Dørene mellem persondataregistre åbnes i terrorbekæmpelsens navn

Dørene mellem persondataregistre åbnes i terrorbekæmpelsens navn

27.04.2017

BAGGRUND. Ekspertgruppe forbereder forslag om at fremme adgangen til personoplysninger fra databaser, som hidtil har været adskilte fra hinanden. Myndighederne kan få egen søgemaskine til personoplysninger. Datatilsynet er ikke bekendt med gruppens arbejde.

Af Staffan Dahllöf, journalist og researcher i DEO

Terrortrusler skal modvirkes og indvandring begrænses ved at udvide registrering og samkørsel af personoplysninger. Det er udgangspunktet for arbejdet i en ”ekspertgruppe på højt niveau om informationssystemer og interoperabilitet”, nedsat af EU-kommissionen.

Øget kontrol = større sikkerhed

Ekspertgruppen har udgivet en foreløbig rapport med tre forslag:

  • En fælles portal: ”Single-search interface”. En forenklet adgang til personoplysninger som i dag er spredt i forskellige registre. Tyske asylbehandlere, bulgarske politibetjente, dansk ambassadepersonel og andre skal kunne få adgang til flere forskellige databaser i en slags ”googling” for myndighedspersoner.
  • Biometriske data - såsom fingeraftryk og ansigtsgenkendelse - skal opdateres parallelt for dem, som er registrerede flere steder, for eksempel asylansøgere, dømte kriminelle eller bare indrejsende i EU.
  • Samlet søgbar database: Indholdet i forskellige registre skal kunne trækkes ud og samles i en søgbar database.

Formålet med ekspertgruppens arbejde er at analysere, hvordan EU's eksisterende og kommende register skal kunne udnyttes bedre end i dag og på den baggrund foreslå forandringer af gældende regler og praksis.

Ekspertgruppens overordnede filosofi er, at mere registrering og registersamordning kan modvirke terrortrusler og begrænse uønsket indvandring.

Respekten for privatlivet udfordres

Problemet er, at de mange eksisterende databaser hver for sig er opbygget med et bestemt formål. Asylansøgeres fingeraftryk samles i EURODAC, visumansøgere har data i registret VIS, indrejsende registreres i Schengen Information System og så videre. En sådan formålsbegrænsning er en grundsøjle i al persondatalovgivning, og skal sikre retten til respekt for privatliv.

Hvis dørene åbnes mellem de forskellige registre, vil de kunne bruges til andet og mere end deres egentlige formål. Den problemstilling er kendt fra et aktuelt dansk lovforslag om at give politiet udvidet adgang til dataregistre.

»Vi er kritiske over for, at lovforslaget er uklart med hensyn til, hvilke registre der kan sammensmeltes, og hvordan de kan blive brugt,« siger Rasmus Theede, formand for Rådet for digital sikkerhed, en interesseorganisation med virksomheder og foreninger som medlemmer.

Under mistanke eller ej

Anja Møller Pedersen, som er Ph.d.-studerende ved Institut for Menneskerettigheder på Københavns Universitet, peger i et høringssvar til lovforslaget på, at der åbnes op for, at politiet vil kunne foretage systematiske analyser af oplysninger om den danske befolkning. Selv af borgere, der hverken er eller nogensinde vil komme under selv den fjerneste mistanke, hvis det er nødvendigt ud fra en politifaglig vurdering.

Udover politiets egne registre, vil analyserne også kunne bygge på ”offentligt tilgængelige kilder,” herunder opdateringer på sociale medier og kommentarer til nyheder på nettet.
Anja Møller Pedersen er ikke bekendt med arbejdet i EU’s ekspertgruppe, men genkender problemstillingen fra det danske lovforslag.

»Hele logikken er, at man skal kunne gå ud over de begrænsninger, som følger af de enkelte registres formålsbestemmelser. Det kan selvfølgelig være godt og effektivt til bekæmpelse af kriminalitet, men hvis der er for meget elastik i, hvornår politiet kan foretage sådanne analyser, sker det på bekostning af borgernes retssikkerhed,« siger hun.

EU-institutionernes datatilsyn EDPS (European Data Protection Supervisor) deltager i ekspertgruppens arbejde. EDPS talsmand Olivier Rossignol skriver i en mail, at der selvfølgelig aldrig skal kunne opstå en situation, hvor en myndighed, som ikke har adgang til et bestemt register, skaffer sig adgang gennem andre informationssystemer.

Arbejde bag lukkede døre

Hvordan ekspertgruppen så vil løse konflikten mellem at have bestemte formål i EU's registre og ønsket om at samkøre databaserne, vil vise sig ved gruppens endelige anbefalinger senere i foråret. Derefter skal Kommissionen tage stilling til, hvilke af gruppens forslag man vil gå videre med.

Ekspertgruppens arbejde er ukendt for Datatilsynet, den danske myndighed som har til opgave at sikre borgerne mod misbrug af personoplysninger, ligesom det er ukendt for Anja Møller Pedersen og for Rådet for digital sikkerhed.

»Det er ikke noget, vi er blevet orienteret om, men så forstår jeg bedre de spørgsmål, jeg tidligere har mødt fra den franske minister, som undrede sig over, hvordan vi i Danmark ser på samkørsel af forskellige registre,« siger Datatilsynets direktør Cristina Angela Gulisano.

Danmark har en jurist og en IT-sagkyndig fra Rigspolitiet med i ekspertgruppen, men de ønsker ikke at udtale sig om gruppens foreløbige arbejde, der beskrives som ”semi-politisk”.

 

Skærmbillede 2017-04-27 11.05.29

GRAFIK. Sådan beskriver embedsmænd i EU-ledelsen de mange registre og informationsveje indenfor det retslige område. Bundlinjen er klar: Her er behov for ”interoperabilitet”.

Kilde: Overview of the information exchange environment in the Justice and Home Affairs area, Rådets generalsekretariat Bruxelles 2017-02-17. 

Overblik over de centrale databaser

SIS (Schengen Information System) – personer som skal nægtes tiltræde til EU, er eftersøgte af politiet, er rapporteret savnede, er eftersøgte i retssager som vidner plus stjålne køretøjer, rejsedokumenter, kreditkort, mv.

VIS (Visa Information System) – udstedte vis og visum-ansøgninger med ansøgernes fingeraftryk.

EURODAC (European Dactyloscopy) – fingeraftryk fra asylansøgere og ikke godkendte indrejsende.

ECRIS (European Criminal Records Information System) – strafferegister

CIS (Customs Information System) – personer mistænkte for smugling eller indførsel af ikke tilladte varer i EU.

EIS (Europol Information System) – politiregister over dømte, mistænkte, og eftersøgte plus stjålne køretøjer og dokumenter, trusselsvurdering, information om kriminelle netværk mv.

Prüm – ikke et centralt register men en beslutning (tidligere en aftale) om udveksling af fingeraftryk, DNA-profiler, og oplysninger om stjålne køretøjer mellem EU-lande.

PNR (Passenger Name Record) – data over flypassagerers bookingdata og rejsemønster (i kraft fra 2018).

ETIAS (European Travel Information and Authorisation System) – foreslået nyt system for registrering af ikke EU-borger som rejser ind i EU fra lande uden visumkrav.

EES (Entry-Exit System) – forslag om automatiseret paskontrol, forhandles
foråret 2017 mellem EU-parlamentet og Ministerådet.

Samordningen kan også komme at omfatte register ved det internationale politisamarbejde INTERPOL, og kommende forslag at registrere alle – også EU-borgere – som rejser ind og ud af EU.

 

Ny bogudgivelse:

Samfundstanker3a

Du kan læse meget mere om Europol, Sikkerhedsunionen og samkøringen af registre og databaser i DEO's nye udgivelse i serien Samfundstanker:

SIKKERHED I ET ÅBENT EUROPA - SAMFUNDSTANKER #3