Banker og andre finansielle virksomheder skal have udvidet mulighed for digital adgang til blandt andet SKATs oplysninger om borgerne. Det fremgår af et lovforslag, som regeringen netop har fremsat.

Der er for så vidt ikke noget usædvanligt i, at den finansielle sektor indhenter personlige oplysninger fra både nuværende og potentielle kunder, f.eks. når en kunde beder om rådgivning om investeringer mv. Med det argument har en række politikere bagatelliseret bekymringerne om udvidelsen af adgangen til indkomstregisteret. Skatteminister Benny Engelbrecht (S) har bl.a. påpeget, at lovændringen blot vil medføre, at oplysningerne om kundernes personlige forhold nu vil blive indhentet digitalt, fremfor at kunderne selv skal finde og sende oplysningerne til banken. Hertil kommer, at kunderne skal give samtykke til, at der bliver indhentet oplysninger fra Indkomstregisteret.

Lovforslaget bør dog alligevel give anledning til bekymring. Årsagen skal findes i den udvikling, loven om Indkomstregisteret, der er udgangspunkt for det nye lovforslag, har undergået i sin korte levetid. Den er et skoleeksempel på, hvordan lovgivning bliver indført med et konkret og afgrænset formål, men derefter bevæger sig i en helt anden retning.

Flere og flere kigger med

Loven om Indkomstregistret blev vedtaget i 2006 (L 403). Virksomheder og borgere blev dermed under strafansvar pålagt at indberette en række forskellige oplysninger om f.eks. løn, ansættelsesforhold og pension til ét samlet register, som myndighederne kan tilgå i stedet for at indhente oplysningerne fra andre myndigheder, virksomheder eller borgerne selv.

Det fremgår af forarbejderne til 2006-loven, at hovedformålet med oprettelsen af Indkomstregisteret var at lette de administrative byrder forbundet med sagsbehandlingen af en række offentlige ordninger, f.eks. ved tildeling af SU, kontanthjælp og boligstøtte. Allerede ved lovens vedtagelse advarede Datatilsynet (i et høringssvar) mod at give private virksomheder adgang til oplysningerne i indkomstregisteret, da det alt andet lige ville medføre en større risiko for uberettiget brug af oplysningerne.

I 2010 blev loven om Indkomstregisteret ændret (L 1609), således at kommunale sagsbehandlere fik mulighed for at overvåge ændringer i borgernes indkomst- og ansættelsesforhold gennem den såkaldte ’advis-ordning’. Advis-ordningen medførte, at en kommunal sagsbehandler nu kan abonnere på forskellige borgeres oplysninger. Når de pågældende borgeres indkomst- eller ansættelsesforhold ændrer sig, får sagsbehandleren automatisk besked.

Allerede ved en lovændring i 2012 fik den finansielle sektor i begrænset omfang adgang til oplysningerne i Indkomstregisteret (L 593). Lovændringen betød, at alle, der formidler lån, kan indhente oplysninger i Indkomstregisteret til brug for kreditgivning. Ifølge forarbejderne til loven blev udvidelsen af adgangen til oplysningerne i Indkomstregisteret indført efter ønske fra den finansielle sektor. I forbindelse med behandlingen af lovændringen udtrykte den finansielle sektor ligeledes et ønske om, at adgangen til oplysningerne i Indkomstregisteret skulle udvides til også at omfatte rådgivning og ikke kun kreditgivning. Datatilsynet rejste dog i et høringssvar tvivl om, hvorvidt en sådan udvidelse ville være forenelig med persondataloven. På den baggrund afholdt skatteministeren sig fra at imødekomme den finansielle sektors ønske.

Det nuværende lovforslag (L 41) er reelt en gennemførelse af den finansielle sektors ønske fra 2012 om også at få adgang til oplysningerne i Indkomstregisteret i rådgivningssituationer. Det fremgår da også af forarbejderne, at formålet med lovforslaget bl.a. er at lette bankernes adgang til at indhente personlige oplysninger, og at den finansielle sektor dermed forventes at kunne spare ressourcer.

Herudover sendte beskæftigelsesministeren den 12. august 2014 et udkast til et lovforslag i høring, hvoraf det fremgår, at regeringen har til hensigt at give Arbejdstilsynet adgang til at indhente oplysninger fra Indkomstregisteret – vel at mærke uden borgernes og virksomhedernes samtykke. Formålet med at give Arbejdstilsynet adgang til oplysningerne er, at Arbejdstilsynet vil kunne anvende oplysningerne til at udpege og føre kontrol med virksomheder, hvor der kan være risiko for social dumping.

Øget overvågning

På ganske kort tid har indkomst registeret dermed bevæget sig fra at være en samling af oplysninger, der hovedsageligt havde til formål at lette sagsbehandlingen af forskellige offentlige ordninger til nu at stille selvsamme oplysninger til rådighed for den finansielle sektor. Hertil kommer, at både indførelsen af advis-ordningen og Arbejdstilsynets påtænkte adgang til Indkomstregisteret tegner et billede af, at Indkomstregisteret i stigende grad vil blive benyttet som et værktøj til brug for en mere effektiv overvågning og kontrol med både borgere og virksomheder. Der er intet, som tyder på, at det var hensigten med oprettelsen af Indkomstregisteret.

En række sager har i det seneste år vist, at hverken det offentlige eller det private erhvervsliv tilsyneladende er i stand til at garantere, at personfølsomme oplysninger ikke misbruges. Tænk blot på Nets- og CSC-sagen eller Rigsrevisionens skarpe kritik af en række myndigheders data­behandling. Set i det lys er det bemærkelsesværdigt, at skatteministeren nu mener, at tiden er inde til at udvide adgangen til oplysningerne i Indkomstregisteret.

Risikoen for misbrug af oplysningerne er ikke teoretisk, men derimod meget reel.

Hertil kan det indvendes, at borgerne jo bare kan lade være med at give samtykke til, at den finansielle sektor kan indhente personfølsomme oplysninger. Men som en række interesseorganisationer har påpeget – heriblandt Advokatrådet og Danske Advokater – er muligheden formentlig illusorisk. Yderligere er det i vid udstrækning op til den finansielle sektor selv at vurdere, hvilke oplysninger der er relevante at indhente.

Glidebane

Der er intet til hinder for, at adgangen til oplysningerne i Indkomstregisteret i fremtiden vil blive udvidet endnu mere. Udviklingen viser tydeligt, at politikerne ikke holder sig tilbage fra at udvide både myndigheder og virksomheders adgang til oplysningerne i Indkomstregisteret. Digitaliseringsstyrelsen har ligeledes i et høringssvar til lovforslaget anført, at styrelsen ser positivt på, at offentlige data gøres tilgængelige for virksomheder og private.

Udviklingen i adgangen til Indkomstregisteret bør give anledning til bekymring for, hvordan oplysningerne i Indkomstregisteret for fremtiden vil blive anvendt. Det er problematisk, at data, der er indsamlet med et forholdsvis afgrænset formål, efterfølgende bliver benyttet til helt andre formål. Det gør det umuligt for borgerne på forhånd at vurdere, hvordan deres personlige oplysninger vil blive anvendt, når de indsamles. Hvis myndighederne forventer, at borgerne også fremadrettet skal have tillid til, at deres personoplysninger forvaltes på en hensigtsmæssig måde, er det afgørende, at lovgiver er meget mere tilbageholdende med at udvide adgangen til borgernes personoplysninger. Det bør kun ske, såfremt det er absolut nødvendigt, og ikke fordi det er bekvemt f.eks. for private virksomheder eller myndigheder. Det seneste lovforslag er et stort skridt i den forkerte retning.