Årsrapport for 2024

Regulatorisk sandkasse

Datatilsynets sandkasse for personvernvennlig innovasjon og digitalisering har i løpet av 2024 hatt flere prosjekter og mye aktivitet.

Vi har også jobbet internt med å få på plass en ny og forbedret organisering av sandkassen i forbindelse med at den gikk fra å ha prosjektbevilgning til å bli permanent i 2023.

Sandkassen tilbyr enkeltaktører dialogbasert veiledning i innovasjons- og digitaliseringsprosjekter. For å øke nytten og spre kunnskap fra sandkassen, drar vi frem læring fra prosjektene i sluttrapporter og annen generisk veiledning.

Sandkasseprosjekter

Sandkassen publiserte følgende sluttrapporter i 2024:

  • NTNU: I dette sandkasseprosjektet utforsket vi hvilke personvernvurderinger det er relevant å gjøre før NTNU skulle ta i bruk Microsofts KI-assistent, M365 Copilot. Prosjektet munnet ut i konkret veiledning som kan være nyttig for mange virksomheter.
  • Juridisk ABC: Selskapet Juridisk ABC har utviklet LawAi, en juridisk generativ KI-løsning som svarer på spørsmål innen norsk arbeidsrett og tilhørende fagområder. Løsningen skal hjelpe arbeidsgivere og være en støtte i HR-arbeidet. Sandkasseprosjektet utforsket det rettslige grunnlaget i personvernforordningen for behandling av personopplysninger både i utvikling og bruk av en juridisk KI-løsning.
  • Politihøgskolen: Politihøgskolen ønsket å bruke chatlogger fra straffesaker, der rettsvesenet har konkludert med at «grooming» har skjedd, til å trene et KI-verktøyet PrevBOT. Formålet med verktøyet var å identifisere grooming-samtaler på nett. I sandkassen ble det utforsket om det var mulig, i forskingsøyemed, å utvikle PrevBOT innenfor gjeldende lover og etiske retningslinjer.

I tillegg til de tre ferdigstilte prosjektene, hadde vi ved utløpet av 2024 også tre pågående prosjekter.

Sandkasse i ny form

I 2024 la vi grunnlaget for å fornye sandkassen, slik at vi bedre kan utnytte interne ressurser og møte de eksterne behovene. Arbeidet tok utgangspunkt i evalueringen av sandkassen som ble gjennomført av Agenda Kaupang i 2023. Evalueringen konkludert med at måten Datatilsynet har organisert sandkassearbeidet på, inkludert gjennomføring av opptak og prosjekter og kommunikasjon, var tilfredsstillende, men at det samtidig var flere forbedringsområder.

Arbeidet med å bestemme rammene for en ny intern organisering av sandkassen, ble fullført før årsskiftet – med sikte på implementering fra januar 2025. Endringene innebærer å legge til rette for større variasjon, både i hvordan vi gjennomfører sandkasseaktiviteter og hvordan vi formilder læringen fra aktivitetene. Vi ønsker å ha flere aktiviteter og jobbe med å få ut læring og budskap fra sandkassen som treffer flere. Den nye interne organiseringen integrerer sandkassen i større grad i linjen i Datatilsynet.

Utadrettet aktivitet

Åpenhet rundt prosjektene og konklusjonene vi trekker i konkrete problemstillinger som diskuteres i sandkassen, er en viktig del av metoden for å få best mulig effekt og gevinst fra sandkassearbeidet. I løpet av 2024 publiserte vi tre sluttrapporter som ble promotert via kanalene våre. Det ble også skrevet blogger og artikler, og det ble arrangert webinarer i forbindelse med publiseringene. I tillegg løftet vi frem generativ kunstig intelligens som tema for Personverndagen 2024, hvor det var innlegg fra sandkassedeltakere. Vi lagde også episoder om sandkassetematikk i podkastserien SandKasten, samt sendte ut nyhetsbrev med nyheter fra sandkassearbeidet.

Vi har holdt foredrag og innlegg på rundt 20 arrangementer i både inn- og utland hvor temaet har vært sandkassemetoden eller konkrete læringer fra sandkassen. Publikummet for disse innleggene og foredragene har i hovedsak vært representanter fra næringslivet, offentlig sektor og forskningsområdet.

Andre sentrale arrangement er:

  • NOKIOS 2024. Vi arrangerte der en sesjon i hovedprogrammet sammen med NTNU og Helsedirektoratet. Sesjonen handlet om språkmodeller i sandkassen.
  • Sikkerhetsfestivalen på Lillehammer. Vi arrangerte et spor der vi samarbeid med NTNU, og tematiserte hvordan store offentlige virksomheter kan ta i bruk kommersielle språkmodeller for de ansatte, og da spesifikt Microsoft Copilot.

Koordinering og samarbeid

I rapporteringsåret startet Finanstilsynet og Datatilsynet et samarbeid mellom de respektive sandkassene våre. Som en del av samarbeidet inviterte vi særlig banker i prosjekter som utforsker hvordan forebyggingen av økonomisk kriminalitet kan bli mer effektiv gjennom deling av data, til å delta i sandkassearbeidet.

I 2024 ble en representant fra Datatilsynet utnevnt som styringsgruppemedlem for OECD sin ekspertgruppe for KI, data og personvern. Vi bidro inn i arbeidet med en rapport om internasjonalt samarbeid for å oppnå godt personvern i KI-løsninger. Vi deltar også i EU-kommisjonens undergruppe for KI-sandkasser for å dele erfaringer om sandkasser etter KI-forordningen.

Vi har regelmessige møter med andre sandkasser og relevante aktører både nasjonalt og internasjonalt. Vi samarbeider blant annet med andre datatilsynsmyndigheter i Europa som har igangsatt egne sandkasser eller sandkasselignende initiativer, og vi har presentert erfaringer til aktører innen forskning og akademia. Vi har erfart at interessen har vært særlig stor i 2024, ettersom den nye KI-forordningen stiller krav om regulatoriske sandkasser for kunstig intelligens.