Datorers betydelse och konsekvenser

Observera att dokumentet är inskannat och fel kan förekomma.

Motion till riksdagen

av Anders Björck m.fl. (m)

Datorers betydelse och konsekvenser

Mot
1988/89
K442-445

1. Inledning

Den moderna informationsteknologin erbjuder fascinerande möjligheter.
Kvalificerade matematiska beräkningar kan göras med ett fickminne. En
portabel ordbehandlare kan via telefon sända färdig redigerad text rakt in i
ett sätteri. Gigantiska mängder information kan lagras i en persondator.
Elektroniken och datoriseringen förändrar inom varje samhällsområde
förutsättningarna för människors dagliga verksamhet.

Det är inte främst möjligheten att lagra stora mängder information som har
den största förändringskraften utan de avancerade möjligheterna till att
sprida och hantera informationen i näst intill oändliga former. Rätt
information kan sökas och finnas vid rätt tillfälle ur ett flöde av information
som är universellt. Den intressanta informationen kan spridas och nå dem
som behöver den.

Den moderna informationsteknologin sätter därför den enskilde i ett
centrum av den tillgängliga informationen, ett centrum som inte bara är
oberoende av hans geografiska placering utan också av hans placering i en
viss hierarkisk struktur.

I ett samhälle där information inte längre är en bristvara utan något som
finns i överskott undergrävs alltmer centralistiska idéer vare sig de präglat
organisationer, företag eller politiska system.

Det är behovet av samordnad verklighetssyn och kvalificerad information
som motiverar till centralisering av beslut och ansvar. I ett samhälle där
informationen inte ens behöver spridas utan redan i ett visst givet utgångsläge
kan sägas finnas hos den enskilde - eller det i alla fall är på den enskildes
initiativ som informationen kan sökas - faller ett viktigt skäl för centraliserat
beslutsfattande bort. Därmed minskar också behovet att samla information i
stora centrala register.

Det är betydande krafter som kan utvecklas i takt med att vårt samhälle i
allt högre grad präglas av den moderna informationsteknologin.

- Nyföretagandets möjligheter ökar. Det blir lättare att se de olika
möjligheter som finns till företagande. Möjligheterna att nå mer begränsade
nischer av efterfrågan ger tillsammans med den datorstyrda produktionens
möjligheter att tillverka små upplagor i långa serier entreprenörer
bättre förutsättningar och överblick än någonsin. Det lilla företaget kan
genom sin datorisering vinna de administrativa skalfördelare som tidigare
enbart stora företag kunnat utnyttja.

1 Riksdagen 1988/89.3 sami. Nr K442-445

- Kombinationen av nyföretagandets möjligheter, ett växande tjänstebe- Mot. 1988/89

hov som följer i informationssamhällets spår och kravet på kvalitativ K442

anpassning av varor och tjänster kräver större insatser från den enskilde

och ger ett spektrum av nya och växande sysselsättningsmöjligheter.

- Datoriseringen ger framförallt en möjlighet att utveckla den kvalitativa
dimensionen i produkter, tjänster och i vårt arbetsliv, samtidigt med att
nya syselsättningsmöjligheter därmed öppnar sig.

- Förmågan att hantera och förmedla information och därmed kunskaper,
ger skolan nya möjligheter, samtidigt som datoriseringen av tjänstesamhället
ställer än mer varierade krav på kunskaper och kompetens.

- Den moderna informationsteknologin samlar inte bara våra befintliga
kunskaper på ett lätttillgängligt sätt utan kan också medverka till att höja
samhällets totala kunskapsnivå och individens kunskapsutnyttjande.

Inom forskning, massmedia och i den offentliga debatten tillför datateknologin
en ny dimension.

- Medborgarnas förutsättningar att kontrollera myndigheternas maktutövning
kan genom den nya informationsteknologin öka samtidigt som det
finns större skäl än tidigare att av myndigheterna kräva effektivitet,
produktivitet och ett tillmötesgående gentemot den enskilde medborgarens
önskemål.

Det ligger i sakens egen natur att en utveckling som inom varje samhällssektor
erbjuder medborgarna varierande möjligheter till information och
utveckling inte kan administreras fram. Den moderna informationsteknologins
användning bygger på kunskap, kreativitet och anpassning till de
enskilda människorna som använder den. Av samma skäl som den verkar
decentraliserande, kan man inte med centrala beslut styra och utveckla den
om den ska utvecklas till människornas bästa.

Det är därför viktigt att slå fast att det som Sverige idag behöver inte är en
”datapolitik” som med centrala och generella värderingar av tekniken som
sådan söker föra frågan om teknikens användning samman under en
samhällsövergripande politik.

Ny teknik väcker alltid oro hos en del människor. Fruktan för förändringens
eventuella negativa sidor ställer ibland krav på kontroll som kan leda til!
att utvecklingens möjligheter försummas.

I ett land som Sverige med västvärldens mest omfattande offentliga sektor
är risken för detta betydande. Datatekniken ses av vissa snarare som ett
medel för kollektivets kontroll och planering av samhället, än som ett medel
för att stärka medborgarnas möjligheter att både kunna kontrollera den
offentliga makten och utnyttja ett ökat växande utrymme för den egna
kreativiteten.

Detta har gett Sverige en i vissa delar bakvänd politik i frågor som rört
datateknikens användning. I stället för att stifta lagar till skydd för den
enskildes rättssäkerhet och integritet, har statsmakterna inte bara utnyttjat
datatekniken till att ytterligare utvidga ett redan omfattande uppgiftsinsamlande
och registrerande utan också till att underblåsa en föreställning om att
det åvilar statsmakterna att planera för datoranvändandet i det svenska
samhället. Datatekniken har snarare använts för centralisering än för det
decentraliserade och öppna samhälle den ger möjlighet till. 2

Det finns betydande skäl att vända sig emot en sådan uteckling. Statsmak- Mot. 1988/89
ternas uppgift bör primärt vara att tillse att ny teknik - det må vara såväl K442
datorteknik som annan ny teknik - inte inkräktar på medborgarnas rätt till
liv, egendom eller integritet. Det är huvudsakligen inom dessa områden som
vi i denna motion för fram konkreta krav på förändringar.

2. Offentlighetsprincipen och sekretessen

En begränsning av medborgarnas tillgång till allmänna handlingar till följd av
myndigheternas ADB-användning kan inte accepteras. Detta skulle, i vart
fall i ett längre perspektiv, t.ex. kunna innebära en risk för att myndigheterna
korrumperas på det sätt som kan förekomma i andra samhällen. Det skulle
också kunna få negativa effekter för den fria samhällsdebatten. En utvidgad
offentlighet till följd av datoriseringen medför emellertid integritetsrisker
både för individer och företag och för vår nation som sådan.

Gällande rätt på offentlighetens område innebär att myndigheterna är
skyldiga att tillhandahålla även sådana s.k. ”potentiella handlingar” som
myndigheterna inte själva behöver i sin myndighetsutövning, och som aldrig
ingått i en viss myndighets beslutsunderlag. Myndigheterna anses t.o.m.
skyldiga att som ett utflöde av handlingsoffentligheten göra sammanställningar
med nya program eller bearbeta sina databaser med program som den
enskilde själv tillhandahåller. Data- och offentlighetskommittén hade i sina
direktiv i uppdrag att utreda det offentliga handlingsbegreppets tillämpning
på ADB-baserade handlingar. Utredningen skulle inom ramen för detta
uppdrag också pröva frågan om någon precisering av hartdlingsbegreppet var
möjlig att göra.

DOK har i sitt slutbetänkande inte kunnat lämna något sådant förslag.

Svårigheten att göra den typen av precisering av handlingsbegreppet, för att
skapa förutsebarhet, visade sig vara så pass stor att det inte kunde göras utan
att offentlighetprincipen i praktiken inskränktes. Det hade kunnat leda till
att uppgifter och sammanställningar som var tillgängliga för myndigheten
hade undantagits från den enskilde medborgarens insyn.

DOK hänvisar istället till två domar som regeringsrätten avkunnade under
1988.1 dessa domar fastställde man att en myndighet inte har skyldighet att ta
fram handlingar som förutsätter ett program som den enskilde tillhandahåller.
Detta är i sig en viktig precisering men den innebär likväl att
handlingsbegreppet kommer att töjas av den tekniska utvecklingen i takt
med att myndigheten själv utvecklar nya program.

Det är mot denna bakgrund angeläget att skapa en ökad förutsebarhet vad
gäller innehållet i ADB-baserade offentliga handlingar genom att hårdare än
i dag knyta myndigheternas ADB-hantering till ändamålet för de insamlade
uppgifterna.Detta kan ske på följande sätt

- genom registerlagar kan de enskilda myndigheternas ADB-register och
ADB-hantering regleras. Genom att myndighetens ADB-hantering i lag
preciseras till myndighetsutövningen begränsas myndighetens möjlighet
att sammanställa nya handlingar. Denna begränsning gäller givetvis mot
den enskilde om den också gäller gentemot myndigheten.

1* Riksdagen 1988189.3 sami. NrK442-445

- datainspektionen bör genom föreskrifter reglera vilka handlingar och Mot. 1988/89
samkörningar som en myndighet får göra. Dessa föreskrifter kan K442
komplettera registerlagar, eller i vissa fall ersätta dem.

- insamlade uppgifter skall användas av den myndighet som insamlat dem.
Ändamålsknytningen bör leda till att utbytet av information mellan
myndigheter begränsas. Sekretesslagen bör skärpas i detta avseende.

Myndigheter bör som princip själva samla in de uppgifter de behöver för
sin myndighetsutövning i stället för att använda sig av den offentlighetsprincip
som skall vara medborgarnas möjlighet att kontrollera myndigheterna.

Det finns enligt vår mening starka skäl för att en myndighet skall inhämta
personuppgifter direkt från den enskilde och inte från andra myndigheter.

Detta bör framgå i berörda myndigheters instruktioner. Vad som här anförts
angående en mer precis knytning av myndigheters dataanvändning till den
egna myndighetsutövningen och ändamålet med insamlade personuppgifter
bör riksdagen som sin mening ge regeringen till känna.

Det finns utöver detta anledning att diskutera formerna för hur sekretessbelagd
information på data skyddas samt under vilka former sekretessbelagd
information lämnas ut.

De tekniska möjligheterna till intrång ger anledning till oro. Vid ett antal
olika fall har det funnits anledning att rikta kritik mot vissa myndigheters sätt
att hantera sekretesslagen, när de lämnar ut sekretessbelagda uppgifter till
olika register.

Hälso- och sjukvårdssekretessen ställer krav på en menbedömning för
varje person som man lämnar ut uppgifter om. Detta sker uppenbarligen inte
i de fall då stora informationsmängder överföres från ett register till ett
annat.

Den mest uppseendeväckande nonchalansen av de krav som sekretesslagen
ställer är den uppgiftslämning som idag sker till socialstyrelsens
forsknings- och statistikregister från landstingen. Sedan data- och offentlighetskommittén
i sitt betänkande SOU 1986:24 påtalat att den uppgiftsöverföring
det här gäller inte är förenlig med sekretesslagen, har inget skett från
vare sig regeringens eller myndigheternas sida.

Detta förhållande är oacceptabelt. Uppgiftslämnandet inom och mellan
hälso- och sjukvårdens olika myndigheter måste följa gällande sekretesslag.

Regeringen bör därför omgående ta initiativ till nya informationsrutiner
mellan socialstyrelsen och sjukvårdens olika myndigheter. En förutsättning
för centrala register av det slag det här gäller bör vara att de har stöd i en
särskild registerlag. P.g.a. den tid som förflutit sedan det klargjordes att
delar av landstingens uppgiftslämnande till socialstyrelsen inte är förenligt
med sekretesslagen är det nu nödvändigt att detta arbete sker skyndsamt.

Riksdagen bör ge regeringen till känna vad som här anförts.

Den bristande överensstämmelsen mellan sekretesslag och tillämpning i
detta fall - där verksamheten är organiserad och noga planlagd och utredd ger
anledning att misstänka att en bristande överensstämmelse föreligger
även i andra fall, där bedömningen görs från fall till fall i en betydligt svårare
beslutssituation i det vardagliga arbetet.

Regeringen bör ta initiativ till en översyn av hur svenska myndigheter

tillämpar sekretesslagstiftningen. Det finns två viktiga skäl till detta. Dels Mot. 1988/89
skulle en sådan översyn leda till en bättre tillämpning, dels skulle regering K442
och riksdag få en bättre bild av hur den sekretess fungerar som ibland är en
förutsättning för inrättandet av vissa datasystem. Vad som här sagts om en
översyn av myndigheternas tillämpning av sekretesslagstiftningen bör riksdagen
som sin mening ge regeringen till känna.

Det finns emellertid ytterligare ett annat problem som följer av kommunikationen
i stora datasystem och sekretessbelagda informationer.

Risken för att hemliga uppgifter kan tappas ur olika dataregister kommer
troligtvis aldrig att kunna förebyggas helt samtidigt som vissa register måste
finnas till. Frågan om kryptering av sådan känslig information är därvid av
stort intresse. Inom statistiska centralbyrån har man arbetat med att utveckla
olika "säkra” krypteringsmetoder.

Enligt vår mening är emellertid säker och trovärdig kryptering endast en
metod för bättre säkerhet. Kryptering kan därför inte användas som
argument för inrättandet av fler register och insamlande av fler uppgifter.

Däremot bör sådana metoder användas när de kan ge större säkerhet åt
information som finns insamlad i befintliga register. Det bör inte nödvändigtvis
gälla enbart forsknings- och statistikregister. Ett alternativ till kryptering
är utgaliring av känsliga uppgifter efter en viss tid eller när myndigheten inte
längre behöver uppgiften i sådana verksamheter som inte främst rör
traditionell myndighetsutövning utan där den enskilde snarare står i ett slags
kundförhållande till myndigheten. Den typen av register bör i görligaste mån
avidentifieras när så är möjligt. Ett exempel på denna typ av register är
biblioteksverksamheten. Utlåningsregister bör sekretessbeläggas och gallras
kontinuerligt.

Ytterligare ett alternativ för att skydda känsliga personuppgifter är att den
enskilde bär dem med sig. Inte minst inom sjukvården skulle detta kunna
vara ett alternativ med hjälp av s.k. "smärt cards”. Ett förfarande där sådana
elektroniska kort blir bärare av vissa patientuppgifter skulle kunna kombineras
med datasystem som är decentraliserade för varje sjukvårdsklinik.

Genom ett sådant system skulle de som är närmast berörda i vården av en
patient - patienten och den aktuella kliniken - ha en kontroll över
patientjournalens uppgifter. Samtidigt skulle man genom ett system med
elektronisk post - men med beaktande av sekretesslagens krav - möjliggöra
överföring av information till och från kliniker.

Genom att ansvaret och kontrollen av journaluppgifterna ligger hos dem
som inför patienten är ansvariga för vården, skapas ett stort förtroende för
hur uppgifterna hanteras samtidigt som möjligheterna till forskning inte
påverkas. Det borde vara angeläget för sjukvårdshuvudmännen och andra
vårdgivare att utreda förutsättningarna för hanterande av patientjournaler
med hjälp av "smärt cards” eller lokala datasystem.

Formerna för uppgiftslämnandet enligt sekretesslagen lämnar ur den
enskildes perspektiv mycket övrigt att önska. Beslut om utgiftslämnande
fattas av myndigheten utan möjlighet för den registrerade - som lämnat
uppgifter i tron att dessa skall stanna hos myndigheten - att reagera. Det
finns därför anledning att överväga dels en underrättelse till den registrerade,
dels en besvärsrätt, så att prövning kan ske av annan instans än den

utlämnande myndigheten. Vad som i frågan om underrättelse till enskild och Mot. 1988/89
besvärsrätt anförts bör ges regeringen till känna. K442

3. Datalagen räcker inte!

Den nuvarande datalagen trädde i kraft 1973. Den är avsedd att vara ett
skydd gentemot otillbörliga intrång i den enskildes integritet vad avser
ADB-baserade personregister. Lagen slår bl.a. fast vad gäller begreppet
otillbörligt intrång att inställningen som föreligger, eller kan antas föreligga,
hos dem som kan registreras skall beaktas vid bedömningen av vad som är
otillbörligt intrång.

Den svenska datalagstiftningen bygger i grunden på att det allmänna anses
ha en rätt att insamla information om den enskilde och lagra samt sprida
denna information på det sätt som det allmänna anser vara i den enskildes
eller i det allmännas intresse Den enskildes integritetsskydd bygger på
principen att ett offentligt organ - datainspektionen - slår vakt om den
enskildes intresse och uttolkar vad som är att betrakta som otillbörligt
intrång.

Denna lagstiftning skiljer sig från en lagstiftningssyn som bygger på att den
enskilde ges en rätt att själv avgöra hur personliga uppgifter skall hanteras.
Denna syn har i stället kommit att dominera internationell debatt om t ex
forskningens tillgång på känslig information. Informerat samtycke har som
begrepp sina rötter i en rättighetsbaserad integritetssyn som skiljer sig från
den i Sverige dominerande.

Den oro och den debatt som präglat diskussionen om dataanvändning har
inte bara sin grund i att det i Sverige finns många centrala datasystem utan
också i att den enskilde faktiskt inte har någon annan rätt som han själv kan
utöva annat än rätten till s.k. §10-utdrag. Det skydd datalagen ger den
enskildes integritet har i praktiken genom utvecklingen mot allt fler stora
register och en alltmer omfattande offentlig registrering försvagats i sådan
omfattning att den inte fungerar som ett skydd för den enskildes integritet
längre.

Den kanadensiske rättshistorikern David Flaherty, som är en erkänd
internationell auktoritet i frågor som rör personlig integritet, ger följande
bild: ”Sverige har sannolikt fler och innehållsrikare databaser än något annat
land. Och lika viktigt: Informationen flödar mellan databaserna. Utbytet av
personuppgifter mellan den offentliga sektorn och den privata sektorn är
större i Sverige och Norge än i några andra länder.”

Och han fortsätter: ”Såvitt jag förstår finns det ingen som helst möjlighet
för en svensk medborgare att undkomma detta registrerande och detta
uppgiftsflöde. Varken inom den privata eller den offentliga sektorn. Och
därför är Sverige det bästa exemplet på ett modernt kontrollsamhälle.”

Datalagens bristande förmåga att ge ett skydd för den enskildes integritet
leder till att utrymmet för den enskildes integritet och personliga sfär steg för
steg blir allt mindre. Myndigheternas kunskaper om den enskildes privatliv
är redan i dag större i Sverige än i något annat land. Orsaken till detta är att
den normale medborgaren för den större och den viktigare delen av sin
välfärd är beroende av den offentliga sektorns utformning och dess fördelning
av välfärden.

Enligt datainspektionens bedömningar uppgår det totala antalet personre- Mot. 1988/89
gister i kommunal regi till 8 000. Dessa register innehåller till en mycket stor K442

del integritetskänsliga uppgifter.

Landets socialnämnder har t ex 1 500 register, skolstyrelserna 1 200. Det
handlar om inkomster, förmögenheter, sociala problem, flyktingars förhållanden,
elevers betyg och mycket mer. Landstingen har register för
sjukvården, omsorgsverksamheten och tandvården. Syftena är administration,
den medicinska vården eller omsorgen som sådan samt forskning,
planering och statistik.

Av allt att döma kommer personregistreringen på bara det landstingskommunal
och kommunala området att expandera kraftigt. Under perioden 1/7
1987 till mars 1988 fick datainspektionen 170 ansökningar om tillståndspliktiga
register. Det gäller alltså här register som innehåller uppgifter som enligt
datalagen är att anse som integritetskänsliga.

Datainspektionen konstaterar i sin redovisning av tillsynsprojektet ”Personregister
i kommuner och landstingskommuner 1987” att detta motsvarar
en årlig tillväxt av 210 integritetskänsliga register i landet.

Detta är dock bara en del av den offentliga registeruppbyggnaden. En lång
rad olika centrala register är under uppbyggnad eller drift.

- för något år sedan lagstiftades om kronofogdemyndigheternas utsökningsregister,
som ger terminalåtgång över hela landet med ett delat
registeransvar mellan riksskatteverket och de enskilda kronofogdemyndigheterna

- fritidsbåtsregistret har nyligen till dyra kostnader - som överstiger
intäkterna - tagits i drift

- socialstyrelsens centrala slutenvårdsregister för hela riket väntar på ett
klartecken

- inom riksförsäkringsverket driver man på för att få ta i bruk ett
yrkesregister över hela befolkningen

- starka krafter är i gång för att tillskapa ett lägenhetsregister över
befolkningen inom ramen för centralnämnden för fastighetsdata. Avsikten
är att folkbokföringen i fortsättningen ska kunna föras på lägenhet

- inom landstingssidan är en uppbyggnad av patientadministrativa register
på gång, vilka i många fall medför att journaluppgifter inte längre står
under den enskilda klinikens kontroll.

Inom i stort sett varje samhällssektor är centrala register under fortsatt
uppbyggnad. Det sker utifrån en situation där vi i Sverige redan i dag torde ha
världens mest omfattande personregistrering:

- rättsväsendet har ett omfattande rättsinformationssystem, som bland
annat innefattar databehandling av domar och beslut i brottmål, uppgifter
om misstänkta för brott

- polisväsendet har numera bland annat polisens förspaningsregister

- inom försvaret finns register för inskrivning och redovisning av värnpliktig
personal

- vid våra universitet och högskolor finns bland annat ett system för
studiedokumentation, statistik och lokal antagning, STUDOK, som
liksom STIS (studiestödets informationssystem) innehåller uppgifter i

betydande uppfattning om de studerande 7

- statens person- och adressregister (SPAR) innehåller 22 olika uppgifter Mot. 1988/89
förutom namn och innefattar i princip landets alla medborgare. Registret K442

har som ändamål att så mycket som möjligt sprida personuppgifter som
kommit in som en följd av olika myndigheters verksamhet. Registret finns
nämligen enbart för kommersiella syften.

- inom den allmänna försäkringen finns hos riksförsäkringsverket register
för bidrag, pensioner och sjukförsäkring. På grund av de olika bidragssystemens
komplexitet finns en betydande mängd uppgifter registrerade.

Från dessa register lämnas kontinuerligt uppgifter genom ADB bl.a. till:

arbetsmarknadsstyrelsen, Bankgirocentralen, bostadsstyrelsen, centrala studiestödsnämnden,
civilförsvarsstyrelsen, DAFA, Kommun-Data Aktiebolag,
kommuner och landsting, Kommunernas pensionsanstalt, kriminalvårdsstyrelsen,
skattemyndigheter, socialförvaltningar och ett 20-tal andra
myndigheter och organisationer.

Det finns förutom de här angivna registren ett ytterligare stort antal andra.

I mycket stor utsträckning bygger de på att uppgifter förs från ett register till
ett annat. De bildar därmed ett nästintill oöverskådligt nätverk som för den
enskilde är i det närmaste ogenomträngligt. Statens försäljning av personuppgifter
ökar spridningen av dessa uppgifter, som ursprungligen insamlats
för helt andra ändamål.

Registrens syfte är framförallt kontroll

Syftet med alla dessa register, och de informationssystem som de i olika
konstellationer skapar, är i huvudsak kontroll och administration. I betydande
utsträckning används de också för att bygga upp forsknings- och
statistikregister.

Inom SCB finns till exempel många olika personregister för statistik och
forskning. Det gäller undersökningen om levnadsförhållanden (ULF),
register om skatter och inkomster, förmögenheter eller utbildningsnivåer.

De regelbundna folk- och bostadsräkningarna finns också med som en viktig
del i uppbyggnaden av statistikregister.

Felaktig föreställning

Listan på register kan göras betydligt längre. Det finns emellertid inget ont
uppsåt i alla dessa register som definitionsmässigt skadar den enskildes
integritet. I de allra flesta fall leder de till att en nödvändig hantering av
information görs på ett effektivt och säkert sätt. De bygger däremot på den i
grunden principiellt felaktiga föreställningen om att medborgarna skall
kontrolleras och att deras välfärd skall administreras.

De bidrar därmed till framväxten av ett välfärdssystem som bygger på
planering och politisk hushållning under former som i grunden ingen längre
tror på - inte ens vad gäller effektiviteten - och som ytterligt få vill ha.

Medborgarnas inställning till den ständiga utbyggnaden av stora register är
enkel och klar. En mycket stor majoritet uppger vid olika opinionsundersökningar
att de känner en olust eller känner sig skrämda inför myndigheternas
register.

8

Datalagens brister Mot. 1988/89

K442

samtidigt som datalagen uppenbarligen inte förmår skydda den enskilde mot
ständigt nya krav leder den också till absurda effekter som står i motsats till
en förnuftig och rimlig databehandling. Diskussionen om huruvida Dagens
Eko skulle få lov att ha ett sändningsregister på data är ett sådant exempel.

- Den moderna text- och ordbehandlingen leder i praktiken till att ständigt
nya personregister uppstår utan att detta rimligtvis kan skapa intrång i
enskildas integritet. Problemet är att datalagen hanterar den omöjliga
uppgiften att reglera hur en viss teknik skall användas.

- I stället för att precisera och skydda den enskildes rätt anger datalagen
snarare under vilka former som tillstånd skall beviljas eller avslås. En
annan betydande svaghet är att datalagen inte skiljer mellan den
information som sprids som ett naturligt och självklart led i det öppna
samhället och de uppgifter som vi i förtroende, för särskilda ändamål eller
under tvång lämnar ifrån oss.

- Datalagen ger inte den enskilde en rättslig ställning i skyddet av sitt
privatliv utan ger istället ett beroende till datainspektionens, och i
besvärsfall regeringens, avvägningar mellan den enskildes och andras
intressen. Långsiktigt leder detta till att information om den enskilde
insamlas, behandlas och används för ett ständigt växande antal ändamål.

Datalagen fungerar inte längre. Den ger inte det skydd som den enskildes
rätt och integritet kräver.

Vad är integritet?

Begreppet integritet i dess snävare perspektiv, så som det används vid
diskussionen om data och integritet, löper parallellt med begreppets
egentliga betydelse. Hoten mot den enskildes dataintegritet uppkommer ju
därför att hans integritet i vidare bemärkelse är inskränkt vad gäller hans
förmåga att själv styra över sin välfärd. När den enskilde blir ett objekt för
det offentligas värderingar och åtgärder ställs krav på information och
offentlig insyn i privatlivet.

Denna insyn blir ett intrång i medborgarens integritet. Den omvända
bevisbörda som registerlösningar leder till försätter den enskilde i underläge.

Ovissheten om vad andra vet skapar rädsla för en Storebror som vet allt.

Beroendet av den offentligt fördelade välfärden och beroendet av att leva
upp till vissa kriterier för att få del av välfärden är intrång i den personliga
integriteten.

Det är emellertid ofrånkomligt att integriteten til syvende og sidst är en
subjektiv upplevelse. Vad som kan kännas kränkande och känsligt för en kan
vara likgiligt för en annan. Mot den bakgrunden kan man för de sammanhang
som här avses definiera integriteten sorn:

- graden av den enskildes förmåga att själv avgöra andras insyn i den
personliga sfären samt

- graden av den enskildes möjlighet att kontrollera var lämnade uppgifter lämnad
insyn - tar vägen och vem som därmed tar del av dem. Med denna

definition är det enkelt att se att frågan om den enskildes integritet inte 9

nödvändigtvis beror av datatekniken som sådan, även om denna sätter Mot. 1988/89
viktiga frågeställningar i fokus. K442

Det är formerna för överföringen från den enskilde och behandlingen av
uppgifter som är det intressanta, inte tekniken och programmen. Kommunikationen
mellan myndigheter av olika uppgifter är till exempel mer relevant
att diskutera än den teknik som uppgifterna är lagrade på, även om vi kan
konstatera att denna kommunikation inte hade kunnat ske utan datatekniken.

En lag som reglerar tekniken blir för trubbig. Den kan inte skydda
tillräckligt samtidigt som den hindrar sådan användning av datatekniken som
knappast kan anses vara ett hot mot den enskildes personliga sfär. Uppgifter
på data blir inte integritetskränkande bara för att de förs på data. Datalagen
behöver därför ersättas med en integritetslag.

4. En ny integritetslag

Det verkar i dag finnas en utbredd medvetenhet om att datalagen i dess
nuvarande form inte längre fungerar. Inte minst utvecklingen av datatekniken
har gjort lagen svårhanterlig. Enligt vår mening räcker det inte med att
reformera datalagen. I stället bör den ersättas av en vidare integritetslag. En
ny integritetslag bör bygga på följande element:

1. Reglera den enskildes ratt

En ny integritetslag bör i första hand ta sikte på att reglera den enskildes rätt
över den information som han i olika sammanhang lämnar ifrån sig. Den bör
därför göra skillnad på normala personuppgifter som exponeras för andra
genom vardagslivets normala aktiviteter eller genom det offentliga livets
villkor och sådana personliga uppgifter som den enskilde lämnar under vissa
förutsättningar och för ett visst ändamål.

Det är viktigt att användningen av uppgifter av det förra slaget regleras
utan att yttrandefrihet och tryckfrihet sätts ur spel i datoriserade informationssystem.
En författare eller journalist måste inom ramen för vår
tryckfrihetslagstiftning kunna hantera allmänt känd personinformation även
med den nya informationsteknologin utan att han för den skull bryter mot
lagen.

Det skydd som datalagen i dag ger vad gäller registrering av uppgifter av
mer känslig och privat natur bör givetvis finnas även i en integritetslag.

Skyddet bör framförallt ta sikte på spridningen och tillgängligheten av sådana
uppgifter och avse såväl privata som offentliga registeransvariga. Register
med uppgifter av denna typ bör i princip enbart förekomma om de reglerats i
lag eller byggts upp genom informerat samtycke.

Uppgifter som den enskilde själv lämnat ställer däremot andra krav på den
enskildes rättsliga ställning. Sådana uppgifter som den enskilde lämnar ifrån
sig lämnas under vissa förutsättningar, det må vara inom ramen för avtal, ett
förtroende eller myndighetsutövning. De bör kunna ses som hans "egendom”
och han bör kunna ha en stark ställning i frågan om hur sådana
uppgifter skall användas.

10

2. Ändamålet skall styra användningen

Oavsett om uppgifter lämnats till privat eller offentlig verksamhet bör det
ursprungliga ändamålet vara styrande för hur uppgiften får användas och
behandlas. Datalagens nuvarande ändamålsstyrning bör i en ny integritetslag
vara central och betydligt fastare än i dag ange hur insamlade uppgifter får
användas.

3. Informerat samtycke

Information skall endast få användas på annat sätt än det ursprungliga
ändamålet under förutsättning att den enskilde samtycker eller om det
föreskrivs i lag. I forskningssammanhang skall passivt samtycke under vissa
förutsättningar kunna användas.

4. Uppgifter direkt från medborgaren

En klarare ändamålsstyrning leder till att myndigheter inte som i dag får
utbyta uppgifter om den enskilde om det inte anges i lag. Principen bör vara
att den som skall använda uppgifter - i privat eller i offentlig verksamhet också
skall samla in dem från medborgarna.

5. Användarens ansvar

Användarens ansvar för att insamlade uppgifter används för ändamålet och
inget annat bör stärkas. Statlig försäljning av personuppgifter bör till
exempel inte kunna vara möjlig.

6. Den enskildes rätt

Den enskildes rätt att själv bestämma över hur personliga uppgifter används
och sprids måste bli större. Den enskilde bör till exempel ha rätt att överklaga
utlämnandet av egna personuppgifter om de är sekretessbelagda eller om
utlämnandet sker myndigheter emellan. Han skall också kunna vidtaga
rättsliga åtgärder mot registeransvariga i den enskilda sektorn, som använder
insamlade uppgifter för ett annat ändamål och utan samtycke.

En ny integritetslag bör bygga på datalagens grundläggande principer och
syften. Den bör syfta till att ge den enskilde en stark rättslig ställning i det
moderna informationssamhället i stället för att som i dag vara beroende av
avvägningar som görs av andra. Vad som här anförts angående en ny
integritetslag bör riksdagen ge regeringen till känna.

5. Förändringar i nuvarande lagstiftning

Vi vill i det följande peka på åtgärder som vi, i avvaktan på en ny
integritetslag, bedömer som angelägna i syfte att anpassa datalagen och
annan lagstiftning till de problem som idag möter skyddet av den enskildes
integritet. En stor del av dessa frågor ligger idag på regeringens bord. Detta
gäller frågan om en personnummerbegränsning, försäljningen av personuppgifter
och metoden att med särskilda registerlagar ge rikdagen kontroll över
stora centrala register. Det gäller också frågan om undantag från datalagens
krav på tillstånd.

Begränsa uppgiftslämnandet

Det avgörande hotet mot den enskildes integritet är när han eller hon tvingas
lämna ifrån sig personliga uppgifter. När uppgifterna väl är lämnade har den
enskilde inte längre någon kontroll eller egentlig kunskap om hur de
används. Ny lagstiftning kan t.ex. tillkomma som medger nya användningsområden
av insamlade uppgifter. Intrång i integriteten kan ske genom att
sekretesskyddet fungerar dåligt. Tillstånd till nya samkörningar mellan olika
dataregister kan lämnas. Behörighetssystem kan vara bristfälliga. Sekretess
som tidigare har rått kan hävas. Mot denna bakgrund är det nödvändigt att
minska myndigheternas rätt att insamla, registrera, lagra och vidarebefordra
personuppgifter.

Regeringen bör därför tillsätta en delegation med uppgift att föreslå
minskningar i medborgarnas uppgiftsskyldigheter.

Grundlagsskydd

Frågan om ett grundlagsskydd för den enskildes integritet ligger på riksdagens
bord. Den överenskommelse som förslaget bygger på skulle enligt vår
mening ha kunnat vara mer långtgående vad gäller att styra användningen av
insamlade uppgifter i ett register till det ändamål de insamlats för. Det finns
dock ett betydande symbolvärde och även en praktisk betydelse i det nu
liggande förslaget som motiverar vår uppslutning bakom det.

Undantag från tillståndskravet

Datainspektionen har i särskild skrivelse till regeringen lämnat förslag till
vissa ändringar i datalagen syftande till undantag från kravet på tillstånd i
sådana fall där såväl tillstånd som föreskrifter meddelas enligt praxis. Enligt
vår upfattning skall dessa undantag göras av riksdagen genom ändringar i
datalagen och ej genom att regering eller datainspektion ges rätt att bevilja
undantag från datalagens tillämpning. Vi återkommer i denna fråga i den
mån regeringen lämnar riksdagen förslag om sådana undantag.

Särskilda och synnerliga skäl

Samtidigt vill vi påpeka att det idag finns skäl att utnyttja den praxis som
utvecklats sedan datalagens tillkomst till att precisera datalagen och därmed
ge den en starkare ställning.

Detta kan ske genom att man bättre än idag definierar begreppen särskilda
och synnerliga skäl för tillstånd enligt datalagen. Härigenom kan man på en
gång uppnå en bättre ändamålsstyrning och samtidigt vinna en ökad klarhet i
datalagen. Sådana förändringar av datalagen kan ske samtidigt som riksdagen
beslutar om undantag från tillståndskravet.

Prövning av datainspektionens beslut

Vad gäller prövningen av datainspektionens beslut menar vi att denna bör
ske strikt enligt datalagen utan politiska avvägningar. Det finns idag en sådan
erfarenhet och praxis av datalagens tillämpning att regeringsrätten och inte
regeringen bör vara besvärsinstans. Datalagens skydd av den enskildes
integritet blir starkare om prövningen av datainspektionens beslut enbart

sker efter datalagen, utan de politiska värderingar en regering tenderar att Mot. 1988/89
göra. K442

Registerlagar

Vi har tidigare pekat på det angelägna i särskilda registerlagar, som dels ger
det lagliga stödet till uppgiftsinsamlingen som sådan och dels beskriver under
vilka former de insamlade uppgifterna får registreras och användas. Genom
ett system med registerlagar får riksdagen kontroll över utvecklingen inom
området.

I sådana registerlagar kan anges om uppgifterna får lämnas ut utan den
enskildes informerade samtycke och om uppgifterna får samköras med andra
register utan informerat samtycke.

Begränsa personnummeranvändningen

Personnumret har för många kommit att bli en symbol för ett datasamhälle
där den enskilde anonymiseras och blir till ett nummer utan namn, ständigt
utsatt för myndigheters kontroll och insyn, utan någon annan identitet än sitt
personnummer. Förekomsten av denna känsla behöver inte överdrivas. Den
är ändå ett skäl till försiktighet med personnummeranvändningen.

Det finns också betydligt mer konkreta skäl att begränsa personnummeranvändandet.
Som identifikationsbegrepp har personnumret en särställning.
Den utbredda användningen av personnumret - där personnumret faktiskt i
många fall fått ersätta namnet - leder till att den enskilde i en mängd
sammanhang lämnar efter sig ett unikt identifikationsbegrepp, tillsammans
med känsliga eller okänsliga personuppgifter, när namn och adress hade
räckt för det syfte man lämnar uppgifterna till. Genom att detta unika
identifikationsbegrepp används inom alla samhällsområden skapas en möjlighet
till insyn, kontroll och spårning av enskilda personer som ur många
perspektiv är skrämmande. Detta är inte en följd av personnumrets tekniska
uppbyggnad utan av dess effektivitet att helt entydigt identifiera en individ.

Personnumret ger dessutom tekniska förutsättningar som underlättar
samköming även om det inte alltid är en förutsättning för detta. Det är
betecknande att de som starkast understryker hur lätt det är att samköra med
andra identifikationsbegrepp ofta samtidigt pekar på de svårigheter en
begränsning av personnummeranvändningen skulle innebära.

Enligt vår mening är det inte fråga om att avskaffa personnumret utan att
begränsa dess användning. Det är ett effektivt identifikationsbegrepp som
ska användas där den typen av säker identifikation är nödvändig. En
begränsning av personnummeranvändningen bör i stället bygga på att endast
vissa registeransvariga, genom särskilt lagstöd, får kräva personnummer. I
övrigt bör användningen av personnummer vara frivillig.

Trots utredningsförslag i denna fråga har regeringen ännu inte lämnat
något förslag angående personnummerbegränsning. Riksdagen borde ge
regeringen till känna vad som här anförts.

Försäljning av personuppgifter

Stat och kommun ägnar sig idag åt att aktivt sprida insamlade uppgifter
genom att kommersiellt försälja dem.

Vi anser det principiellt felaktigt att det offentliga på detta viss säljer delar Mot. 1988/89

av enskilda medborgares privatliv. Offentlighetsprincipen ger inget stöd för K442

en sådan försäljning. Tvärtom riskerar försäljningsverksamheten att skapa
en "lyxklass” där vissa medborgare kan köpa offentliga handlingar i en form
som offentlighetsprincipen inte ger den enskilde möjlighet att kräva.

Data- och offentlighetskommittén har lämnat förslag om en begränsning
av försäljningen ur personregister. Begränsningen innebär i själva verket en
legalisering av nuvarande försäljningsverksamhet. Genom att man inte tagit
ställning till offentlighetsprincipens handlingsbegrepp innebär kommitténs
förslag vare sig någon begränsning eller kontroll av vilka uppgifter och vilken
information som får säljas.

Det är enligt vår mening ytterst betänkligt att myndigheter försäljer
uppgifter som insamlats för speciella myndighetsändamål.

För det första innebär försäljningen att myndigheten ägnar sig åt en
verksamhet som inte ingår i själva myndighetsuppgiften. För det andra leder
försäljningen till en uppenbar risk att man blandar ihop behovet av uppgifter
för myndighetsutövningen med den efterfrågan försäljningen ger. Det finns
påtagliga integritetshot i detta, samtidigt som denna risk negativt kan
påverka medborgarnas förtroende för myndigheten och dess sätt att hantera
insamlade uppgifter.

För det tredje strider försäljningen mot syftet med datalagens ändamålsparagraf.
Insamlade personuppgifter ska enbart användas för de ändamål de
insamlats för. Existensen av SPAR-registret - som har stöd i datalagen - och
försäljningen ur andra register strider mot denna paragrafs syfte att skydda
den enskildes integritet. Försäljningen ur myndigheters personregister bör
därför inte tillåtas. Riksdagen bör ge regeringen detta till känna.

Statens person- och adressregister bygger på uppgifter som insamlats för
helt andra ändamål än för försäljning. Med sin mängd av olika uppgifter som
kan levereras i olika, förutsedda och oförutsedda, sammanställningar tillhör
SPAR-registret ett av de mer integritetskänsliga registren i Sverige. Försäljningen
ur detta register i dess nuvarande form bör därför inte heller få ske.

Därmed försvinner motivet för detta registers särställning. Behovet av ett
register för t.ex. uppdatering kan fyllas genom att SPAR omvandlas till ett
renodlat adressregister som i vanlig ordning lyder under datalagen. Riksdagen
bör därför fatta beslut om att avveckla SPAR i dess nuvarande form.

Skydd av företagsuppgifter

Den svenska integritetsdebatten har nästan uteslutande rört de enskilda
individerna och det hot som datoriseringen - främst hos myndigheterna inneburit
för intrång i den personliga integriteten. Det mycket omfattande
ADB-stöd som numera är en normal del i myndighetsutövningen, innebär
av samma skäl som ovan redovisats vad avser den enskilde medborgarens
integritet.

Det förekommer idag ett omfattande uppgiftsinsamlande från företagen
till den offentliga sektorn. Uppgiftsinsamlandet har under åren vuxit till
oerhörda volymer. Enligt beräkningar, som gjordes för flera år sedan, sänder
näringslivet in mer än 50 miljoner blanketter till olika myndigheter under ett
år. Volymen har snarare ökat än minskat sedan dess. Insamlandet syftar till

att tillgodose samhällsapparatens underlag för styrning, kontroll och stati- Mot. 1988/89
stik. Hanteringen av dessa oerhörda volymer av data är endast möjlig med K442

hjälp av ADB-teknik hos myndigheterna.

Lagringen av dessa data i myndigheternas databaser representerar de facto
en potentiell risk för oförutsedda och obehöriga informationsuttag. Dessa
risker måste elimineras. En första förutsättning för att nå detta mål är att man
i högre grad än för närvarande är medveten om de sårbarhets- och
integritetsrisker som dessa baser medför.

Myndigheternas insamling av företagsuppgifter medför emellertid även
ytterligare risker, som i första hand sammanhänger med hur insynsreglerna
enligt offentlighetsprincipen och de gällande reglerna i sekretesslagen
tillämpas.

Som ovan redovisats kommer t.ex. det skydd som sekretesslagen är tänkt
att ge vad gäller uppgiftsöverföringar från en myndighet till en annan att i stor
utsträckning sättas ur spel genom nuvarande praxis enligt tryckfrihetsförordningen
och sekretesslagen - framför allt genom tillämpningen av informationsbegreppet
"potentiell handling” vid uppgiftslagring på ADB-medium.

Denna utveckling av praxis är ännu så länge bara inledd, men den kan leda till
ytterst obehagliga konsekvenser om den tillåts fortsätta.

För skyddet av företagens integritet krävs emellertid också andra särskilda
åtgärder. I första hand bör dessa avse insatser för att begränsa det
uppgiftsinsamlande, som nu förekommer hos ambitiösa myndigheter som i
detta avseende givits ganska fria händer genom den s.k. ramlagstiftningstekniken.
Uppgiftsinsamlandet borde i mycket större utsträckning förutsätta
direkt och tydligt stöd i lag för att få förekomma. För kontrolländamål borde
t.ex. endast stickprov göras även om datatekniken gör det billigt för den
uppgiftsinsamlande myndigheten att bearbeta uppgifter från den totala
populationen.

Det borde också klarare slås fast - såsom gäller för uppgifter om enskilda
individer - att uppgifter som insamlats för ett bestämt ändamål inte skall få
användas för andra ändamål än som avsågs vid uppgiftsinsamlingen - varken
hos den insamlande myndigheten eller annan myndighet.

I de fall då det blir aktuellt att överlämna uppgifter rörande ett visst företag
från t.ex. en myndighet till en annan - och detta inte kunnat förutses vid
uppgiftsinsamlandet - bör regler övervägas som skyddar företagen genom att
dessas samtycke skall inhämtas.

Det synes också vara nödvändigt att tillförsäkra företagen en laglig
insynsrätt med avseende på de uppgifter som registrerats om dessa hos någon
myndighet. Insynsrätten skulle kunna utformas med ledning av den särskilda
paragraf i datalagen som tillförsäkrar medborgarna en insynsrätt av detta
slag.

Det är också angeläget att överväga integritetsskyddsregler som förhindrar
att företagen avtvingas uppgifter om affärsidéer, planer och liknande
företagshemligheter som i orätta händer skulle kunna lända företaget till
skada.

Behovet av skydd av företagshemligheter bör utredas i särskild ordning.

Riksdagen bör ge regeringen detta till känna.

6. Hemställan

Mot. 1988/89
K442

Med hänvisning till det anförda hemställs

1. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförts om en knytning av myndigheternas dataanvändning
till myndighetsutövningen,

2. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om informationsrutiner mellan socialstyrelsen och
sjukvårdens olika enheter,

3. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om översyn av myndigheters tillämpning av sekretesslagstiftningen,

4. att riksdagen hos regeringen begär en redovisning av användning
av kryptering i enlighet med vad i motionen anförs,

5. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om utgallring och sekretessbeläggning av uppgifter i
register som inte nyttjas för myndighetsutövning,

6. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om besvärsrätt vid utlämnande av uppgift,

7. att riksdagen som sin mening ger regeringen till känna vad här
anförs om behovet av en ny integritetslag,

8. att riksdagen hos regeringen begär tillsättande av en delegation i
syfte att föreslå minskningar av uppgiftslämnandet i enlighet med vad i
motionen anförs,

9. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om prövning av datainspektionens beslut,

10. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om en begränsning av personnummeranvändningen,

11. att riksdagen som sin mening ger regeringen till känna vad i
motionen anförs om försäljning av uppgifter från statliga dataregister,

[att riksdagen hos regeringen begär förslag till avveckling av SPAR i
enlighet med vad i motionen anförs,1]

[att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförs om behovet av skydd för företagshemligheter.2]

Stockholm den 25 januari 1989

Anders Björck (m)

Gunnar Hökmark (m) Hans Nyhage (m)

Birger Hagård (m) Elisabeth Fleetwood (m)

Göran Ericsson (m) Stig Bertilsson (m)

Göran Åstrand (m)

’l988/89:Fi720
21988/89:L904