|>>SVENSKFINLAND GRANSKAS 2008-2010<<|

REPORTAGE 2008-12-31

DEL II

I förra delan av detta reportage avslöjade vi allvarliga brister i dataintegriteten hos de privata stipendiefonderna i Finland. Nu kommer vi att ta en närmare granskning av problemet och undersöka hur läget i Finland ser ut i jämförelse med västländer såsom Kanada. Vi ser även hur ett företag i Finland fått alltmer ansvar och makt genom åren när företaget fått i uppgift att handskas med tusentals finländska och internationella forskares känsliga person- och projektuppgifter.

Våra intervjuer har gett intrycket att Finland, precis som Kanada och många EU-länder, har en modern dataskyddslagstiftning som skulle kunna tillämpas av de privata stipendiefonderna och övervakas av landets dataskyddsombudsman. Problemet vi har upptäckt är snarare att man i Finland inte tillämpar den befintliga lagstiftningen på många viktiga områden.

Den kanadensiska erfarenheten

Vi har tagit oss ut i världen, långt ifrån Ankdammen och Finland för att få svar på några viktiga frågor som stipendiesökande kan tänkas ställa. I Kanada, precis som inom EU och i Finland, har man en välutvecklad dataskyddslagstiftning. Stipendiesökande har rätt att veta varför deras uppgifter behövs och vad de kommer att användas till i förväg, alltså innan de skickar in uppgifterna. Hos fonderna i Kanada har man också sedan länge tagit ett system i bruk för att gardera sig mot fusk hos sakkunniga eller mot brister i utlåtanden.

Enligt flera experter som vi intervjuade hos Kanadas samhällsvetenskapliga och humanistiska forskningsråd (Social sciences and humanities research council of Canada – SSHRC) har de sökandes dataskydd och bedömningsprocessens integritet på allvar i flera decennier. Här är det frågan om en statlig stipendiefond som behandlar cirka 12 000 stipendieansökningar per år, delvis via internet. Men lagstiftningen och ansvaret gör ingen skillnad mellan en stipendiefonds privaträttsliga eller offentligrättsliga art. Och på fondens hemsidor och i samband med ansökningarna finns noggranna uppgifter om ansökningsprocessens gång och om hur länge uppgifterna bevaras, vad de används till, vart de kan utlämnas och hur de sökande kan kolla sina egna uppgifter.

På basis av de svar vi har fått i Finland frågar vi experterna hos SSHRC vad de anser vara ”intressekonflikter” som kan utgöra skäl för att misstänka en sakkunnig som bedömer en ansökan för jäv, om en sökande kan varna för en sakkunnig i förväg och hur man hos SSHRC filtrerar ut undermåliga eller misstänkta utlåtanden.

Experterna på SSHRC hänvisar till handböcker som både anställda och sakkunniga tar del av innan de börjar med sina uppgifter. Enligt en av dessa handböcker utgör sakkunniga som är släkt, nära vänner, forskningskollegor, handledare och rivaler en risk för intressekonflikter i processen och bör därför nekas att ta ställning till ifrågavarande sökandes ansökan eller forskningsplan.
Medlemmarna i arbetsutskottet för forskningsområde i fråga, i synnerhet ordföranden, får utbildning om hur de kan identifiera bristfälliga utlåtanden som sedan gallras bort. SSHRC är också förberedd för ”dead agenting” (att en vetenskaplig eller personlig rival inlämnar vilseledande utlåtanden eller muntliga kommentarer vid ett möte i syfte att gallra bort en sökande) om det skulle uppstå, men hittills har detta varit obefintligt som fenomen. Sökande får meddela i förväg om sakkunniga som inte är lämpliga i förhållande till den egna ansökan och ska ge en motivering för detta.

Finländskt slarv med känsliga uppgifter chockerade kanadensiska experter

Vi presenterar uppgifter som vi inhämtat från Finland, där en extern sakkunnig har yppat uppgifter om en sökandes stipendieansökningar utan lov och utanför stipendieansökningsprocessen och frågar hur SSHRC skulle gå tillväga om saken gällde en av fondens externa sakkunniga.
”Beroende på fallets detaljer skulle SSHRC antingen kontakta den sakkunniges universitet och be det att undersöka händelserna i enlighet med de avtal som vi har, eller så skulle vi sätta igång en intern undersökning av fallet på SSHRC. Om det konstaterades att den sakkunnige yppat information, i synnerhet om det fanns skriftliga bevis för detta, skulle vi vidta disciplinära åtgärder mot denne sakkunnige” förklarar en av de intervjuade experterna.

Det finns säkert frågor som inte har funnit en lösning även hos SSHRC i Kanada, men dataskyddets grundläggande frågor tycks inte höra till dessa. När vi granskade dataskyddspraxisen hos Finlands akademi hittade vi många likheter mellan akademin och SSHRC. Registerbeskrivningar finns och användning av externa sakkunniga går till ungefär på samma sätt som i Kanada. Däremot lade vi märke till att Finlands akademi i praktiken utnyttjar internationella sakkunniga i mycket mindre grad än vad som framgår av forskningsrådets föreskrifter.

Så kunde fusket minskas hos stipendiefonderna

Helsingfors företag i besittning av tusentals stipendiesökandes känsliga uppgifter

Datalink Oy för tankarna mer till IT-branschen än till vad detta småföretag på Drumsö i Helsingfors egentligen sysslar med. Företaget är registrerat i företagsregistret i november 1985. En närmare titt på företagets hemsida avslöjar att Datalink erbjuder tjänster åt stipendiefonderna och deras beslutsfattare. Databaser och system för värdering av stipendieansökningar hör till service som det finska företaget tillhandahåller.
Men få stipendiesökande har sett namnet på företaget, förutom i samband med de online-ansökningar som en ökande andel av de finlandssvenska och finska stipendiefonderna de senaste tre åren har börjat operera med. Och få av dessa stipendiesökande torde vara medvetna om att deras uppgifter, tillsammans med tusentals övriga sökandes person- och projektuppgifter, finns bevarade i Datalinks lokaler. Emedan de flesta finländska fonder som utnyttjar Datalinks tjänster inte hade någon som helst registerbeskrivning att visa upp för ett år sedan, kunde vi inte heller hitta någon som helst registerbeskrivning hos Datalink, foretaget som specialiserat sig på databaser och tjänster till stipendiesektorn.
När vi kontaktade företagets VD Antti Etholén fick vi Datalinks förklaring till detta via e-post:
”Varje stipendiefond ansvarar som registerförare för sina egna ansöknings- och stipendieregister, varför vi ber Svenskfinland granskas kontakta de enskilda fonderna med frågor som gäller behandling av personuppgifter”.

Registerbeskrivningar växer som svampar på nätet efter landets första dataskyddsklagomål mot stipendiefonder

När en journalist från Svenskfinland granskas i maj 2007 begärde av två fonder att få se de egna person- och projektuppgifterna och att få veta hur uppgifterna användes, kom inget svar från varken Koneen säätiö (Kone stipendiefond) eller Emil Aaltosen säätiö (Emil Aaltonens fond). Vi följde upp klagomålet, som lämnades in till Dataskyddsombudsmannen i Finland redan den 30 maj 2007. Klagomålet var, enligt de uppgifter vi har fått, det första i Finland som riktats mot de privata stipendiefondernas dataskyddspraxis.
Dokument hos dataskyddsombudsmannen visar att myndigheten under året tog kontakt med flera fonder. Efter något år gick dessa fonder till slut med på att upprätthålla och tillhandahålla registerbeskrivningar samt att informera sökande om hur deras uppgifter kan användas. Trots flera påstötningar om en registerbeskrivning kom det att dröja över ett år innan Koneen Säätiö och Emil Aaltosen säätiö la ut detaljerade registerbeskrivningar på nätet.
Vi lägger märke till att flera av de privata fonderna, bland annat Jenny och Antti Wihuris Fond och Emil Aaltonens fond, hann placera ut lagstadgade registerbeskrivningar på nätet (i maj 2008 ) innan dataskyddsombudsmannens kontor återkom till klagomålsärendet. Beslutet i ärendet fattades den 17 juni 2008 mer än ett år efter att ärendet inleddes, men bara några dagar efter att Svenskfinland granskas kontaktade myndigheten för att få veta varför ärendet hade dröjt så ovanligt länge.

Dataskyddsombudsmannens kansli ville undvika frågor om eventuella förhandsvarningar till fonderna

När vi frågar dataombudsmannens representant överinspektör Mia Murtomäki om de sedvanliga behandlingstiderna hos myndigheten, förklarar hon att den genomsnittliga behandlingstiden är en månad, men att behandling kan dröja upp till tre eller sex månader. Tydligen har detta ärendes behandlingstid varit helt utanför den sedvanliga statistikens ramar.
Vi hade flera avslutande frågor, bland annat om dataskyddsombudsmannens syn på fördelningen mellan Datalink Oy och de enskilda stipendiefonderna vad gäller ansvaret att informera personer vars uppgifter bevaras om sina rättigheter och om hur uppgifterna används. Vi hade också märkt att flera av de nya registerbeskrivningarna inte nämnde någonting om utelämning av personuppgifter till de externa sakkunniga som fonderna använder eller om dessa sakkunnigas plikter vad gäller dataskyddet. Och vi ville ställa frågan om dataskyddsombudsmannens representant hade väntat så länge med ett svar till oss för att kunna ge de överträdande stipendiefonderna tid att rätta till oegentligheterna.

Våra intervjuer har gett intrycket att Finland, precis som Kanada och många EU-länder, har en modern dataskyddslagstiftning som skulle kunna tillämpas av de privata stipendiefonderna och övervakas av landets dataskyddsombudsman. Problemet vi har upptäckt är snarare att man i Finland inte tillämpar den befintliga lagstiftningen på många viktiga områden.

Trots upprepade mail och flera förfrågningar om en intervju, svarade dataskyddsombudsmannens ledande tjänsteman Reijo Aarnio inte på våra frågor.