Forfatter: Jesper Lund, formand for IT-Politisk Forening (jesper@itpol.dk)

Det er stærkt misvisende, når Peter Hummelgaard til DR udtaler, at lovforslag L 218 ikke giver PET adgang til øget overvågning af borgerne.

Peter Hummelgaard siger i videoklippet i DR-artiklen fra Folketingets talerstol ”ikke øget adgang til at overvåge enkeltpersoner”, hvilket i sig selv er et vildledende svar, når lovforslagets kapitel 6 a (større sammenhængende datasæt), samt kritikken heraf i høringssvarene og nyhedsmedierne, handler om masseovervågning af hele befolkningen.

Men også i forhold til undersøgelser og efterforskning (overvågning) af enkeltpersoner (PET-lovens §§ 5-6) får PET adgang til flere oplysninger.

Det uddybes nedenfor.

PET's muligheder som dataindsamling øges

Justitsministeriet anerkender selv i høringsnotatet på side 25, at PET kan indsamle flere oplysninger om flere borgere end under den gældende PET-lov:

Den foreslåede undtagelse [fra § 6 a, stk. 3] vil derudover skulle ses i sammenhæng med det forhold, at der i det særskilte miljø for opbevaring og bestemte andre former for behandling af større sammenhængende datasæt, som den foreslåede ordning har til hensigt at skabe, vil være tale om besiddelse af oplysninger om bl.a. fysiske og juridiske personer hjemmehørende i Danmark i en højere grad, end efter de almindelige nugældende regler i PET-loven om behandling af oplysninger.

Allerede her har Peter Hummelgaard modsagt sig selv.

Forskellen er i høj grad den masseovervågning af hele befolkningen, som lovforslaget skaber mulighed for med større sammenhængende datasæt, sammenlignet med PET-lovens nuværende regler, som kræver en mere en målrettet indsats ved behandling af oplysninger til undersøgelser og efterforskning.

(PET bliver allerede i dag kritiseret for en omfattende informationsophobning, specielt efter ophævelsen af de fleste sletteregler i 2017; men det er ingenting mod hvad det nye lovforslag giver mulighed for).

Et par konkrete eksempler

• Når PET i dag indhenter oplysninger om en gruppe af personer fra andre forvaltningsmyndigheder (PET-lovens § 4), som ikke på forhånd er identificeret, skal PET efterfølgende for hver enkelt person tage stilling til, om oplysningerne er relevante for tjenesten. PET kan ikke bare gemme alle oplysninger til senere analyser i et større datasæt.
• PET-lovens § 3 og dens ”kan have betydning” kriterie giver PET mulighed for at erhverve også meget store datasæt fra eksempelvis datamæglere eller internettet (”OSINT”), men den efterfølgende behandling skal opfølge PET-lovens krav i § 6 a (databeskyttelsesregler) og §§ 7-8, som kræver en mere konkret formodning om, at oplysningerne vil have betydning for tjenesten (”må antages at have betydning” kriteriet).

PET har ikke i dag mulighed for at indsamle og opbevare ikke-bearbejdede rådata til senere ”big data” analyser (på samme måde som FE). Den mulighed efterlyser PET selv i Justitsministeriets rapport om erfaringerne med PET-loven fra juni 2022 (side 50). Lovforslagets kapitel 6 a opfylder PET's ønsker.

PET's overvågning af enkeltpersoner

Lovforslaget ændrer ikke som sådan på reglerne for PET's undersøgelser og efterforskning af enkeltpersoner, og det er formentlig det, som Peter Hummelgaard baserer sine udtalelser til DR på.

Men når PET laver personrettede undersøgelser, vil PET fremover i praksis have adgang til mange flere oplysninger, idet PET kan bruge de større sammenhængende datasæt. Der er kun tale om et særskilt miljø, adskilt fra PET's øvrige oplysninger, når PET laver ikke-personrettede analyser (§ 10 d).

Et konkret eksempel hvor den øgede dataadgang kan have (stor) betydning: i den seneste årsredegørelse vedr. PET (2024) fra Tilsynet med Efterretningstjenesterne kan man læse, at PET registrerer deltagere i politiske demonstrationer. Fremover vil PET med større sammenhængende datasæt have adgang til en politisk profilering af alle brugere af sociale medier, som ligger klar til brug. PET vil også kunne bruge biometriske oplysninger fra datamæglere som Clearview AI for at identificere deltagerne i en demonstration med ansigtsgenkendelse, og derefter samkøre videoovervågning med personernes adfærd på sociale medier, eller andre oplysninger i større sammenhængende datasæt.

De større sammenhængende datasæt er kun ”ikke-personrettede”, så længe dette passer med PET's interesser (fx hvis en borger gør brug af den indirekte indsigtsordning). PET kan til enhver tid trække oplysninger om bestemte (identificerede) personer ud af det særskilte miljø under de almindelige behandlingsregler i PET-loven.

Den automatiserede mistankemaskine (§ 10 d)

Udover at PET får lov til at indsamle (mange) flere oplysninger om borgerne end i dag til de større sammenhængende datasæt, får PET i lovforslagets § 10 d mulighed for at lave omfattende analyser af disse datasæt på grundlag af ”kan have betydning” kriteriet.

Det kriterie betyder, at PET har beføjelser til at lave dataanalysen, medmindre det på forhånd kan udelukkes, at behandlingen vil være relevant for PET (sagt med andre ord: alt hvad PET selv ønsker at gøre er tilladt efter PET-loven).

Det er paradoksalt, at når PET laver undersøgelser af enkeltpersoner skal PET opfylde ”må antages at have betydning” kriteriet (konkret relevanskriterium), mens overvågning af hele befolkningen kan gøres på det mildere (for PET) ”kan have betydning” kriterie (generel relevanskriterium). Der er også færre retsgarantier (faktisk ingen), når PET overvåger hele befolkningen.

Med en analogi fra brevhemmeligheden i retsplejeloven er der en bredere adgang til at åbne og læse hele befolkningens breve (masseovervågning) end en enkelt borgers breve (målrettet overvågning).

PET kan bruge § 10 d til at finde ukendte målpersoner (mistænkte) med data-mining analyser (AI m.v.) af større sammenhængende datasæt. Det er en mulighed, som PET slet ikke har i dag. Behandling af personoplysninger efter indhentning/indsamling skal ske på ”må antages at have betydning” kriteriet i PET-lovens § 5 og §§ 7-8, som ikke tillader sådanne fiskeekspeditioner efter ukendte målpersoner.

Justitsministeriet nævner, at disse analyser bl.a. kan bruges til at finde mønstre og personer, som afviger fra normalbilledet (hvad det så end er). Det betyder imidlertid at en masse borgere vil komme under mistanke hos PET alene på grund af data-mining analyser af de meget store datasæt, som PET nu får mulighed for at indhente og indsamle (en automatiseret mistankemaskine).

Der står direkte i lovforslagets bemærkninger, at de IT-systemer, som PET benytter til disse analyser, kan indeholde fejl og være diskriminerende. Justitsministeriet forestiller sig imidlertid, at en PET-agent altid vil forholde sig kritisk og opdage disse fejlkilder, men al erfaring med AI-baseret masseovervågning viser det modsatte. Påstanden om at disse fejl nok skal blive opdaget modsiges også af, at der vil være tale om meget omfattende datamængder, som PET ikke kan overskue manuelt (uden de diskriminerende IT-systemer).