6 Allmennmoralske normer for behandling av personopplysninger
Av Dag Elgesem
6.1 Innledende sammendrag
Det følgende er en beskrivelse og diskusjon av allmennmoralske normer for behandling av personopplysninger. Her står individets samtykke til overføring av personlige opplysninger sentralt. Normer for behandling av personopplysninger knytter seg til ulike ’kanaler’ for flyt av personlig informasjon. Ulike sider ved personlig kontroll og samtykke til flyt av personlig informasjon i slike kanaler diskuteres. Samtykkemodellens sentrale rolle i våre etiske vurderinger, og dens begrensninger, illustreres avslutningsvis med et eksempel (oppsøkende genetisk informasjon) på et personvernproblem hvor individuelt samtykke ikke er tilgjengelig.
6.2 Kanaler og restriksjoner
Ulike sosiale arenaer er kjennetegnet ved ulikheter i flyt av personlig informasjon. For eksempel er det store forskjeller i så henseende i våre hjem, på en offentlig gate, i en politisk organisasjon, eller i et sykehus. Vi kan se slike arenaer som kanaler for flyt av personlig informasjon. Slike kanaler er kjennetegnet ved forskjellige typer restriksjoner. Det dreier seg for det første om restriksjoner på hvilket publikum som har tilgang til kanalen og den informasjonen som flyter der. For det andre dreier det seg om restriksjoner på hvilken type informasjon som får lov å flyte i kanalen, f.eks. om det er en kanal for overføring av sensitiv, personlig informasjon eller ikke. Ulike kanaler er kjennetegnet ved ulike sett av slike restriksjoner. For eksempel er det i våre hjem restriksjoner på hvilket publikum som har tilgang til kanalen, men ingen klare restriksjoner på hvilken type informasjon som får lov til å flyte der. Det er opp til de som bor der å bestemme. En gate eller et torg, derimot, er kjennetegnet ved at det ikke er noen restriksjoner på hvilket publikum som har tilgang til denne kanalen, men at det er klare restriksjoner på hvilken type informasjon som får lov å flyte i denne kanalen. For eksempel er det klare grenser for hva det er passende å ta opp med en tilfeldig sidemann på T-banen. Et tredje eksempel på en kanal for flyt av personlig informasjon er livet i en politisk organisasjon. Her er det noen milde begrensninger på hvem som har tilgang til kanalen. Men det er relativt lik tilgang for alle som først er tilknyttet. Det er også normer for hvilken type informasjon som får flyte der, men disse er mye mer liberale enn på en åpen gate for eksempel. Et fjerde eksempel på en kanal for flyt av personlig informasjon i denne vide forstanden, er et sykehus med sine rutiner for informasjonsbehandling, pasientarkiver, o.s.v. Her er det også klare begrensninger på hvilket publikum som har tilgang til kanalen, og på hvilken type informasjon som får flyte der. Disse begrensningene er imidlertid mye strengere enn tilfellet er for en politisk organisasjon.
Restriksjonene som kjennetenger ulike kanaler kan være enten normative eller fysiske. Taushetsregler for helsepersonell er eksempel på normative restriksjoner på hvilket publikum som har tilgang til den personlige informasjon som overføres og genereres i en helseinstitusjon. Veggene i et hus er fysiske restriksjoner på andres tilgang til denne kanalen. Restriksjoner på hvilken type informasjon som får lov å flyte i en kanal er primært normative. Ved et legebesøk er det normer som – i for stor grad, mener noen – sikrer at det blir fokusert på overføring og generering av informasjon om sykdom. Men i tillegg til disse normative begrensningene er dessuten tiden som er avsatt til hver pasient, en fysisk begrensing på mulighetene til å kommunisere om annet enn sykdommen.
Vi beveger oss inn og ut av kanaler for flyt av personlig informasjon. Når vi velger å gå inn i ulike kanaler, må vi ta hensyn til de restriksjonene som gjelder der. Ulike kanaler gir ulik type av kontroll. På en åpen gate har man for eksempel ikke kontroll over publikum, d.v.s. hvem som får del i den personlige informasjonen som genereres i denne kanalen (hvor man er, hva man har på seg, hvem man går sammen med, o.s.v). Til gjengjeld slipper man unna uten at det genereres særlig sensitiv informasjon. Det er som nevnt også normer mot å bli for personlig og påtrengende i slike arenaer. I et privat hjem er det andre normer. Her er det ikke normer mot å være personlig. Slike private sfærer gir derimot rom for utvikling av personlige relasjoner. I utviklingen av slike relasjoner spiller personlig informasjon en viktig rolle. Våre personlige relasjoner, og graden av nærhet og intimitet i dem, er i stor grad en funksjon av hvor mye og hvor sensitiv informasjon vi lar flyte i dem. I arenaer for utvikling av personlige relasjoner er det derfor svært viktig at vi selv har personlig kontroll over akkurat hvem som får hvilken informasjon om oss, fordi vår kontroll av kvaliteten av våre relasjoner avhenger av dette. Kontrollen kan ikke utøves i kraft av fastlagte normer for hvor personlige vi bør være.
Det er også innenfor offentlige arenaer ofte rom for privat kommunikasjon, der det er begrensninger på flyt av informasjon til den offentlige delen av kanalen. Det finnes ’nøstete’ sfærer, d.v.s kanaler inne i kanaler. På et nivå vil en kanal for flyt av informasjon ha normer for dannelsen av mer private og begrensede kanaler innenfor sine egne rammer. En benk i en park er et eksempel på en arena som tillates brukt som et privat rom, beskyttet av felles normer mot inntreden. Normene som beskytter denne private kanalen befinner seg imidlertid på det offentlige nivået.
6.3 To former for samtykke
Vi har beskrevet kanaler i termer av restriksjoner på publikum og på type av informasjon. I tillegg trenger vi en annen dimensjon for å beskrive kontroll i kanaler. Det ble påpekt ovenfor at det i et privat hjem er sterk kontroll over hvilket publikum som har tilgang, men få restriksjoner på hvilken type informasjon som får genereres der. Dette er strengt tatt ikke riktig. Det er restriksjoner også her. Jeg leser for eksempel ikke min kones brev. Poenget er imidlertid at dette er restriksjoner som det er opp til de involverte å bestemme. Dette er forskjellig fra de normene som gjelder for kontakt med fremmede på en gate. Vi kan skille mellom faste restriksjoner av typen offentlige normer, og flytende restriksjoner som det er opp til aktørene å fastlegge.
Dette skillet mellom kanaler med restriksjoner som er faste og kanaler med restriksjoner som det er opp til de som kommuniserer i kanalen å fastlegge, gir opphav til en forskjell i typer kontroll over personopplysninger. I arenaer med flytende restriksjoner har vi en stor grad av kontroll over informasjonsstrømmen. I et privat hjem, f.eks. kan vi bestemme hvem som skal ha hvilken informasjon om oss. Hvem personene er spiller en rolle for oss, og vi har stor grad av kontroll over hvem som får tilgang til oss i denne kanalen. Som nevnt over gjør dette at private sfærer er arenaer for utvikling av personlige relasjoner. Kall denne formen for kontroll muligheten til å samtykke i kanalen. Et sykehus, derimot, er ikke primært en arena for personlige relasjoner. Her har vi ikke den samme detaljerte kontroll over hvilke konkrete personer som får tilgang til den informasjonen om oss. Ved kontakt med sykehuset må vi bare godta de prosedyrer for informasjonsbehandling sykehuset har. Vi har ikke som pasienter kontroll over akkurat hvem som har informasjon om oss selv, hvordan den registreres, hvilke konkrete personer som har tilgang til den. Vi må akseptere at den brukes til de formål den er samlet inn for. Kall dette for et samtykke til kanalen.
Personvern er primært en beskyttelse av et samtykket til en kanal. Privatlivets fred, ’privacy’, er primært en beskyttelse av muligheten til å samtykke i kanalen. Personvernet skal sikre at de betingelsene som personen forutsatte når han eller hun ga sin samtykket til kanalen, ikke forandres. For det første må samtykket være informert. Det betyr at det må være mulig å vite hvilken informasjon som blir overført, generert og registrert, utfra kjennskap til virksomheten til den institusjonen som man oppgir informasjon til. For det andre skal personvernet sikre at forutsetningene for samtykket ikke undergraves gjennom informasjonsbehandlingen. Det betyr for eksempel at informasjonen ikke må lekke ut i andre kanaler enn der hvor den er oppgitt.
Et slikt samtykke til en kanal er i en viss forstand tøyelig. Vi må godta at informasjonen brukes til de formål som den er samlet inn for, men har ikke detaljert kontroll over hvilke konkrete personer som har tilgang til informasjonen, og akkurat hvordan den brukes. Når vi oppgir informasjon om oss selv, for eksempel i forbindelse med medisinsk behandling, må vi stole på at informasjonsbehandlingen er begrenset av restriksjoner som springer ut av formålet med innsamlingen. Grensene for hva som er forenlig med formålet er tøyelige. For eksempel er det rimelig å si, slik loven gjør, at det er forenlig med samtykket til overføring av informasjon i forbindelse med behandling i sykehus, at denne informasjonen brukes til administrasjon og planlegging, og til forskning. Men dette setter ikke en klar grense for bruken.
Det er verd å merke seg at det ikke er opp til den registrerte å fastlegge grensene for bruken av informasjon i slike sammenhenger. Det fremstilles noen ganger som et allment personvernprinsipp at informasjon som er samlet for ett formål, ikke skal brukes til et annet formål. Dette kan forstås slik at informasjonen ikke skal brukes til andre formål enn de personen hadde i det han oppga informasjonen. Dette kan imidlertid ikke være helt riktig. For eksempel er det rimelig å kontrollere opplysninger som er gitt i forbindelse med søknader om økonomisk støtte fra det offentlige, mot andre informasjonskilder. Ta nå personer som bevisst forsøker å få en stønad som de ikke har rett på. Slik kontroll av opplysningene er ikke en del av formålet som de har idet de oppgir informasjon om seg selv. Likevel kan de ikke med rimelighet motsette seg slik kontroll. Poenget er å illustrere at det ikke er opp til den registrerte å avgjøre hva som er formålet som informasjonen er samlet inn for. Formålet informasjonen brukes til må imidlertid, som påpekt ovenfor, være opplagt ut fra kjennskap til virksomhetens art.
I den etiske vurderingen av behandling av personopplysninger spiller således samtykke en sentral rolle. Et minimum for den individuelle kontroll er at den registrerte skal vite om hvilken informasjon andre har om en selv. Som regel ønsker vi noe mer, nemlig å få gi vår tilslutning til innsamlingen i forkant av denne. Mulighet til samtykke i forkant av overføringen, er en definisjon på en eiendomsrett. Dette må ikke forveksles med at vi alltid kan velge ikke å gi fra oss informasjon. Livet i et moderne samfunn er ikke mulig uten stadig å oppgi informasjon om oss selv. Frivilligheten av samtykket til oppgivelsen er derfor ofte begrenset. Men også i slike situasjoner er muligheten til å gi sin tilslutning til oppgivelsen viktig. Dels fordi det gir oss mulighet til å ta det med i betraktning i våre andre planer. Dels er det å anerkjenne folks rett til kontroll over informasjon om selv, en viktig måte å uttrykke respekt for dem som autonome personer.
En normativ betraktning i denne sammenhengen er at i situasjoner hvor friheten til å velge å ikke oppgi informasjon om seg selv er begrenset, der blir det desto mer påkrevet at risikoen for personvernkrenkelser er svært lav. Dette er ofte tilfellet i et moderne informasjonssamfunn. Dessuten er det da rimelig at den som eier registeret bærer kostnadene ved å redusere risikoen for personvernkrenkelser, ikke den registrerte selv.
6.4 Et eksempel på samtykkemodellens begrensninger: oppsøkende genetisk informasjon
I den allmennmoralske vurderingen av behandling av personopplysninger spiller altså appell til samtykke en sentral rolle. Men ikke alle personvernproblemer kan håndteres bare ved å kreve en eller annen form for samtykke. Den pågående diskusjonen om oppsøkende genetisk informasjon viser dette.
Det best dokumenterte eksemplet på problemet dreier seg om genetisk testing for arvelig forhøyet kolesterol (hyperkolesterolemi). Personer med arvelig forhøyet kolesterol har en svært stor risiko for tidlig hjerteinfarkt. Lidelsen arves dominant, d.v.s. at barn av personer med hyperkolesterolemi har 50% sjanse for også å ha lidelsen. Man har imidlertid utviklet en virksom medisin som reduserer risikoen vesentlig, samt en test som med sikkerhet fastslår om man er bærer av det defekte genet. Lipidklinikken ved Rikshospitalet ønsket å utvikle et tilbud om slik testing for familier hvor denne lidelsen forekommer. Man ville ta utgangspunkt i pasienter som de hadde til behandling ved klinikken. Så ville man ved hjelp av slektsdatatbaser gå bakover i slektstreet for å finne opphavet til defekten. Fra disse tidlige bærerne skulle man så lete seg frem til nålevende bærere av det defekte genet. Disse skulle kontaktes med tilbud om test og eventuell senere behandling.
Prosjektet er foreløpig lagt i bero av personverngrunner. Det er to problemer. For det første ville det genereres personlig, sensitiv informasjon om personer uten at de vet om det. Personene som letes opp har ikke gitt sitt samtykke til den kanalen der informasjonen fremskaffes. Det andre problemet er knyttet til tilbakeføringen av informasjonen til personene i risikogruppen. Forarbeidene til lov om medisinsk bruk av bioteknologi tillater oppsøkende genetisk informasjon via slektninger, men ikke direkte av en lege som ikke har den oppsøkte personen som pasient. Problemet er, i de termer vi har operert med her, at man regner med at personer i samme slekt allerede er hektet på kanaler for flyt av personlig informasjon seg imellom. Det er imidlertid ansett som problematisk å knytte en person opp til en kanal for overføring av personlig informasjon, d.v.s. tvinge ham inn i en lege-pasient relasjon, uten hans samtykke. Problemer oppstår derfor i de – riktignok få – tilfeller der den pasienten som legen har til behandling ikke er villig til eller ikke i stand til å informere sine slektninger. I disse tilfellene står personvernhensynene i veien for at personer blir informert om sin risiko for alvorlig sykdom.
Poenget i forhold til diskusjonen av allmennmoralske normer for behandling av personopplysninger, er at et krav om samtykke ikke hjelper oss til å avgjøre hva som er riktig å gjøre. Problemet er at det er umulig å be om folks samtykke til å bli informert om at de har en risiko for å være bærere av det defekt gen, uten samtidig å informere dem om at de har det. Dette blir en form for paternalistisk dilemma, der noen andre må avgjøre hva som er verst for deg: å bli forstyrret med informasjon om økt sjanse for risiko, eller å ikke vite å få informasjon om at du bør la deg teste. Dette er et personvernproblem der appell til individuelt samtykke ikke hjelper oss, rett og slett fordi slikt samtykke ikke er tilgjengelig. Samtykkemodellen kommer til kort, og våre intuisjoner blir mer usikre.
Vi må da finne noe annet å gå på for å avgjøre hva som er riktig. Dette gir svakere holdepunkter for en avgjørelse enn når vi kan anvende samtykkemodellen. Blant annet viser en undersøkelse at 77% av de spurte ville ønsket å bli oppsøkt av en lege med informasjon, dersom de var i en slekt med arvelig forhøyet kolesterol. De fleste av oss viker litt tilbake for å avgjøre moralske spørsmål ved hjelp av flertallsavgjørelser og surveyundersøkelser. Et slikt resultat må imidlertid bli tungtveiende dersom vi ikke har noe annet å gå på. Det må tilføyes at det i dette tilfellet også er andre vurderinger som er relevante. For eksempel er det sterke prioriteringsgrunner som taler mot slik virksomhet. Poenget med eksemplet er imidlertid her bare å vise betydningen, og begrensningen, av samtykkemodellen i våre moralske vurderinger. Når det dukker opp personvernspørsmål som ikke kan løses ved å kreve samtykke til overføringen av personlig informasjon, blir grunnlaget for den etiske vurderingen mye mer usikkert.