Rettslige krav til åpenhet
Åpenhet er et grunnleggende prinsipp i personvernforordningen (GDPR), og går i korte trekk ut på at den opplysningene gjelder (den registrerte) skal bli informert om hvilke persondata som blir registrert og hvordan de blir brukt. Åpenhet om behandling av personopplysninger er en forutsetning for at folk skal kunne ivareta rettighetene sine. Åpenhet kan også kan bidra til å avdekke feil og usaklig forskjellsbehandling, og det kan bidra til å skape tillit.
Uavhengig av om behandlingen benytter kunstig intelligens eller ikke, har personvernforordningen krav til åpenhet og informasjon ved behandling av personopplysninger. Kort oppsummert stilles det krav til at:
- Det er et grunnleggende krav at personopplysninger skal behandles på en åpen måte, jf. personvernforordningen artikkel 5 nr. 1 bokstav a. Dette innebærer for eksempel at den behandlingsansvarlige må sørge for at den registrerte har tilstrekkelig informasjon for å kunne ivareta sine egne rettigheter.
- Den registrerte skal få informasjon om hvordan personopplysningene brukes, enten de er innhentet fra den registrerte selv eller fra en eller flere tredjeparter, jf. personvernforordningen artikkel 13 og 14.
- Dersom opplysningene er samlet inn fra den registrerte selv, skal slik informasjon gis før eller samtidig med at opplysningene samles inn, jf. artikkel 13. Er opplysningene innhentet fra andre kilder, må den behandlingsansvarlige gi den registrerte informasjon innen rimelig tid etter at opplysningene er samlet inn, jf. artikkel 14.
- Informasjonen skal være skrevet på en forståelig måte og på et klart og enkelt språk, jf. personvernforordningen artikkel 12. Informasjonen skal i tillegg være lett tilgjengelig for den registrerte.
- Den registrerte har rett til å få informasjon om personopplysninger som behandles om seg, og innsyn i sine egne opplysninger, jf. personvernforordningen artikkel 15.
Utfyllende veiledning finnes i WP29s/EDPBs veiledning om åpenhet.
Krav til åpenhet knyttet til utvikling og bruk av kunstig intelligens
Bruk av kunstig intelligens deles normalt inn i tre hovedfaser:
- utvikling av algoritmen
- anvendelse av algoritmen
- etterlæring og forbedring av algoritmen.
Personvernforordningens krav til informasjon er generelle og i utgangspunktet de samme for alle fasene. Men det er også krav som kun blir relevante for enkelte faser. For eksempel vil kravet om å informere om den underliggende logikken i den kunstige intelligensen som regel bare være relevant for anvendelsesfasen.
Kunstig intelligens i tre faser
I utviklingsfasen er formålet med behandlingen å utvikle en eller flere algoritmer eller KI-modeller. Personopplysningene som benyttes er gjerne historiske data som opprinnelig ble samlet inn for et annet formål enn utvikling av en KI-modell. I anvendelsesfasen benyttes KI-modellene til å løse en konkret oppgave i praksis. Formålet med behandlingen er normalt knyttet til oppgaven som skal løses. I den siste fasen, etterlæringsfasen, skal KI-modellen videreutvikles og forbedres. Etterlæringsfasen er en kontinuerlig utvikling av algoritmen basert på nye opplysninger samlet inn i anvendelsesfasen.
I det følgende forutsetter vi at behandlingen i alle de tre fasene har rettslig grunnlag i art. 6 – se mer om behandlingsgrunnlag. Vi vil se nærmere på informasjonsplikten i de ulike fasene.
Informasjonskrav i utviklingsfasen
Personvernforordningen artikkel 13 og 14 pålegger virksomheter en informasjonsplikt ved innsamling og bruk av personopplysninger til utvikling av algoritmer. Artikkel 13 gjelder for opplysninger som er samlet inn fra den registrerte selv, for eksempel gjennom spørreskjema eller elektronisk sporing. Artikkel 14 regulerer tilfeller der opplysningene er samlet inn fra andre kilder eller allerede har blitt samlet inn, eksempelvis fra en eller flere tredjeparter eller offentlig tilgjengelige opplysninger.
Når opplysningene er samlet inn fra den registrerte selv følger det av art. 13, at ved behandling av personopplysninger i utvikling av KI-systemer må den behandlingsansvarlige gi informasjon om:
- Hvilke typer av personopplysninger som behandles
- Hva formålet med utviklingen av algoritmen er
- Hva som skjer med opplysningene etter at utviklingen er avsluttet
- Hvor opplysningene er samlet inn fra
- I hvilken grad KI-modellen behandler personopplysninger og om det er iverksatt tiltak i form av pseudonymisering av opplysningene
I utgangspunktet vil all behandling av personopplysninger utløse rettigheter til de registrerte. De mest relevante er retten til å be om innsyn, sletting, retting og i noen tilfeller å protestere mot en behandling. Ofte blir store mengder personopplysninger brukt i utvikling og trening av kunstig intelligens. Det er derfor viktig at både utvikling og trening av løsningen blir vurdert konkret opp mot regelverket.
Ved bruk av allerede innsamlede data som har blitt benyttet til et annet formål enn utvikling av KI-systemer, for eksempel virksomhetens opplysninger om kunder eller brukere, følger stort sett de samme pliktene av art. 14.
Men det er et unntak i art. 14 nr. 5 som kan være relevant for utvikling av KI-systemer. På grunn av de store datamengdene som ofte kreves ved utvikling av KI-systemer, kan det bli svært ressurskrevende å informere alle registrerte som inngår i dataene. For eksempel i forskningsprosjekter, der det brukes registerdata fra flere hundre tusen mennesker, kan det være vanskelig å gi hver og en individuell informasjon. Det følger av art. 14 nr. 5 at det kan gjøres unntak hvis den registrerte allerede har informasjonen, det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett, eller dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt.
Vurderingen av hva som vil innebære en uforholdsmessig innsats, vil alltid bygge på skjønn og en konkret helhetsvurdering. Datatilsynet anbefaler uansett å gi et minimum av informasjon, slik at det er forutsigbart for den enkelte registrerte om opplysningene benyttes til utvikling av KI. Dette kan ivaretas ved at generell informasjon om behandlingen publiseres på et offentlig tilgjengelig område, for eksempel nettsiden til virksomheten. Informasjonen skal være tilgjengelig for de registrerte før viderebehandlingen gjøres.
Informasjonskrav i anvendelsesfasen
I anvendelsesfasen vil kravene som stilles til informasjon avhenge av om KI-modellen brukes som en beslutningsstøtte eller til å produsere helautomatiserte beslutninger.
For automatiserte avgjørelser som har rettsvirkning eller i betydelig grad påvirker en person, gjelder det særlige krav til informasjon. Hvis en behandling kan kategoriseres som en automatisert avgjørelse etter artikkel 22, stilles det ekstra krav til åpenhet, jf. art. 13 nr. 2 bokstav f. og art. 14 nr. 2 bokstav g.
- Informasjon om vedkommende blir utsatt for en automatisert avgjørelse
- Informasjon om retten til ikke å være gjenstand for en automatisert beslutning etter artikkel 22
- Meningsfull informasjon om den underliggende logikken i KI-systemet
- Betydningen av, og de forventede konsekvensene, av å bli utsatt for en automatisert avgjørelse
Selv om det ikke er et uttrykkelig krav om å gi den registrerte slik tilleggsinformasjonen når KI-systemet brukes som et beslutningsstøtteverktøy, anbefaler Datatilsynet at det også gis tilleggsinformasjon i disse tilfellene. Spesielt der «meningsfull informasjon om den underliggende logikken» kan gjøre den registrerte bedre i stand til å ivareta sine rettigheter.
En meningsfull forklaring er ikke bare avhengig av tekniske og juridiske krav, men også språklige og designmessige vurderinger. Det må også vurderes hvilken målgruppe forklaringen retter seg mot, noe som vil kunne innebære en forskjell for profesjonelle brukere (som NAV-veilederne og lærerne i de påfølgende eksemplene) og mer sporadiske brukere (forbrukere, barn, eldre).
I denne veilederen fra EU er det gitt veiledning på hva en meningsfull forklaringen om logikken kan inneholde.
Den behandlingsansvarlige må vurdere detaljnivået på forklaringen om hvordan algoritmen fungerer, og samtidig fokusere på at informasjonen skal være klar og forståelig for den registrerte, ved for eksempel å informere om:
- kategoriene av data som har blitt eller vil bli brukt i profilerings- eller beslutningsprosessen;
- hvorfor disse kategoriene anses som relevante;
- hvordan en profil som brukes i den automatiserte beslutningsprosessen er bygget opp, inkludert eventuell statistikk som brukes i analysen;
- hvorfor denne profilen er relevant for den automatiserte beslutningsprosessen; og
- hvordan den brukes til en avgjørelse som angår den registrerte.
Det kan også være nyttig å vurdere visualisering og interaktive teknikker for å hjelpe til med algoritmisk åpenhet.
For offentlige virksomheter vil det også kunne gjelde andre krav til informasjon om begrunnelsen av automatiserte beslutninger, f. eks. etter forvaltningsloven eller sektorlovgivningen.
I de tilfellene det foreligger en rett til å protestere etter art. 21, skal den registrerte gjøres uttrykkelig oppmerksom på retten til å protestere etter artikkel 21 nr. 4. Den behandlingsansvarlige har et ansvar for at denne informasjonen gis på en klar måte, atskilt fra annen informasjon, og at den er lett tilgjengelig – både fysisk og pedagogisk. Det er naturlig å inkludere det i en personvernerklæring, men det alene er sannsynligvis ikke tilstrekkelig for å oppfylle kravet. De registrerte bør i tillegg bli informert om retten til å protestere i grensesnittet der igangsettingen av behandlingen skjer. Er det for eksempel snakk om en søknadsportal, bør informasjonen være synlig på nettsiden eller appen der utfyllingen av personopplysninger starter.
Når det gjelder bruk av innhentede personopplysninger i anvendelsesfasen til etterlæring av KI, vil kravet til informasjon i hovedsak sammenfalle med kravene fra utviklingsfasen.