (og om vi må tilføje 'relevante medarbejdere') inddrages i udviklingsfasen. De skal i den grad inddrages i den ovenfor omtalte løbende evaluering (styring) af de implementerede systemer.

Selvom vigtigheden af borgernes tillid nævnes flere gange, indeholder politikken ikke nogle klare mål hvad angår transparens. Borgernes tillid afhænger direkte af at de a. ved hvad deres data bliver brugt til, b. ved hvilke data der bruges, c. hvad deres klagemuligheder er, d. hvem de skal henvende sig til i kommunen, e. hvilke systemer der anvender disse data, til hvilket formål, f. hvem der har udviklet systemet, og g. systemudviklerens rettigheder til at gøre brug af data til andet formål og meget mere. Det ville have været ønskværdigt at KL havde inkluderet transparens krav i deres digitaliseringspolitik.

I indsatsområde 5 står der under "Fremtiden skal bygges på det fælleskommunale IT-fundament" at kommunerne skal "Undgå leverandørafhængighed". Det er såmænd en rigtig god ide, at det er kommunerne selv, der udvikler deres løsninger. Men alt peger just nu på at langt de fleste systemer bliver udviklet af tredje part. Kompetencerne i det offentlige skal i den grad øges for at kommunerne selv kan udvikle og forbedre deres systemer.

Selvom vigtigheden af borgernes tillid nævnes flere gange, indeholder politikken ikke nogle klare mål hvad angår transparens.

Under punkt 2: Bedre Service står der ganske rigtigt at: "kommunerne hver gang skal vurdere om tilbuddet til borgerne skal og kan være digitalt". Dette er det eneste sted man kan ane forsigtighedsprincippet i hele politikken. I det hele taget læses den som om 1. det digitale er uundgåelig, og 2. nødvendig, og 3. ønskværdig. Alle 3 antagelser uden rette styring af disse systemer kan, og allerede har, ledt til utilsigtede og often skadelige indvirkninger på borgerne og de ansatte. Det havde klædt KL at antage dataminimeringsprincippet fra GDPR:

“The principle of ‘data minimisation’ means that a data controller should limit the collection of personal information to what is directly relevant and necessary to accomplish a specified purpose. They should also retain the data only for as long as is necessary to fulfil that purpose. In other words, data controllers should collect only the personal data they really need, and should keep it only for as long as they need it.” — EDPS

Hvad angår kompetencer nævnes "Derfor er det vigtigt, at nye teknologier bliver bredt forankret, og at medarbejderne har kompetencer til og mod på at bruge dem." At selvsamme medarbejdere skal have rette kompetencer til kritisk at styre og forvalte systemerne fra et rettighedsperspektiv og for at sikre at borgerrettigheder ikke overtrædes eller skades nævnes ej. Igen, dette er en alvorlig mangel i politikken. Hvis ikke medarbejderne i kommunerne ved hvordan og hvorfor de skal forvalte/styre systemerne og ej hellere hvem de skal henvende sig til hvis de mistænker eller iagttager skævheder i systemet, hvem skal så?

Dette handler ikke om værdi, eller om ressourcer, men om rettigheder.

Kommunerne skal også: "Bruge data som en værdiskabende ressource". Og videre at "Der er behov for at rydde alle sten af vejen for at kunne dele data, der hvor det gavner borgerne." Her kunne det være interessant at dykke ned i ordvalget "værdi" og "resource". Og hvem bestemmer egentligt hvad "der er til gavn for borgerne"? Mine personlige data er altså ikke en vare der kan ændres, handles med og sælges igen med gevinst (læs: merværdi) som mål. Mine data skal ses i et menneskerettighedsperspektiv, og de burde varetages i det lys. Dette handler ikke om værdi, eller om ressourcer, men om rettigheder. Det er derfor bekymrende at politikken fra KL indeholder ønsket om at:

“Kommunerne og KL skal fortsat arbejde målrettet i både fælleskommunalt og fællesoffentligt regi for at bruge data klogt og sikre koordinering på tværs for borgeren. Det skal lovgivning støtte op om og ikke spænde ben for”

Hvis data skal deles mellem kommuner, skal det kun kunne lade sig gøre hvis borgeren frit og eksplicit har givet tilsagn om det. Der er gode erfaringer og praksis i Estland's data tracker system, der giver borgere mulighed for at se hvilken offentlig myndighed har tilgået borgernes data og hvorfor. Igen, transparens kunne løftes meget mere frem i politikken fra KL.

…kommunerne kunne gå forrest i at anvende decentrale servers, differentieret databeskyttelse … eller lignende systemer

Og endeligt, der er virkelig intet nyt i hele KL's politik. Borgernes tillid kan ikke vindes eller vedligeholdes ved små lappeløsninger på et system, der gentagne gange har vist sig at slå fejl. Selvom etik eller 'etisk' nævnes nogle gange, så går politikken slet ikke i dybden med hvordan denne etik skal formuleres, fortolkes og egentligt efterleves. Igen skal "styringsmekanismer" der er inklusive med i denne politik for at den overhovedet kan påberåbe sig etik. Men derudover savner jeg visioner for hvordan kommunerne kunne gå forrest i at anvende decentrale servers, differentieret databeskyttelse (engelsk: differential privacy) eller lignende systemer, mere demokratisk borgerinddragelse, data som et kollektivt gode, data trusts og meget mere.

Med andre ord, der skal simpelthen mere til hvis denne politik skal anses som visionære. Det er den ikke, og det er i sig dybt bekymrende.