Huskeliste for god åpenhet ved bruk av kunstig intelligens

HVEM skal du være åpen for?

• Start med å identifisere hvem mottakerne/målgruppa for informasjonen er, og prøv å sette seg inn i situasjoner de trolig er i når de mottar informasjonen. Er det et verktøy for saksbehandlere i en rolig kontorsituasjon? Eller for leger i en akuttsituasjon? Skal brukene legge inn sine egne persondata? Er det i så fall i en setting der de føler seg trygge? Er det sensitiv informasjon? Kan du forutse forstyrrelser som kan påvirke situasjonen når brukerne skal motta og vurdere informasjonen?
• Fokusgrupper er ett eksempel på et verktøy for å «bli kjent med» brukerne/de registrerte. Hjelp dem med å leve seg inn i en brukersituasjon med KI-løsningen din, og test ut hvordan de reagerer på forskjellige formuleringer eller elementer ved den.
• Er det sine egne persondata brukerne skal bruke i verktøyet? I så fall må de både få informasjon om hva som registreres og hvordan det brukes, i tillegg til eventuelt en forklaring på hvordan systemet virker.
• Eller er det «profesjonelle brukere» som skal bruke løsningen til behandling av andres personopplysninger? I så fall kan kommunikasjonen splittes opp i to forskjellige budskap til to forskjellige målgrupper. Det gjør det gjerne enklere, fordi det oftest er lettere å kommunisere på en pedagogisk god måte når det er mindre å formidle og målgruppen er spisset.

HVA skal du være åpen om?

• Først og fremst bør du lage en oversikt over hva personvernforordningen krever at du informerer om i ditt tilfelle. Kartlegg om ditt prosjekt bruker helautomatiserte beslutninger, involverer særlige opplysninger (f.eks. helseopplysninger) eller av andre grunner utløser skjerpede krav, og vurder hvordan det påvirker hva du må informere om.
• Er løsningen din rettet mot bruk i offentlig sektor, finn ut hvilke særlover som gjelder (f.eks. opplæringslova om du vil tilby et verktøy til bruk i skolen). Finnes det egne åpenhetskrav i disse regelverkene, som påvirker prosjektet ditt og hva du må informere om?
• Også for rent kommersielle produkter er det relevant å sjekke hva andre deler av lovverket enn personvernforordningen stiller av informasjonskrav. Påvirker f.eks. markedsføringsloven, angrerettloven eller finansavtaleloven hva du må eller bør informere om?
• Har du oversikt over informasjonsflyten og om løsningen din deler personopplysninger med andre? Husk å informer brukerne hvis du deler personopplysninger med tredjeparter og sørg for at du gjør det lovlig.
• Har du selv nok teknisk innsikt i løsningen til å forklare hvordan algoritmen fungerer og hvilke opplysninger den bruker? Velg en løsning som legger til rette for å gi informasjonen som kreves.
• Lovens krav er en minstestandard for å sikre godt personvern. Vurder om det av forretningsmessige eller etiske hensyn er behov for å gi informasjon utover det loven krever. Hva kan bidra til tillitsbyggende kommunikasjon?

HVORDAN skal du være åpen?

• Husk at det som er innlysende for deg som utvikler eller eier av KI-løsningen, kan være gresk for de fleste brukere. Skriv enkelt. Følg Språkrådets klarspråknormer, slik at både brukere og alle de registrerte skjønner hva du mener med dine forklaringer.
• Test ut alternative formuleringer på potensielle brukere, for å finne ut hvordan de reagerer.
• Husk at for mye informasjon kan slå feil ut. Porsjoner ut infoen i overkommelige doser, trinnvis og akkurat når og der den er relevant. Men ikke misbruk dette rådet til gjemme bort viktig informasjon. Det blir slått hardt ned på innviklet informasjon, som brukerne må gjennom flere lag for å forstå eller finne ut av, jamf. det franske datatilsynets bot på 50 millioner euro til Google LLC.  
• Hvis du skal forklare hvordan algoritmen virker: Kan du få det til å minne mer om en historiefortelling enn en mattetime?
• Ta hensyn til situasjonen brukeren er i, når du utformer informasjonen brukeren skal få.
• Vil brukeren møte den samme forklaringen gjentatte ganger, kan det være lurt å bruke formuleringer som tåler slitasje.

HVOR skal du være åpen?

• I hvilken kanal skal du henvende deg til brukerne? En tørr og grå personvernerklæring fremstår muligens mer seriøs og tillitsvekkende enn fargerike sprett-opp-bokser. Samtidig vil klok bruk av sprett-opp-bokser, der du får informasjonen når den er relevant, gjerne gi en god brukeropplevelse. De forskjellige kanalene har sine styrker og svakheter, som du bør ha et bevisst forhold til.
• Sørg for å ha en personvernerklæring som er lett tilgjengelig – både innholdsmessig og at den er lett å finne.