Athugið þessi frétt er meira en 2 ára gömul.

Á að safna viðkvæmum gögnum, en með samþykki foreldra

19.03.2021 - 17:27
Mynd: RÚV / RÚV
Til stendur að samkeyra upplýsingar úr ýmsum kerfum - um börn sem þurfa á þjónustu að halda. Það verður þó aðeins gert með samþykki foreldra og fáir eiga að hafa aðgang að upplýsingunum. Markmiðið er að bæta þjónustu við börnin. Oft eru upplýsingarnar viðkvæmar og persónulegar. Það er hægt að gera þetta svo það samræmist persónuverndarlögum, segir lögfræðingur hjá Persónuvernd, en frá upphafi þarf að gæta að því að hanna tölvukerfin með það í huga að persónuvernd barnanna sé trygg.

Viðamiklar breytingar á þjónustu við börn eru í farvatninu og félags- og barnamálaráðherra hefur lagt fram nokkur frumvörp á Alþingi vegna þess. Spegillinn hefur fjallað um þessar breytingar undanfarið, en til að gera langa sögu stutta á að reyna að grípa börn sem þurfa einhvers konar aðstoð fyrr en nú er, áður en í óefni er komið. Þjónustan verður stigskipt. Og börn og fjölskyldur sem eru á fyrsta stigi þjónustunnar eiga að fá tengiliði í sínu nærumhverfi, til dæmis í skólanum, eða málastjóra hjá félagsmálayfirvöldum þurfi þau aukinn stuðning, og eru þá á öðru eða þriðja stigi þjónustunnar. Til að þetta gangi geta tengiliðir og málastjórar þurft aðgang að upplýsingum um stöðu mála víða að úr kerfinu.

Nú eru alls kyns upplýsingar skráðar hér og þar í mismunandi tölvukerfum, eða á pappír jafnvel, upplýsingar sem gætu skipt máli fyrir velferð barns í öðru kerfi, en enginn utan hins kerfisins veit af því. Vonast er til að með betri yfirsýn, sé hægt að koma auga á vandann, eða sjá hvað er í uppsiglingu, og veita barninu aðstoð fyrr.

Mynd með færslu
 Mynd: Grímur Jón Sigurðsson - RÚV

Eins og fleiri sem hafa sent inn umsagnir vegna aðalfrumvarpsins, þess sem kallast frumvarp til laga um samþætta þjónustu í þágu farsældar barna, fagnar Persónuvernd markmiðunum - að bæta þjónustu við börn, en bendir engu að síður á nokkur atriði sem stofnunin telur að þurfi að breyta vegna þess hve miklum persónuupplýsingum um börn og fjölskyldur standi til að safna saman á einn stað. Steinunn Birna Magnúsdóttir er lögfræðingur hjá Persónuvernd og verkefnastjóri í málefnum barna.

„Eins mikilvæg og þessi réttindi barna og fjölskyldu þeirra eru, að fá þjónustu sem þau eiga rétt á, þá má heldur ekki gleyma því að þau eiga líka rétt á friðhelgi einkalífs og persónuvernd og þannig má ekki fórna einum réttindum fyrir önnur. Það þarf að fara fram ákveðið jafnvægi á þessum réttindum,“ bendir Steinunn á. 

Útbúa á gagnagrunn vegna barnaverndarmála sérstaklega til að einfalda vinnslu þeirra mála, til dæmis ef fjölskylda flyst á milli sveitarfélaga. Stefnt er að því að bjóða gerð hans út á næstu vikum. Ætlunin er að útbúa gátt sem keyrir saman upplýsingar úr nokkrum mismunandi kerfum. 

En til framtíðar er vonast til þess að hægt verði að nýta gagnagrunninn í öðrum og almennari málum, þar sem börn og fjölskyldur þurfa þjónustu til að mynda vegna einhverra erfiðleika í skóla, heima fyrir, veikinda eða fötlunar svo dæmi séu tekin. 

Persónuvernd fékk frumvarpið til skoðunar meðan á vinnslu þess stóð og kom með ítarlegar athugasemdir. Steinunn segir að brugðist hafi verið við þeim að þónokkru leyti. 

„En það standa enn eftir nokkur atriði sem að mati Persónuverndar er nauðsynlegt að huga betur að, sem varða meðal annars ákveðna hugtakanotkun sem er einhver misskilningur á og eins hvernig öryggi persónuupplýsinganna verði tryggt.“

Hún leggur áherslu á að við hönnun upplýsingakerfa af þessu tagi þurfi að huga að persónuvernd strax í upphafi.

„Það þarf að hanna kerfið með innbyggðum og sjálfgefna persónuvernd í huga og persónuvernd hefur lagt gríðarlega mikla áherslu á og ítrekað í umsögnum sínum að hugað verði sérstaklega að því hvernig aðgangsstýringu er háttað. Þarna eru fjölmargir notendur að kerfinu, það eru þjónustuveitendur og þeir sem veita almenna þjónustu í þágu farsældar barna og í ljósi þess umfangsmiklar og viðkvæmar persónuupplýsingar geta verið þarna undir hefur Persónuvernd lagt til að öll vinnsla á persónuupplýsinga á grundvelli frumvarpsins verði eingöngu heimil í þessum kerfum, það er þessum upplýsingakerfum með gagnagrunnum sem til stendur að taka til notkunar,“ segir Steinnunn. „Það er til þess að draga úr áhættu. Þarna koma fjölmargir aðilar að sem eru að vinna gögnin. Þessir aðilar hafa mismiklar eða engar heimildir í sérlögum til vinnslunnar sjálfir. Þá er það líka bara þannig að öryggisvitund aðila er mismunandi og aðstæður þeirra til að tryggja öryggi upplýsinganna og miðla upplýsingunum getur verið með mjög ólíkum hætti. Þess vegna er mikil áhersla lögð á að það sé eingöngu verið að vinna upplýsingarnar í þessum kerfum og kerfið sé hannað frá upphafi þannig að það sé tryggt frá fyrsta degi að það sé í samræmi við allar kröfur persónuverndarlaga.“

Mynd með færslu
 Mynd: Alma Ómarsdóttir - RÚV

Það er eitt að hafa aðgang til að skrá, annað að hafa aðgang til að skoða upplýsingar sem viðkomandi þarf að hafa til að geta veitt barninu góða þjónustu, og enn annað að hafa aðgang að upplýsingum sem viðkomandi þarf ekki að hafa til að geta veitt barni þjónustu. Steinunn segir að gríðarmiklar upplýsingar fari inn í kerfið. Það þurfi að tryggja að þeir sem hafa aðgang komist eingöngu í þær upplýsingar sem þeir þurfa nauðsynlega, til að ná sinna sinni vinnu.

Og þá að starfsmenn hafi líka aðeins aðgang að upplýsingum um það fólk sem vinnan þess snýr að?

„Að sjálfsögðu. Til dæmis eins og þarna eru ákveðnir tengiliðir sem hvert og eitt barn á að hafa aðgang að, ef það þarf á að halda. Ef málið þróast síðan þannig að barnið þurfi fjölþættari þjónustu tekur málstjóri við. Þá er gríðarlega mikilvægt að loka fyrir aðgang tengiliðar og opna fyrir aðgang málstjóra. Þá kann að vera að málstjóri þurfi mögulega ekki að hafa aðgang að öllum gögnum barnsins langt aftur í tímann. Ef að barn hefur kannski þurft á þessari þjónustu að halda í mörg ár og er búið að þiggja þjónustu tengiliða og svo málstjóra í fjölmörg ár. Það er svo mikilvægt til þess að notandinn treysti kerfinu og vilji þiggja þjónustuna því það er svo mikilvægt að foreldrar og börn hafi raunverulegt val um að þiggja þessa þjónustu,“ segir Steinunn.

Á vinnslustigi frumvarpsins var að einhverju leyti gert ráð fyrir að hægt væri að miðla upplýsingum án aðkomu foreldra, en því var breytt eftir ábendingar Persónuverndar. Nú er í frumvarpinu gert ráð fyrir að fjölskyldum verði boðin þjónustan og að fjölskyldan samþykki að gögnin verði samkeyrð. Það er sem sagt ekki skylda að taka þátt. Fjölskyldur geta afþakkað þjónustuna. 

Núna eru víða skráðar upplýsingar um börn og hagi þeirra, nærtækast er að nefna heilsugæslu og skóla.

Steinunn segir að það sé mjög mikilvægt að hugað sé að áhættumati, öryggisprófunum og nýju mati á persónuvernd á kerfunum sem verða útbúin. „Eins gríðarleg áhersla á aðgangsstýringar og að þær séu raunverulega virkar og þeim sé raunverulega fylgt eftir, ekki aðeins stilltar í upphafi. Það þarf að fylgja þessu mjög reglulega eftir.“

Steinunn bendir á að það sé ábyrgðaraðila verkefnisins að sjá til þess að kerfin séu í samræmi við lög. Persónuvernd fái iðulega til sín beiðnir um ýmis kerfi sem verið er að vinna til að tryggja að rétt sé staðið að málum. Hún gerir því ráð fyrir að haft verði samband við stofnunina um gagnagrunninn. 

Hin nýja Barna- og fjölskyldustofa á að hafa umsjón með gagnagrunninum, bera ábyrgð á vinnslu persónuupplýsinganna og setja reglur um þá vinnslu.

Hvað er það, að mati Steinunnar, sem þarf að huga sérstaklega að við þá reglusetningu?

„Það eru vissulega aðgangsstýringarnar og það er líka hvað á að skrá og þá er mikilvægt að huga að meðalhófinu. Sem þýðir að það er ekki skráð eða unnið meira með heldur en það sem nauðsynlegt er. Þær eiga að vera nægilegar, viðeigandi miðað við tilganginn en ekki umfram það, sem er eitthvað sem hefur kannski í gegnum tíðina þekkst að í upplýsingakerfum hafi mögulega verið meira, skráðar meiri upplýsingar en raunveruleg þörf er á til að ná tilganginum.“ 

 

Mynd með færslu
 Mynd: Eggert Þór Jónsson - RÚV

Í frumvarpinu, sem er fyrir velferðarnefnd Alþingis, er gert ráð fyrir að lögin taki gildi um áramót. Steinunn leggur ríka áherslu á að reglur og reglugerðir verði tilbúnar og gerðar miklar öryggisprófanir á tölvukerfi áður en byrjað verður að nota það.

En er hægt að halda þessum viðkvæmu upplýsingum saman á einum stað, þannig að þeir sem þurfa sannarlega aðgang að upplýsingunum fái þær, en aðrir ekki, og fylgja öllum persónuverndarreglum?

„Já, það á að vera hægt,“ segir Steinunn. „Það þarf bara að huga að því strax í upphafi því það er miklu auðveldara við hönnun á kerfi að það séu hugað að því til að byrja með hvernig á að tryggja persónuverndina heldur en að setja persónuverndina inn í kerfi sem þegar er tilbúið.“