Det er ikke nogen hemmelighed, at der er penge i data. Mange penge. Ifølge tal fra Rigsrevisionen vurderes det, at Danmark vil kunne øge sit bruttonationalprodukt med 34,4 mia. kroner, hvis man frigiver al offentlig ejet data.

For der ligger et kæmpe uudnyttet potentiale i alle de offentlige data. Det er ihvertfald udmeldingen fra erhvervsminister Simon Kollerup, der i sidste uge inviterede virksomheder fra hele verden til at være med til at komme med kreative ideer til, hvordan danskernes sundhedsdata kan bruges til f.eks. forebyggelse.

"Vi har en exceptionelt høj kvalitet, når det kommer til sundhedsdata i Danmark – ligesom vi har meget høje standarder for dataetik. Det er data, der kan være med til at redde liv og udvikle nye sundhedsløsninger, hvis vi bruger dem klogt. Konkurrencen handler om at få nye idéer til, hvordan vi gør det bedst", skriver erhvervsminister Simon Kollerup (S) i en e-mail til Berlingske.

Tænk på mulighederne - hvad hvis vi kunne effektivisere vores forebyggelse af alvorlige sygdomme som kræft og diverse livsstilssygdomme via bedre samkøring af de data, som det offentlige behandler om os? 

Fordelene burde tale for sig selv. Derfor er der også sket en eksplosion de sidste ti år af de såkaldte wearables til privat brug som f.eks. Apple Watch og Fitbit, der netop er blevet opkøbt af Google for 2,1 mia. USD. Devices, der først og fremmest måler dig og indsamler data om dit helbred, din gøren og din laden. Altså devices, der kan fortælle dig om du nu sover nok, burde løbe dig en tur eller om du er tæt på en stressdiagnose.

Netop Googles opkøb af Fitbit rejser flere interessante spørgsmål i forhold til techgiganternes indtog på markedet for health care devices. Opkøbet sker stort set simultant med, at Etisk Råd netop har udgivet en større redegørelse, der peger på de juridiske og etiske udfordringer ved brugen af wearables - både i forhold til techgiganternes opsamling og behandling af data, men også i forhold til potentialet for det offentlige i forhold til at samkøre data. For hvordan sikrer vi, at behandling af vores data, både i det offentlige og i det private, sker med respekt for gældende lovgivning? Og hvad betyder det øgede kommercielle fokus på sundhedsdata for techvirksomhedernes evne til at profilere os, henvende sig til os og måske endda adfærdsregulere og forme vores muligheder i samfundet?

Google betaler milliarder for sundhedsdata

Fitbit var tilbage i 2009 et af de første brands, der for alvor sparkede gang i markedet for wearables. I dag har firmaet solgt i omegnen af 100 mio. devices, og mange kalder stadig konkurrerende brands for en Fitbit.

Så Googles opkøb af Fitbit er en direkte forlængelse af firmaets forretningsudvikling og afsøgning af nye markeder. Interessant er det dog at kigge på, hvordan Google så vil behandle den data, som de nu får adgang til. Fitbits oprindelige dataopsamling er siden starten i 2009 blevet lagret via egen server, egen app og egen hjemmeside, og med Googles opkøb følger den megen data med.

Netop derfor kigger de amerikanske myndigheder netop nu aftalen igennem. Og Google er da også eksplicitte i forhold til opsamling af data - i aftalen hedder det således at Google “aldrig sælger personlige information videre til andre” og at “Fitbit sundhedsdata aldrig vil blive brugt til Google adds". Det skriver Wired.com, der dog fik afslag på interview fra begge firmaer. For mens Google er klare om, at de ikke vil bruge Fitbit-data til at markedsføre, så forholder de sig ikke til de andre måder, hvorpå Google kan få gavn af dataen. Som vox.com skriver, så kunne man forestille sig at dine Fitbit-data kunne bruges til a påvirke dine Google-søgeresultater, foreslå restauranter i dit nabolag eller f.eks. at bygge nye sundhedsprodukter og at fremsætte forslag til kalenderinvitationer.

Opsamlingen og behandlingen af sundhedsdata fra de store techvirksomheder er dog forbundet med risici. Således pointerede bestyrelsesformanden for American Medical Association Jesse Ehrenfeld i sidste måned til New York Times at: 

”Patienter er måske ikke klar over, at deres genetiske, reproduktive helbred, stofmisbrug og information om mental sundhed kan bruges på måder, der i sidste ende kan begrænse deres adgang til sundhedsforsikring, livsforsikring eller endda blive afsløret til deres arbejdsgivere. Data om patienters privatliv kan ikke gendannes, når først de er mistet."

I samme artikel påpeger datasikkerhedsekspert Andrea Downing, at:

"Uden meningsfuld beskyttelse eller gennemsigtighed om, hvordan data deles, kunne de bruges (...) af et forsikringsselskab til at nægte os dækning."

For mens Google som udgangspunkt er kendt som en softwarevirksomhed, så viser opkøbet af Fitbit, at fokus også er på hardwaremarkedet. Ifølge vox.com er opkøbet det seneste skridt fra søgemaskinen til at komme ind på hardwaremarkedet, som mange har påpeget er mere indbringende for de data, den indsamler, end for faktisk salg af enheder. Google har allerede gjort sit indtog her gennem sin erhvervelse af smart home device-udvikleren Nest såvel som med sine Google Home smart-højttalere. I januar brugte Google også 40 millioner dollars til at erhverve teknologien bag Fossils smartur.

En indgribende form for databehandling

Netop databehandling i relation til sundhedsdata medfører både etiske og retlige problemstillinger. Først og fremmest fordi sundhedsdata betragtes som yderst personfølsomme oplysninger, og så fordi, at sundhedsdata for den almene borger ikke umiddelbart er en håndgribelig størrelse - ved Hr. og Fru. Jensen hvad de skal og kan bruge data om deres insulinniveau til isoleret set? Og kan Hr. og Fru Jensen overskue, hvad selvsamme data kan bruge til i en stor kvantificeret mængde, hvor det godt nok er anonymiseret men dog kan bruges til en skarp profilering af kundegrupper? 

Netop derfor udgav Etisk Råd som bekendt i sidste uge en større redegørelse, der bl.a. i samarbejde med Hanne Marie Motzfeldt, lektor ved Det Juridiske Fakultet, peger på en række anbefalinger i forhold til wearables, ligesom også de retlige problemstillinger belyses. 

Og mens Googles opkøb af Fitbit i første omgang skal ses i kommercialt regi, så er der ifølge redegørelsen flere steder, hvor de danske sundhedsmyndigheder opsamler og anvender data fra kommercielle udviklere af wearables. I en sådan konstellation er der selvsagt helt klare rammer for, hvordan databehandlingen skal finde sted, ligesom også dataansvaret er rimelig fast. Som det fremgår af redegørelsen:

"Indgår en sundhedsmyndighed en kontrakt om udvikling og drift af en wearabletjeneste med en privat it-leverandør med henblik på opsamling af data, der skal anvendes ved myndighedens behandling af en konkret patient, er
sundhedsmyndigheden at betragte som dataansvarlig." 

Et presserende spørgsmål er, hvorvidt de danske sundhedsmyndigheder ville kunne få adgang til data om borgerne med henblik på forebyggelse via wearables som f.eks. Fitbit, altså devices som indsamler data udelukkende til kommercielt brug? Her er redegørelsen fra Etisk Råd klar - Datatilsynet har allerede lagt fast, at "den hidtidige nationale praksis om god databehandlingsskik i forbindelse med offentlige myndigheders modtagelse af oplysninger fra andre aktører består under GDPR. Offentlige myndigheder kan dermed som udgangspunkt ikke bruge oplysninger, de har modtaget fra en samarbejdsparter, der har indsamlet dem ulovligt."

Om Google og Fitbit indsamler data ulovligt kan dog være svært at svare på, for brugerne af disse devices skal jo godkende gældende terms and conditions, som det må antages at de færreste læser.