Laveste fællesnævner

Af dagens nyheder fremgår, at forældre ikke længere kan sige nej til at der tages billeder af deres skolesøgende børn. Overskriften henviser til, at forældrenes mulighed for at give samtykke til netop dette, er blevet fjernet fra Aula.

KOMBIT, der udvikler og driver Aula, begrunder ændringen med en vejledning fra Datatilsynet ved navn Tjekliste til vuggestuer og børnehaver ved brug af billeder og video, og anfører i deres begrundelse, at brugen af billeder i skoler, efter deres opfattelse, er at sidestille med brugen i dagtilbud.

Derfor anses det også for en nødvendig del af kommunens myndighedsudøvelse, at daginstitutionen tager billeder af børnene og evt. medarbejderne for bagefter at dele dem internt med forældrene for at orientere om børnenes dagligdag.

Datatilsynet har ikke lavet nogen specifik vejledning for brug af billeder i skoler, men det er KOMBIT og KLs vurdering, at brugen af billeder i skoler er at sidestille med brugen i dagtilbud

Uddrag af KOMBIT begrundelse for at fjerne forældresamtykket

Denne sidste pointe kan der vel godt stilles spørgsmålstegn ved. Alle, der har haft børn i vuggestue og børnehave, ved, at billeder fra hverdagen i institutionen kan være nyttige, når man som forælder gerne vil “orientere sig om børnenes dagligdag”, som der står i KOMBITs begrundelse. Dette er særligt relevant fordi børn i vuggestue og børnehavealderen sjældent er kognitivt eller sprogligt i stand til at gøre detaljeret rede for, hvad dagen i institutionen er gået med. Her kan billeder fra en tur i parken eller af regnvejr på legepladsen tjene et indlysende vigtigt formål.

Dette gælder selvsagt ikke i samme omfang for skolesøgende børn, der i højere grad er i stand til selv at dele deres oplevelser med forældrene. Det er noget sværere at argumentere for, at “orientering af forældrene” er et sagligt formål, hvis man tager billeder af en ekskursion i 8. klasse.

Det kan undre, at Datatilsynets ikke forholder sig til denne forskel, og at deres kontorchef blot til DR’s artikel lakonisk konstaterer, at “Forældrene må altså forvente, at der bliver taget billeder, når deres børn er i børnehave eller skole”.

Hertil kommer, at KOMBITs reaktion er et skoleeksempel (tøhø) på gammeldags compliance-tænkning: Vi gør kun det, reglerne tvinger os til at gøre. Når reglerne ikke klart siger, at der skal gives samtykke, så fjerner vi samtykke-muligheden.

Reaktionen fra forælderen i DRs artikel indrammer det fint:

Jeg kan ikke forstå, hvorfor rettighederne til at bestemme, hvem der skal tage billeder af mit barn, skal ligge hos en skole eller institution frem for hos forældrene.

Det var tidligere sådan, at det var mig som forælder, der kunne bestemme, om billedet skulle være der eller ej. Sådan er det ikke længere

Forælder, iflg. DR’s artikel.

Hvori består mon KOMBITs dataetiske overvejelser ved at fjerne muligheden for samtykke?

Kan man måle dataetik?

I forlængelse af indlægget om målepunkter for privacy, er det et oplagt spørgsmål, hvordan man som organisation udstrækker sin forståelse af hvor godt man klarer sig, og hvordan man kan forbedre sig, til også at omfatte dataetik.

Siden 2021 har loven tilsagt, at alle større danske virksomheder skal redegøre for deres dataetiske politik. Loven giver udstrakt grad af frihed ift. udformningen af de konkrete politikker, og der stilles ingen krav om at der måles på om eller hvordan de bruges, eller på anden måde følges op på implementeringen.

Reelt er loven således bare et krav om at virksomheder skal kunne fremvise et dokument, der på en eller anden måde siger noget om dataetik. Og det vil være rimeligt at antage, at mange virksomheder har løst opgaven på nemmest mulige måde: De har lavet en politik, lagt den hjemmesiden og glemt alt om den.

Men hvis man nu er en virksomhed, der gerne vil arbejde seriøst med dataetik, er dette naturligvis utilfredsstillende.

I denne korte, men indsigtsfulde artikel beskriver Chris Wiggins hvordan man kan måle direkte på sin dataetiske indsats, men nok så vigtigt hvordan organisationer løbende bør justere deres øvrige (fx kommercielle, tekniske) målepunkter til at være i overensstemmelse med deres dataetiske principper.

Part of this monitoring will not be quantitative. Particularly since we can not know in advance every phenomenon users will experience, we can not know in advance what metrics will quantify these phenomena. To that end, data scientists and machine learning engineers must partner with or learn the skills of user experience research, giving users a voice. This can mean qualitative surveys, interviews, or other means of gathering data from users

Chris Wiggins

Så i forsøget på at forstå om vi handler dataetisk, må vi altså først og fremmest indstille os på, at vi bliver nødt til at spørge folk (dvs. medarbejdere, kunder og partnere) om deres subjektive holdning. Der er mange måder at måle på folks oplevelse af tillid til en organisation, så her er det vigtigt at man vælger sin metodik og målgrupper med omhu.

Dertil kommer muligheden for at måle på de kvantitative, transaktionelle data, en organisation producerer, når den dataetiske politik faktisk anvendes: Hvornår er den dataetiske politik sidst opdateret? Har man en dataetisk komité eller lignende? Hvor mange gange har en sådan komité mødtes? Hvor mange sager har den behandlet? Eller, hvis der ikke er en decideret komité: Hvor ofte har virksomheden truffet beslutninger på grundlag af den dataetiske politik?

Hvis man ikke har eller kan skaffe nogle transaktionelle data af ovenstående type, er det måske værd at overveje, om man bør justere sine dataetiske principper.

Your KPIs can’t conflict with your principles if you don’t have principles

Chris Wiggins

Og slutteligt kan man måle på hvor ofte man justerer øvrige målepunkter og KPI’er med henvisning til dataetiske principper. Målingen af dette kræver at man har succes med at engagere hele organisationen i arbejdet med dataetik, hvilket kan være en udfordring i sig selv, med mindre organisationen har meget høj modenhed i implementeringen af privacy og dataetik.

Det sandfærdige svar på overskriftens spørgsmål er jo nok, at det kan man ikke, entydigt. Men større organisationer kan – og bør – måle på i hvilken udstrækning de arbejder dataetisk, og om der er tillid det arbejde blandt medarbejdere, kunder og samarbejdspartnere.

Compliance, nej tak

Jeg blev for nylig inspireret af dette glimrende opslag:

https://www.linkedin.com/posts/avishaiostrin_gdpr-privacypros-privacy-activity-6904323314152800256-Nsqa

Der er mange indlysende fordele ved, at persondatabeskyttelse (og IT-sikkerhed, i øvrigt) med tiden er blevet mere juridisk reguleret. Privacy-området ville være ilde stedt uden fx ePrivacy-direktivet, GDPR og databeskyttelsesloven, og flere og flere lande over hele verden (og stater i USA) indfører da også GDPR-lignende lovgivning.

Men det har også en pris, at emnet er blevet legeplads for juranørder med hang til paragraffer og subtil tekstfortolkning. For det gør, at diskussionen om databeskyttelse nærmest udelukkende kommer til at handle om compliance, overholdelse af regler.

Jura-diskussionerne handler typisk om hvordan regler præcis fortolkes, hvorvidt reglerne er skøre eller fornuftige, og om de håndhæves korrekt eller inkonsistent. Juraen er i sin natur teknisk, og det bliver en meta-diskussion, hvor man nemt mister blik både for de mennesker, hvis data det hele handler om, og de processer, virksomheder og organisationer, der skal kunne fungere.

Ordet compliance er i sig selv med til at fastholde fokus på det rent tekniske, juridiske aspekt, da det jo i sin essens betyder at gøre som befalet. “To comply” er at adlyde eller indvilge – eller, i andre sammenhænge, at forme sig efter en udefrakommende kraft. Compliance er en aktiv handling, men passiv i den forstand at den altid er en reaktion, baseret på en udefrakommende regel eller ordre. Og compliance er i princippet ikke noget, man kan gradbøje, for enten adlyder man og overholder reglerne, eller også gør man ikke .

I modsætning hertil står dataetikken – eller, som bl.a. bibliotekarerne kalder det, informationsetik (som faktisk er et mere retvisende navn). Dataetik er netop ikke binært, ikke reaktionært, og ikke teknisk. Det handler i sidste ende om følelser, om forventninger og om at opnå den rette balance mellem forskellige hensyn. Man kan på forhånd tage principiel stilling til hvilke elementer, man vil lægge vægt på (i en dataetisk politik), men en konkret afvejning kan ikke slås efter i Karnov.

However, the fact that your research is legally permissible does not necessarily mean that it will be deemed ethical

Ethics and data protection“, notat fra EU Kommissionen, 2021

En misforståelse, jeg ofte har mødt, er at dataetik bygger ovenpå eller “kommer efter” compliance. For nogle bliver det endog til, at man først rigtig kan tillade sig at arbejde seriøst med dataetik, når man har opnået fuld compliance. Det er helt forkert, af flere grunde.

For det første opnår de færreste virksomheder og organisationer i realiteten nogensinde fuld compliance. Der vil altid være mere at gøre, for at være sikker på at leve op til reglernes bogstav – og så fald når man jo aldrig til at arbejde med dataetikken. For det andet kan der i visse tilfælde være modstrid mellem dataetik og lovgivning. Hvad reglerne siger er jo bare ét perspektiv og selvom det er undtagelsen, kan der være andre hensyn, der vejer ligeså tungt – eller tungere.

Som virksomhed eller organisation må man derfor foretage samlede, dataetiske afvejninger af sin databehandling, og naturligvis lade compliance indgå som et vigtigt perspektiv. Og oplyse og træne sine medarbejdere i hvordan de omgås data etisk ansvarligt, foruden at kende og følge love og regler, så de agerer så compliant som muligt.

Så jo jo, det er klart, compliance er vigtigt. Men det er altså hverken en erstatning eller forudsætning for dataetik, og compliance bør aldrig stå alene i arbejdet med persondata.

Troværdig løgn?

Forskning i AI og deepfake-teknologi viser, at vi mennesker har meget svært ved at skelne mellem falske og kunstigt genererede ansigter, og at kunstigt genererede ansigter faktisk kan virke mere troværdige end den ægte vare:

https://www.pnas.org/content/119/8/e2120481119

Undersøgelsen viser også, at når man bruger de nyeste teknologier kan almindelige mennesker i praksis ikke se, om personen i videoen er falsk eller ægte. Forsøgspersonerne gættede rigtigt på spørgsmålet om ægthed i ca. halvdelen af tilfældene, hvilket indikerer at der var tale om, ja, gæt.

Vi møder i begrænset omfang allerede rigtige, ægte budskaber fra troværdige afsendere kommunikeret gennem falske personer, som fx Bridget fra Bornholm. Med forskningsresultater som ovenstående må man gå ud fra, at teknologien hurtigt vil udbredes til flere og flere “alvorlige” områder, selvom meget fokus indtil nu har været på anvendelse i såkaldt “deepfake revenge porn” og satire/underholdning.

Dette rejser vigtige etiske spørgsmål, bl.a. om i hvilke tilfælde det overhovedet er legitimt at anvende teknologien, og om og i givet fald hvordan vi skal deklarere brugen af kunstige personer.