Det radikaliserade dataskyddet
Jag är ingen vän av e-post. Det är t.o.m. så att jag i mina föreläsningar brukar framhålla att jag i minst 15 år sagt: "om 5 år kommer inte e-post att finnas kvar för det är en så himla dum kommunikationsform" men att jag ständigt har haft fel och säkert kommer att ha det nu också.
Denna utgångspunkt gör mig inte mindre förvånad över några händelser de senaste månaderna. Den första var under en kurs för kommunala chefer som jag ledde där en av dessa lyfte en för hen angelägen fråga. Hen frågade hur jag såg på att skicka ut handlingar rörande bygglov via mejl till enskilda fastighetsägare. Jag började på någon liten harang om att det naturligtvis kan finnas vissa säkerhetsproblem som risken att handlingarna inte kom fram till rätt adressat men att jag inte (utifrån den mycket knapphändiga information jag fått) såg detta som ett särskilt allvarligt problem. Och det finns ju åtgärder som skulle kunna avhjälpa en del. Den kommunala chefen förtydligade snabbt sin fråga och sa att det var dataskyddssamordnaren som hävdat att det inte var tillåtet (eller liknande formulering) att skicka personuppgifter via e-post. Detta hade ställt till det rejält både för förvaltningen och för de invånare som snabbt och smidigt behövde sina handlingar för att gå vidare med byggen. Diskussioner hade förts med dataskyddssamordnaren om detta verkligen korrekt men samordnaren var benhård - inga mejl med fastighetshandlingar. Jag var överrumplad på scenen men lyckades ändå säga att jag inte kunde förstå detta eftersom 1) handlingarna inte innehöll några känsliga personuppgifter och 2) med den tolkningen skulle det ju inte gå att över huvudtaget skicka mejl eftersom både avsändarens och adressatens adresser är personuppgifter.
Sedan dess har jag fått ytterligare några exempel främst från kommuner och regioner där det hävdats att man inte kan skicka över information som innehåller personuppgifter via e-post. Senast i förra veckan hävdade en regional tjänsteman först att de inte kunde skicka över en lista rörande anställdas bisysslor och lyckades sedan trassla in sig i att hen inte kunde skicka e-posta en lista över diarieförda ärenden. När jag harklade mig litet och sa att det nog blir en litet svår hållning sett till offentlighetsprincipen att diariets ärendebeteckningar skulle vara så känsliga trots att de inte innehöll känsliga personuppgifter så hejdade sig handläggaren och skrattade. Absurditeten har sina gränser även i dessa frågor.
Jag kan inte låta bli att undra var den här radikaliserade hållningen till dataskyddsfrågor kommer från och hur den kan accepteras trots att den strider mot alla möjliga saker som serviceskyldigheten, försvårar för verksamheten och kostar rätt mycket (tänker porto och handläggning av pappershandlingar). Samt att det verkligen inte stärker offentlighetsprincipen. Det är ju knappast IMY som uppmuntrat detta synsätt gällande personuppgifter som inte är känsliga. På myndighetens webbplats finns det inget som tyder på detta i alla fall. Är det någon som vet varifrån denna inställning kommer får ni gärna höra av er.
Integritet är en central fråga för mig och därför tycker jag att det är tragiskt om frågan vantolkas eller används som någon slags internt maktmedel med underförstått hot om sanktionsavgifter. Än mer så om fokus i dataskyddsarbetet ligger på frågor med ringa eller ingen påverkan på den enskildes integritet medan de stora frågorna som sekundär användning av patientuppgifter eller övervakning bara slinker förbi. Och vi behöver kanske inte göra livet krångligare än vad det redan är med nyuppfunna regler.