Ruter ønsker å bruke kunstig intelligens (KI) for å gi personlig tilpassede reiseforslag til kundene sine i Ruter-appen. Reiseforslagene vil genereres ved bruk av KI. Ønsket effekt er å øke bruken av kollektivtransport, mikromobiliet, sykkel og gange, som igjen kan være et bidrag til å nå klima- og miljømål, inkludert nullvekst i personbiltransport.

For å sikre at Ruter forblir en attraktiv tilbyder av mobilitetstjenester i et stadig mer konkurransepreget marked, vil videreutvikling av tjenestene være nødvendig. Samtidig er Ruter avhengig av befolkningens tillit. Derfor har Ruter som mål at enhver anvendelse av KI på brukernes personopplysninger må være ansvarlig og rettferdig.

Sammen med økt personalisering av de digitale produktene har Ruter behov for å gi tydelig, forståelig og brukervennlig informasjon om sine tjenester. Dette sandkasseprosjektet vil utforske hvordan videreutviklingen kan gjøres på en måte som sikrer åpenhet og tillit rundt utviklingen og bruken av KI.

En spesielt interessant problemstilling er knyttet til hvor tydelig man må avgrense formålene med behandlingen på forhånd, all den tid kunstig intelligens' styrke er å oppdage nye sammenhenger og muligheter.

Hovedpunkter

• Åpenhet i utviklingsfasen: For Ruter er det avgjørende at kundene er trygge på at personopplysninger blir behandlet ansvarlig. At kundene er villige til å dele personopplysningene sine er en forutsetning for utvikling av KI-tjenesten. For at et samtykke skal være gyldig, må kundene også ha innsikt i og forståelse for hva de takker ja til, samt kunne trekke samtykke. Derfor må Ruter sørge for å gi tilstrekkelig informasjon, blant annet om hvordan KI-tjenesten kommer frem til reiseforslag, uten at det blir for komplisert å forstå. I Ruter sin tjeneste er lagvis informasjon en god løsning for å ivareta begge hensyn.
• Formålsbegrensning: Ruter ønsker å videreutvikle både KI-tjenesten spesielt og andre tjenester generelt ved bruk av personopplysninger innsamlet ved kundenes bruk av Ruter-appen. Ruter må definere klart hva som faller inn under samme formål, og hva som er separate formål som de allerede på innsamlingstidspunktet vet at de ønsker å bruke personopplysningene til. Hvis Ruter senere ser behov for å benytte personopplysningene til nye, uforutsette formål, må de vurdere om de nye formålene vil være forenelige med opprinnelig formål.
• Åpenhet i bruksfasen: Også når KI-tjenesten skal tas i bruk er det avgjørende med god, lagvis informasjon for å ivareta kundenes tillit og gyldig samtykke. De registrerte må informeres om hvert spesifikke formål før behandlingen av personopplysninger finner sted, og samtykke må innhentes for hvert nytt formål. Åpenhet vil være viktig for tilliten rundt bruk av KI-tjenesten.

Veien videre

Diskusjonene i sandkasseprosjektet har bidratt til å konkretisere kravene til åpenhet, som Ruter må følge ved utvikling og bruk av KI. Vurderingene i denne rapporten er også relevante for andre utviklere som vil ivareta åpenhet i sine KI-løsninger.

Ruter har sett at diskusjonene rundt åpenhet, formål og ansvar i sandkasseprosjektet har relevans også i andre prosjekter de jobber med. De ønsker derfor å sørge for videre kompetanseoverføring til andre deler av virksomheten. De kommer til å fortsette å utforske bruk av KI i tjenestene, der de ser at det kan gi en positiv forbedring av kundeopplevelsen, eller en mer effktiv drift av tilbudet. Erfaringene fra sandkasseprosjektet knyttet til åpenhet, formålsbegrensning og informasjonsplikt gjør at man er bedre rustet til å sikre at disse tjenestene utvikles i henhold til regelverket, kundenes rettigheter og forventninger.

Les mer om veien videre.

Hva er problemet Ruter skal løse?

Ruter planlegger en ny tjeneste som vil gi kundene mer personlige, spesifikke reiseforslag ved bruk av kunstig intelligens på deres brukshistorikk. Ved starten av dette sandkasseprosjektet er løsningen i konseptfasen.

Ruter fremhever i sine strategidokumenter at dagens transportløsninger står overfor store endringer. Endringene drives frem av ønsker om mer bærekraftige løsninger, teknologiutvikling, nye forretningsmodeller og endrede kundeforventninger. For å kunne fortsette å tilby et godt og stabilt transporttilbud i hovedstadsregionen må Ruter tilpasse seg endringene.

Ruter-appen er et av de viktigste verktøyene for kundene når de skal reise med kollektivtransport. En god opplevelse med appen kan bidra til høyere kundetilfredshet. For at forslagene skal bli tilstrekkelig persontilpasset mener Ruter at KI-modellen må lære av kundenes personopplysninger.

Utvikling av KI-tjenester basert på kundenes personopplysninger er avhengig av at de er villig til å dele personopplysningene sine og har tillit til at Ruter ivaretar personvernet deres på en god måte. Ruter har derfor et klart mål om at de sammen med personalisering av de digitale produktene skal gi tydelig, forståelig og brukervennlig informasjon om tjenestene.

Ruter erfarer i dag at de har stor tillit blant kundene. Åpenhet rundt bruken av kundenes personopplysninger er sentralt for å ivareta denne tilliten og for å rekruttere til nye tjenester. Åpenhet er også et grunnleggende krav i personvernregelverket når virksomheter tar i bruk løsninger som behandler personopplysninger.

I dette sandkasseprosjektet ser vi nærmere på hvilke krav som stilles til åpenhet ved bruk av personlige reiseopplysninger til å utvikle en tjeneste som bruker KI for å gi personaliserte reiseforslag.

Hvordan skal Ruter bruke kunstig intelligens?

Ruter ønsker å bruke kunstig intelligens og maskinlæring til å lære av kundenes personopplysninger for å kunne tilby personaliserte reiseforslag. Reiseforslagene vil både være basert på kundens eget reisemønster, og hvor andre som befinner seg på samme sted som kunden typisk reiser.

Løsningen involverer tre faser:

• I forberedelsesfasen skal det være en funksjonalitet i Ruter-appen som samler inn personopplysninger til utvikling og trening av en KI-modell. Opplysningene vil lagres midlertidig på kundens enhet (klient). Det skjer ingen utvikling så lenge opplysningene er lagret på kundens enhet. Formålet med den midlertidige lagringen er at Ruter skal kunne samle inn datapunkter tidligere i prosessen.
• I utviklingsfasen vil personopplysningene sendes til, lagres og brukes i Ruters sentrale systemer. Formålet er fortsatt utvikling og trening av en KI-modell. Overføringen til Ruters sentrale systemer skal være basert på samtykke fra innloggede kunder.
• I bruksfasen blir tjenesten med personaliserte reiseforslag lansert for kundene i Ruter-appen, såfremt de er innlogget og samtykker til dette. Utviklingen av tjenesten fortsetter sentralt hos Ruter parallelt med bruksfasen. Siden reisemønstre er i stadig endring, vil løsningen videreutvikles for at modellen skal være korrekt, relevant og oppdatert til enhver tid.

Personopplysningene som skal brukes er hvor og når kunden åpner appen, hvilke reisesøk som gjøres og stedslokasjon. Tidligere søk i appen, både hos den spesifikke brukeren og andre brukere, skal brukes for å trene KI-modellen til å gi bedre reiseforslag.

Vi nevner i denne forbindelse også at Ruter kan komme i situasjoner hvor de behandler særlige kategorier av personopplysninger (også kjent som sensitive personopplysninger). Dette vil vi komme tilbake til nedenfor.

Enkel fremstilling av Ruters løsning i utviklings- og bruksfasen

Ved utarbeidelsen av denne rapporten, er Ruter fortsatt i konseptfasen av løsningen sin. Det kan derfor ha skjedd endringer når Ruter eventuelt lanserer løsningen.

Utviklingsfasen:

I utviklingsfasen vil personopplysninger innhentes for opplæring av KI-modellen. Formålet er å utvikle en KI-modell som kan generere relevante personlige reiseforslag av god kvalitet.

1. Ruter registrerer et utvalg av kundens handlinger i Ruter-appen. Dette inkluderer utførte søk og viste reiseforslag.
2. Opplysninger om kundens handlinger blir sendt til et baksystem («backend») over en kryptert linje, hvor kundens identitet erstattes med et pseudonymisert nummer.
3. Baksystemet krypterer kundens opplysninger og sender disse til en intern delingsplattform.
4. Ruter sender opplysninger videre til en server hvor disse bearbeides og analyseres slik at de er egnet for videre bruk. Personopplysningene dekrypteres midlertidig i denne behandlingen.
5. Opplysningene sendes til en maskinlæringsplattform hvor KI-modellen «lærer» av dataene. Opplysningene er dekryptert mens læringen pågår.
6. Etter at KI-modellen er ferdiglært og validert, genererer den anbefalinger til reiseforslag basert på personopplysningene den mottar.

Steg to til seks i beskrivelsen gjennomføres i en skytjeneste. I figuren som illustrerer utviklingsfasen vil data være kryptert der det er grønt, mens data må dekrypteres midlertidig i de røde komponentene.

Ruter vurderer som et alternativ til den beskrevne løsningen å gjennomføre dataflyten i utviklingsfasen uten å ta i bruk en felles plattform (jf. punkt 3 over), i tillegg til å endre hvordan opplysningene skal krypteres.

Utviklingsfasen vil være løpende ettersom KI-modellen kontinuerlig vil måtte hente inn ny informasjon for å etterlære og forbedre reiseforslag.

Bruksfasen:

I bruksfasen vil personopplysninger brukes for å predikere reiseønsker og etterlære KI-modellen. Formålet i bruksfasen er å generere personaliserte reiseforslag i Ruter-appen.

1. Kundene åpner Ruter-appen når de skal planlegge en reise.
2. Appen sender en forespørsel til baksystemet med brukerens lokasjon. Kundens identitet erstattes med et pseudonymisert nummer før den sendes videre.
3. KI-modellen sender reiseforslag tilbake til baksystemet, basert på hvor kunden var og når forespørselen ble sendt til baksystemet.
4. Baksystemet sender reiseforslaget til Ruter-appen hvor forslaget presenteres til kunden.
5. Personopplysningene (pseudonymisert) lagres både i baksystemet og brukes i opplæring av KI-modellen.

Mål 1: Utrede kravene til åpenhet ved bruk av personlige reiseopplysninger til å utvikle kunstig intelligens

1. Leveranse 1.1: Avklare hva som utløser de registrertes rett til informasjon om hvordan deres personopplysninger blir behandlet ved utviklingen av den kunstige intelligensen.

   Det vil ta tid fra lokal innsamling av personopplysninger starter til første versjon av tjenesten kan eksponeres for brukere. Et viktig spørsmål er hva som utløser informasjonsplikten. Blant annet må det avklares når det behandles opplysninger om en identifisert eller identifiserbar fysisk person i henhold til personvernforordningen, og når Ruters behandlingsansvar trer inn.

2. Leveranse 1.2: Avklare de registrertes rett til informasjon ved utviklingen av KI-modellen.

   Ruter ønsker å være åpne om hvordan kundenes personopplysninger vil brukes i forbindelse med utvikling av den nye funksjonaliteten. For å sikre åpenhet er det viktig å kunne forklare formålene bak behandlingen og hvordan personopplysningene skal behandles ved utviklingen av KI. Sentrale spørsmål er hvor mye som må forklares, og hvordan man skal gi en god forklaring før man vet hvordan KI-modellen vil bli.

3. Leveranse 1.3: Identifisere problemstillinger tilknyttet kravene til informasjon ved utviklingen av den kunstige intelligensen, når man bruker samtykke som rettslig grunnlag.

   Noen særkrav til informasjon kommer inn ved bruk av samtykke som rettslig grunnlag. Vi ønsker å identifisere hvilken informasjon som kreves for å sikre at samtykket er gyldig.

Mål 2: Utrede kravene til åpenhet ved bruk av kunstig intelligens på personlige reiseopplysninger

1. Leveranse 2.1: Avklare hva de ulike formålene med behandlingen av personopplysninger i bruksfasen vil være, og hva som faller inn under samme formål.

   Formålene skal være tydelig angitt allerede før behandlingen av personopplysninger starter. Vi ønsker å se nærmere på hvordan formålene i bruksfasen kan angis. Det kan være krevende å definere et tydelig formål for kunden, når Ruter ennå ikke kjenner det fulle potensialet av bruken av personopplysningene og maskinlæringen.

2. Leveranse 2.2: Avklare de registrertes rett til informasjon i bruksfasen.

   Også ved bruk av KI ønsker Ruter å være åpne om hvordan kundenes personopplysninger vil brukes. Et sentralt spørsmål er hvordan man kan gi en kortfattet, enkel forklaring til kundene og samtidig gi en god nok beskrivelse av hva som skjer. Hvor mye av logikken bak KI-modellene må og bør man opplyse om når de brukes på personopplysninger? Et annet spørsmål er om KI-modellen må tilpasses for å ivareta de ulike kravene til informasjon.

3. Leveranse 2.3: Identifisere problemstillinger tilknyttet kravene til informasjon i bruksfasen, ved bruk av samtykke som rettslig grunnlag.

   KI-modellen vil måtte videreutvikles parallelt med at kundene bruker den i Ruter-appen. Vi ønsker å undersøke hvilken informasjon en samtykkeerklæring må inneholde for å sikre et gyldig samtykke når modellen fortsatt er under utvikling.

Personvernforordningen (artikkel 6 nr. 1 bokstav a til f) inneholder en uttømmende liste med seks alternative rettslige grunnlag for en lovlig behandling av personopplysninger.

Vurderinger av lovligheten av behandlingen av personopplysninger i Ruters KI-løsning, er ikke del av dette sandkasseprosjektet. Drøftelsene i rapporten legger derfor som en forutsetning at Ruter har et rettslig grunnlag for de aktuelle behandlingsaktivitetene.

Det rettslige grunnlaget Ruter velger, vil likevel påvirke hvilken informasjon de plikter å gi.

Ruter planlegger å benytte samtykke (artikkel 6 nr. 1 bokstav a) som rettslig grunnlag. Det gjelder både for bruk av personopplysninger til å lære opp KI-modellen, og for bruk av KI-modellen på personopplysninger i bruksfasen.

Ett av vilkårene for at et samtykke skal være gyldig, er at samtykket er informert. Dette kravet er det derfor naturlig å se nærmere på når vi vurderer hvilken informasjon Ruter må gi til kundene som velger å samtykke til behandling av sine personopplysninger.

I tillegg til å være informert, er det flere andre vilkår som må være oppfylt for at et samtykke skal være gyldig. I dette sandkasseprosjektet ser vi kun nærmere på kravene til et informert samtykke.

Vi har i prosjektet diskutert hvor langt ansvaret strekker seg. Det er avgjørende for når informasjonsplikten trer inn. Spørsmålet har dukket opp i tilknytning til personopplysninger som Ruter ikke vil ha tilgang til.

Ruter vil som et dataminimeringstiltak legge til rette for lokal lagring av opplysninger på kundenes enheter i forberedelsesfasen. Formålet med lokal lagring i dette prosjektet er at Ruter på et senere tidspunkt skal kunne bruke reiseopplysningene til å utvikle KI, dersom kunden samtykker til det i utviklingsfasen. Ved jevne mellomrom vil da en logg, som inkluderer personopplysninger, kunne sendes til Ruter sentralt for KI-utvikling.

Mens personopplysninger ligger lagret lokalt på kundenes enheter, vil ikke Ruter ha tilgang til dem. For kundene som ikke samtykker til sentral lagring, vil Ruter aldri ha tilgang til opplysningene. Kunden vil også kunne slette favorittreiser direkte i appen. Alle øvrige opplysninger kan slettes av kunden gjennom å reinstallere appen, eller tilbakestille telefonen til fabrikkinnstilling.

Gjelder personvernregelverket ved lokal lagring?

Og hvilken rolle vil Ruter i så fall ha?

Utgangspunktet er at personvernregelverket kommer til anvendelse ved behandling av personopplysninger, jf. personopplysningsloven § 2 første ledd og personvernforordningen artikkel 2 nr. 1. Første spørsmål er om det skjer en behandling av personopplysninger i henhold til disse bestemmelsene. Her er det delte meninger mellom Datatilsynet og Ruter. Datatilsynet mener at personopplysninger behandles allerede ved lokal lagring. Ruter mener at dette ikke kan sees som en behandling av personopplysninger inn mot Ruter. Med en slik tolkning vil ikke personvernregelverket komme til anvendelse, og Ruter vil ikke ha ansvar etter regelverket i forberedelsesfasen. I sandkasseprosjektet har vi likevel sett videre på de øvrige vurderinger man må gjøre når man legger Datatilsynets forståelse til grunn.

Selv om man vurderer det slik at personopplysninger behandles, så får ikke regelverket alltid anvendelse. Unntak gjelder blant annet hvis behandlingen av personopplysninger utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter, jf. personopplysningsloven § 2 andre ledd, bokstav a og personvernforordningen artikkel 2 nr. 2, bokstav c. I henhold til personvernforordningens fortalepunkt 18 kan slike aktiviteter omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk, samt tilknyttede aktiviteter på internett. Regelverket får likevel anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler for slike personlige eller familiemessige aktiviteter. Kundens egen behandling av personopplysninger i Ruter-appen, gjennom å for eksempel lagre og slette nyttige reisesøk, vil være en aktivitet som faller utenfor regelverket.

En virksomhet har behandlingsansvar når den bestemmer formålet med behandlingen og hvilke midler som skal brukes, se faktaboksen.

Formålet med lagringen av personopplysninger lokalt, er at kunden senere skal kunne samtykke til at personopplysninger sendes til Ruter sentralt for utvikling av KI. Når det gjelder denne lagringen, har vi i diskusjonene kommet frem til at Ruter bestemmer formålet og hvilke midler som skal brukes. For denne delen av behandlingen vil Ruter altså ha rolle som behandlingsansvarlig.

Uavhengig av om regelverket kommer til anvendelse eller ikke, planlegger Ruter å gjøre tiltak som innebærer at de ivaretar ansvaret som påhviler den behandlingsansvarlige for denne aktiviteten. Flere av unntakene fra pliktene til den behandlingsansvarlige er likevel aktuelle i forberedelsesfasen, ettersom Ruter ikke har tilgang til personopplysningene. For eksempel trenger man ikke oppfylle alle rettighetene til de registrerte hvis man kan påvise at man ikke kan identifisere den registrerte, jf. personvernforordningen artikkel 11 nr. 2 og 12 nr. 2.

Les mer om hvilke krav som stilles til den behandlingsansvarlige.

For sandkasseprosjektet er det kravene til informasjon som er relevant. Ruter planlegger å gi informasjon til kundene allerede før reiseopplysningene vil lagres lokalt. I de påfølgende kapitlene vil vi se nærmere på hvordan.

Diskusjonene i sandkasseprosjektet om når ansvaret for å gi informasjon trer inn har avdekket noen mulige paradokser. Ruter har valgt å bruke lokal lagring som et dataminimeringstiltak i forberedelsesfasen. Hvis personvernregelverket kommer til anvendelse i denne fasen – slik Datatilsynets forståelse er – er en mulig konsekvens at Ruter må be kunden om tilgang til flere personopplysninger enn Ruter opprinnelig ønsket. Hvis en kunde ber om å få en rettighet oppfylt, som for eksempel dataportabilitet, må Ruter få tilgang til personopplysningene for å oppfylle plikten. Spørsmål om ansvar ved lokal lagring kan være relevant for mange aktører, uavhengig av bransje og om de bruker KI. Datatilsynet ser denne formen for dataminimering som positivt, og ønsker å bidra til at aktører skal kunne oppfylle regelverket på en enkel og hensiktsmessig måte om de velger dette tiltaket.

Ansvar etter andre regelverk

I sandkasseprosjektet har vi bare diskutert ansvaret som følger av personopplysningsregelverket. Også andre regelverk kan oppstille plikter for Ruter, for eksempel ekomloven. Loven setter vilkår for å kunne lagre og skaffe seg tilgang til opplysninger på kundens utstyr. Det faller imidlertid utenfor dette prosjektet å se på hvilket ansvar Ruter har etter andre regelverk.

I dette kapitlet vil vi gi en oversikt over de generelle kravene til informasjon i slike tilfeller. I de neste kapitlene ser vi kravene i sammenheng med Ruters prosjekt.

Les gjerne mer om krav om åpenhet i KI-løsninger i rapporten Kunstig intelligens og personvern (2018).

Åpenhet og forklarbarhet

Åpenhet er et grunnleggende prinsipp i personvernforordningen. I tillegg til å være en forutsetning for å avdekke feil, forskjellsbehandling eller andre problematiske forhold, bidrar det til å skape tillit og setter enkeltindividet i stand til å bruke sine rettigheter og ivareta sine interesser. Åpenhet kan også ha en stor verdi for den behandlingsansvarlige, for å skape tillitt og rekruttere kunder til ny og kompleks teknologi.

I tilknytning til KI bruker man ofte begrepet forklarbarhet, som kan sies å være en konkretisering av åpenhetsprinsippet. Tradisjonelt har åpenhet dreid seg om å vise hvordan ulike personopplysninger brukes, men bruk av KI kan kreve en annen tilnærming for å forklare komplekse modeller på en forståelig måte.

Forklarbarhet er et interessant tema, både fordi det kan være en utfordring å forklare komplekse systemer og fordi hvordan kravet til åpenhet skal implementeres i praksis vil variere fra løsning til løsning. I tillegg kan maskinlæringsmodeller muliggjøre forklaringer som ser annerledes ut enn de vi er vant til, gjerne basert på avanserte matematiske og statistiske modeller. Dette åpner for en viktig avveiing mellom en mer korrekt, teknisk forklaring eller en mindre korrekt, men mer forståelig forklaring.

Krav til åpenhet

Uavhengig om du bruker kunstig intelligens eller ikke, stilles visse krav til åpenhet dersom du behandler personopplysninger. Kort oppsummert er kravene disse:

• De registrerte må få informasjon om hvordan opplysningene brukes, enten opplysningene hentes inn fra den registrerte selv eller fra andre. Vi vil omtale dette nærmere nedenfor. (Se personvernforordningen artikkel 13 og 14.)
• Informasjonen må være lett tilgjengelig, for eksempel på en hjemmeside eller via en applikasjon, og være skrevet i et klart og forståelig språk. (Se personvernforordningen artikkel 12.)
• Den registrerte har rett til å få vite om det behandles opplysninger om hen, og på forespørsel få innsyn i egne opplysninger. (Se personvernforordningen artikkel 15.)
• Det er et grunnleggende krav at all behandling av personopplysninger skal gjøres på en åpen måte. Det betyr at man må vurdere hvilke åpenhetstiltak som må til for at den registrerte skal kunne ivareta egne rettigheter. (Se personvernforordningen artikkel 5.)

I det første kulepunktet er det krav om å gi informasjon om hvordan opplysningene brukes. Det inkluderer blant annet kontaktinformasjon til den behandlingsansvarlige (i dette tilfellet Ruter), formålet med behandlingen og hvilke kategorier personopplysninger som blir behandlet. Dette er informasjon som typisk formidles i personvernerklæringen.

Personvernforordningen krever at informasjonen som gis til de registrerte skal være forståelig. Det er derfor viktig å presentere informasjonen på en måte som er enkel og oversiktlig. En god måte å oppnå dette på er å gi informasjonen i flere lag, det vil si at man kan klikke seg videre for få mer informasjon om bestemte temaer. På den måten unngår man at for mye informasjon er samlet på én side. Samtidig kan for mange lag gjøre innholdet vanskeligere tilgjengelig. Det viktig at informasjonen ikke blir for fragmentert og vanskelig å få oversikt over.

Automatiserte avgjørelser

Hvis en behandling kan kategoriseres som en automatisert avgjørelse eller profilering som omfattes av artikkel 22, stilles det ekstra krav til åpenhet. Du har blant annet rett til å vite om du blir utsatt for automatiserte avgjørelser, herunder profilering. Det er også et krav at individet får relevant informasjon om den underliggende logikken, betydningen av og de forventede konsekvensene av en slik behandling.

Det forsterkede kravet til åpenhet ved automatiserte avgjørelser eller profilering etter artikkel 22 omtales i:

• personvernforordningen artikkel 13 nr. 2 bokstav f
• personvernforordningen artikkel 14 nr. 2 bokstav g
• Personvernrådets retningslinjer om automatiserte individuelle avgjørelser og profilering 

Som vi vil komme tilbake til nedenfor kan ekstra krav til åpenhet komme inn også ved profilering som ikke faller inn under artikkel 22.

Særlig om krav til informasjon ved innhenting av samtykke

Hvilken informasjon som er gitt til de registrerte ved innhenting av samtykke, vil kunne få utslag på samtykkets gyldighet. Som nevnt er kravet om at samtykket er informert ett av flere vilkår som må være oppfylt for at samtykket skal være gyldig.

Ruter planlegger å benytte samtykke som rettslig grunnlag for å behandle personopplysninger ved utviklingen av KI-løsningen. Derfor ser vi i rapporten nærmere på hvilke krav som stilles til informasjonen for at et avgitt samtykke skal være informert.

Kravet til et informert samtykke henger i stor grad sammen med retten til informasjon som beskrevet i personvernforordningen artikkel 12–14. Noen krav kommer i tillegg når man baserer behandlingen på et samtykke. Om man ikke lykkes i å gi tilstrekkelig informasjon til de registrerte, vil konsekvensen bli at samtykket er ugyldig.

Hvilken informasjon må gis i sammenheng med innhenting av samtykke?

Samtidig med samtykkeforespørselen skal man i henhold til personvernregelverket gi informasjon om:

• Retten til å trekke samtykket tilbake
• Den behandlingsansvarliges identitet
• Formålene med hver behandling som personopplysningene skal brukes til

I tillegg har Personvernrådet på side 15–16 i sine retningslinjer om samtykke opplistet følgende minimumskrav til informasjonsinnhold for at et samtykke skal regnes som informert:

• informasjon om hvilken type personopplysninger som vil bli benyttet
• informasjon om bruk av personopplysninger for eventuelle automatiserte avgjørelser
• informasjon om mulig risiko for overføring av personopplysninger ut av EØS uten adekvansbeslutning eller nødvendige garantier etter personvernforordningen artikkel 45 og 46

Hvor mye og hvilken informasjon som kreves for at samtykket skal være informert, vil variere. I noen tilfeller trenger man å opplyse om mer enn det nevnte. Det avgjørende er at informasjonen vil gi de registrerte en genuin forståelse av hva de samtykker til.

Kundens identitet erstattes her med et pseudonymisert nummer. Overføringen av personopplysningene fra brukerens enhet til Ruter skjer først når Ruter har kommet til det steget i utviklingsfasen at KI-modellen skal trenes ved hjelp av personopplysninger. Det er usikkert hvor lang tid det går mellom innsamling og lagring av opplysninger på brukerens lokale enhet og til brukeren får valget om å dele opplysningene med Ruter.

Personvernforordningen artikkel 13 krever at informasjon til den registrerte gis senest på tidspunktet for innsamlingen av personopplysningene. Dette løses ved at Ruter gir informasjon til den registrerte før innsamlingen starter. Det kan være nyanseforskjeller på hvilken informasjon Ruter må gi på tidspunktet for lokal innsamling og sentral innsamling. Vi kommer tilbake til dette og til særlige problemstillinger tilknyttet informert samtykke.

Artikkel 13 inneholder en lang liste over informasjon som skal gis til den registrerte. Vi vil her fokusere på leveranse 1.2, og de registrertes rett til informasjon ved utviklingen av den kunstige intelligensen. Mest sentralt er de mer komplekse delene av informasjonsplikten, det vil si hvordan Ruter behandler personopplysninger i forbindelse med utvikling av KI-modellen og for hvilke formål.

Informasjonsplikten, KI og profilering

Generell informasjon til de registrerte i utviklingsfasen

Ruters prosjekt er i forberedelsesfasen, og et viktig spørsmål er: Hvordan kan Ruter gi kundene den informasjonen de har rett til å få når ikke løsningen er ferdig utviklet?

Formålet med innsamlingen og lagringen av personopplysninger lokalt er – som nevnt innledningsvis – at personopplysninger senere skal kunne sendes til Ruter sentralt for utvikling av KI. Ruter skal altså:

1. i forberedelsesfasen gi informasjon om at personopplysningene blir lagret frem til KI-modellen er klar
2. i utviklingsfasen gi ny informasjon når personopplysningene sendes til Ruter sentralt og treningen på KI-modellen starter

I forberedelsesfasen er det enkelt å forstå hvordan Ruter vil samle inn personopplysninger og lagre disse lokalt på brukerens enhet. Denne fasen vil ikke involvere KI. Det er dermed enkelt å gi den registrerte informasjon om dette. Utfordringen er å oppfylle kravet til informasjon om den planlagte utviklingen av KI-modellen hos Ruter sentralt.

Vi har kommet frem til at punktlisten om den planlagte behandlingen av personopplysninger i «Om Ruters prosjekt» ovenfor er et godt utgangspunkt.

Informasjonsplikten må forstås i lys av den konkrete risikoen for de registrerte

Vi har diskutert hensynene bak åpenhetsprinsippet og hvordan disse påvirker hvilken informasjon Ruter må gi brukerne. Et av hensynene bak åpenhetsprinsippet er blant annet at den registrerte skal være i stand til å ivareta sine rettigheter etter personvernforordningen. Et annet viktig hensyn er at informasjon har en viktig kontrollfunksjon overfor den behandlingsansvarlige ved at de plikter å sette ord på hvordan de behandler personopplysninger overfor de som blir berørt av behandlingen.

Hvilken informasjon som er nødvendig for å ivareta disse hensynene er avhengig av hvor inngripende en behandling er i de registrertes rettigheter og friheter. KI-modeller som styrer hvilke ytelser man har krav på fra det offentlige, eller hvorvidt man skal ha tilgang til offentlige tjenester, er eksempler på inngripende behandling av personopplysninger. Da kreves mer detaljert informasjon til de registrerte enn ved behandlinger som har færre konsekvenser for den registrerte.

I sandkassen har vi diskutert at Ruters modell har få konsekvenser for de registrerte, og at Ruters bruk av KI ikke utgjør noen særlig risiko for de registrertes rettigheter og friheter. Samtidig er Ruter et offentlig eid selskap og eneleverandør av de kollektive tjenestene i sitt område. Vi har derfor også diskutert at Ruter er avhengig av å gi god informasjon og en god brukeropplevelse for å sikre tillit og at folk ønsker å bruke tjenestene deres. Dette gjelder særlig når selskapet skal ta i bruk ny teknologi.

Særlige kategorier av personopplysninger

En problemstilling vi har diskutert i sandkasseprosjektet er hvorvidt favorittsøk eller reisemønster til og fra samme adresse over tid kan utlede særlige kategorier av personopplysninger. Man kan for eksempel se for seg at en kunde med jevne mellomrom reiser til og fra et trossamfunn, helseinstitusjon eller en politisk organisasjon og at dette kan avsløre religiøs tilhørighet, helseopplysninger eller politisk tilhørighet.

Ruter er klare på at de ikke har til hensikt å behandle særlige kategorier av personopplysninger om kundene. Vi er likevel enige om at det kan skje at Ruter behandler slike opplysninger når de samler inn lokasjonsdata og reisesøk over tid.

I områder med mange holdeplasser, som for eksempel Jernbanetorget i Oslo, kreves det en mer nøyaktig GPS-posisjon for å gi riktige og relevante reiseforslag enn i områder med få holdeplasser. Som et dataminimeringstiltak vil Ruter redusere nøyaktigheten i områder med færre holdeplasser. Det kan for eksempel være hensiktsmessig utenfor sentrum, hvor det er lengre avstand mellom stopp og hvor hyppigheten av eneboliger gjør at det er lettere å identifisere brukeren basert på lokasjon. Hvis derimot brukeren befinner seg på Jernbanetorget, vil det være behov for full nøyaktighet for å vite hvilke stopp som er nærmest. I områdene hvor GPS-lokasjonen er nokså nøyaktig, er det større risiko for at opplysningene som samles inn avslører reiser til og fra for eksempel et trossamfunn eller en politisk organisasjon. Det samme gjelder i tilfeller der kunden selv søker opp spesifikke adresser.

På bildene over er holdeplassene markert for å vise avstand og de ulike behovene for nøyaktig posisjon.

Siden det er en risiko for at Ruter behandler særlige kategorier om kundene, skal kundene informeres om dette slik at de er bevisst på risikoen.

Innebærer Ruters tjeneste «profilering»?

Et sentralt spørsmål for Ruter har derfor vært om personaliserte reiseforslag vil utgjøre profilering i personvernforordningens forstand, og om dette utløser en ekstra informasjonsplikt overfor de registrerte.

I Ruters tjeneste skal selskapet bruke personopplysninger til å predikere reisemønster og gi personaliserte reiseforslag. Vår vurdering er at dette innebærer en automatisert behandling som bruker personopplysninger til å analysere og forutsi en fysisk persons adferd, plassering og bevegelse. Ruters bruk av KI utgjør dermed profilering etter personvernforordningen artikkel 4 nr. 4.

I sandkassen har vi diskutert hvorvidt det skjer profilering i utviklingsfasen, ettersom brukeren ikke mottar noen reiseforslag i denne fasen. Sammen har vi kommet frem til at Ruter kommer til å teste og validere modellen ved hjelp av personopplysninger i utviklingsfasen. Dermed skjer det også profilering i utviklingsfasen. 

Informasjon om profilering som ikke omfattes av artikkel 22

I sandkasseprosjektet har vi vurdert det slik at Ruters personaliserte reiseforslag ikke vil ha slik virkning for de registrerte. Ruters profilering omfattes derfor ikke av artikkel 22.

Det neste spørsmålet er hvilken informasjon Ruter likevel plikter å gi om profileringen. Profilering er behandling av personopplysninger, og må oppfylle de generelle kravene til informasjon i personvernforordningen artikkel 12 og 13. I tillegg har vi diskutert om det kan utledes av åpenhetsprinsippet, lest i lys av fortalen, at Ruter har en plikt til å informere om hvordan KI-modellen fungerer.

Etter personvernforordningen artikkel 5 nr. 1 bokstav a, skal den behandlingsansvarlige sikre at personopplysninger behandles på en åpen og rettferdig måte.

I følge Artikkel 29-gruppens retningslinjer om åpenhet (avsnitt 41) er et grunnleggende hensyn at den registrerte på forhånd skal kunne forstå omfanget og konsekvensene av behandlingen av sine personopplysninger.

Artikkel 29-gruppen har også uttalt seg om informasjon som skal gis ved profilering som faller utenom artikkel 22:

Det kan neppe utledes en rettslig plikt til å forklare den underliggende logikken bak profileringen i dette sandkasseprosjektet av en utvidet tolkning av personvernforordningen artikkel 13 og 14. Prinsippene om åpenhet og rettferdighet i artikkel 5 nr. 1 bokstav a tilsier likevel at Ruter må informere om den underliggende logikken i den grad det er nødvendig for at de registrerte skal kunne forstå hvordan Ruter behandler personopplysningene deres, slik at de kan utøve sine rettigheter. Dette er også i tråd med uttalelsene til Artikkel 29-gruppen om at behandlingen skal være forutberegnelig for den registrerte.

I sandkasseprosjektet har vi kommet til at Ruter skal gi de registrerte generell informasjon om at de blir profilert, og relevant informasjon om hvordan den underliggende logikken i profileringen fungerer. Ruter er også opptatt av å gi god informasjon om dette for å sikre tilfredshet og tillit hos kundene. Åpenhetskravet betyr ikke nødvendigvis at kildekoden må gjøres tilgjengelig, men forklaringen må gjøre den registrerte i stand til å forstå hvorfor en avgjørelse ble som den ble.

Forklaring av den underliggende logikken

I personvernforordningen brukes begrepet «den underliggende logikken». Med dette menes den generelle forklaringen av hvordan man kommer frem til et resultat. Begrepet omfatter ikke en forklaring av hvordan man kom frem til det spesifikke resultatet som gjelder for deg.

Ved forklaring av den underliggende logikken bør Ruter etterstrebe at informasjonen som gis er meningsfull, fremfor å bruke kompliserte forklaringsmodeller basert på avansert matematikk og statistikk. Det understrekes også i forordningens fortale at teknologisk kompleksitet gjør åpenhet ekstra viktig.

Se forordningens fortalepunkt 58 på lovdata.no.

Det mest sentrale er at de registrerte forstår hvordan Ruters tjeneste kommer frem til reiseforslag, hvordan de blir profilert og hvilke konsekvenser dette har. Som nevnt innledningsvis er Ruters planlagte tjeneste lite inngripende overfor de registrerte. Dette påvirker også hvor detaljert informasjon Ruter må gi de registrerte for at de skal kunne ivareta sine rettigheter og sikre åpenhet og forutberegnelighet.

Ruters utfordring i forberedelsesfasen, hvor selskapet skal starte innsamlingen av personopplysninger, og etter hvert utviklingen, er at det ikke er helt klart hvilken underliggende logikk som skal brukes. Det kommer an på hvilke modeller som ender opp med å fungere best. Men det som er klart er at disse KI-modellen uansett kommer til å bruke lokasjon og reisesøk med tilhørende tidspunkt. Ruter må informere om at profileringen baserer seg på disse kategoriene av personopplysninger.

Se eksempler på hva som bør inkluderes i en forklaring på side 31 i Article 29 WPs retningslinjer om automatiserte, individuelle beslutninger og profilering (ekstern side). 

Informasjon om overføring til tredjeland

Ruter ser på to alternative løsninger hvor den ene innebærer overføring til tredjeland. Valg av løsning vil være basert på hva Ruter kommer til i sin vurdering om overføring av personopplysninger til tredjeland. Vi har ikke tatt stilling til dette i sandkasseprosjektet. Selv om dataflyten ikke skulle innebære en overføring, er vi enige om at Ruter må gi informasjon om dataflyten til de registrerte og vurderingene selskapet har gjort rundt overføring til tredjeland.

Ettersom Ruter benytter seg av en skyleverandør i dette prosjektet, vil denne kunne regnes som en mottaker av personopplysninger etter personvernforordningen artikkel 4 nr. nr. 9. Ruter plikter å informere om mottakere av personopplysninger etter artikkel 13 nr. 1 bokstav e.

Informasjon om hvor og hvordan personopplysningene behandles er en forutsetning for at de registrerte skal kunne utøve sine rettigheter. Det er viktig informasjon som de registrerte må ha for å vurdere om de vil samtykke til bruken av personopplysninger.

Vi har diskutert at det er utfordrende å gi informasjon om dataflyten og vurderingene rundt overføring til tredjeland. Ruter må jobbe videre med dette, men vi er enige om at den forenklede forklaringen og illustrasjonene innledningsvis i rapporten er et godt utgangspunkt. Vi har også snakket om at det er viktig at denne informasjonen presenteres lagvis til kundene, slik at mengden med informasjon ikke blir for mye for leseren. Det er viktig å huske på at informasjonen må være lett forståelig for kunden.

Hvis Ruter kommer til at det skjer en overføring av personopplysninger ut av EØS, plikter de å gi informasjon om dette og om hvordan Ruter gjør dette lovlig i henhold til personvernforordningen kapittel V, jf. artikkel 13 nr. 1 bokstav f. De registrerte skal også informeres om hvor eventuelle nødvendige garantier er gjort tilgjengelig. Selv om Ruter skulle komme til at de ikke overfører personopplysninger ut av EØS, tilsier åpenhetsprinsippet at Ruter bør informere om hvorfor de har vurdert det slik, og at de derfor ikke trenger å oppfylle kravene i personvernforordningen kapittel V om slike overføringer.

Informasjonen kan for eksempel presenteres i lag under en overordnet overskrift «Vi overfører ikke dine personopplysninger ut av EØS, les mer om dette her».

Form – illustrasjoner, video, lagvis informasjon

Ruter planlegger å gi lagvis informasjon, og vurderer blant annet å bruke illustrasjoner for å forklare dataflyten og hvor personopplysninger overføres i løsningen.

Les mer om design ved programvareutvikling.

Vi er enige om at formen må tjene et formål, og at man for eksempel ikke skal ta i bruk illustrasjoner og video der dette ikke bidrar til å gjøre budskapet lett forståelig.

Vi har også diskutert at det på noen områder kan være hensiktsmessig å ha mer enn to lag med informasjon. Dette kan for eksempel gjøres når Ruter skal forklare mer kompliserte temaer som den underliggende logikken i modellen eller overføring til tredjeland. Samtidig er det viktig at man begrenser bruken av lag til det som er hensiktsmessig, slik at informasjonen fortsatt blir lett tilgjengelig og oversiktlig. For andre og enklere temaer som lagringstid eller kontaktinformasjon vil det ikke være hensiktsmessig med like mange lag.

Særlige problemstillinger tilknyttet krav til informasjon ved innhenting av samtykke

Ved innhenting av opplysninger til utvikling av KI-løsningen, vil Ruter bruke samtykke som rettslig grunnlag. Informasjonen til brukerne må derfor være utformet slik at samtykket blir informert. Hvis Ruter benytter et annet rettslig grunnlag for innsamlingen som skjer lokalt på brukernes enheter i forberedelsesfasen, vil ikke disse særskilte kravene til informasjon tre inn før samtykket til utvikling av KI-modellen hentes inn.

Personvernforordningen stiller ikke krav til i hvilken form informasjonen skal gis. Det vil si at informasjonen kan presenteres på ulike måter, blant annet gjennom video- eller lydopptak. Når samtykke avgis i en skriftlig erklæring, krever personvernforordningens artikkel 7 nr. 2 at:

Disse kravene til form og språk har nær sammenheng med åpenhetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav a. Forespørselen om samtykke må være adskilt fra annen informasjon og må være kortfattet og tydelig. Den kan ikke bakes inn i generelle avtalevilkår, og det skal være klart at kunden samtykker. Språket skal være forståelig for en vanlig kunde. Man skal ikke måtte kjenne til vanskelige fremmedord for å kunne lese teksten.

Ruter jobber med ulike forslag til hvordan man på best mulig måte kan informere kunden i ulike nivåer, og innhente samtykke i appen, som vist i eksemplene under. Dette kan brukertestes, slik at man får best mulig innsikt i hvordan kundene oppfatter budskapet og innholdet i samtykket.

Ruter planlegger å innhente samtykke gjennom en knapp/avhukningsboks, som vises på samme side som informasjonen til de registrerte i første lag. Informasjonssiden vil komme opp ved en oppdatering av appen. I tillegg har man mulighet til å varsle kunden om at det foreligger en oppdatering. Det første laget med informasjon må både oppfylle minimumskravene til informasjon i personvernforordningen artikkel 12 og 13, og minimumskravene for et informert samtykke.

I sandkasseprosjektet ble Datatilsynet og Ruter enige om at det er viktig å gi en enkel, men tilstrekkelig detaljert forklaring for at samtykket skal være informert. Det er avgjørende for at de registrerte skal forstå hva de samtykker til. Utvikling av KI kan være vanskelig å forstå. Man må derfor balansere hensynet til å gi en god nok forklaring, og hensynet til at det skal være enkelt å forstå informasjonen.

Ruter har et tilbud som skal nå alle kunder. Informasjonen må derfor henvende seg til et bredt spekter av personer, og man kan ikke forvente at kundene har full forståelse for hva en KI-modell er. For å forstå hva man samtykker til, må man få en form for forklaring.

I tillegg til informasjon om selve KI-modellen, er det viktig at brukerne forstår hvordan personopplysningene deres vil behandles i periodene med lagring og forflytting. Ruter vurderer å lage illustrasjoner for å gi en kortfattet og enkel beskrivelse av den tekniske flyten av opplysninger, se som eksempel illustrasjonen innledningsvis i rapporten. En forståelig beskrivelse av flyten av personopplysninger er viktig for at de registrerte skal kunne vurdere om dette er noe de ønsker å samtykke til. På den måten vil de registrerte for eksempel være i stand til å selv vurdere om de mener at personopplysningene blir beskyttet på en tillitsvekkende måte.

De særlige vilkårene for barns samtykke etter personvernforordningen artikkel 8 og personopplysningsloven § 5 får ikke anvendelse, ettersom Ruter har satt aldersgrense til 15 år for å bruke Ruter-appen. Likevel må Ruter se hen til at en 15-åring for eksempel vil kunne ha andre behov for tilpasning av informasjonen enn en 80-åring.

En måte å forsikre seg om at brukerne faktisk forstår informasjonen, er å gjennomføre representative kundeundersøkelser. Dette planlegger Ruter å gjøre.

I bruksfasen planlegger Ruter å bruke personopplysninger til å predikere reisemønster for å gi reiseforslag, og til etterlæring av KI-modellen. Ruter vil også utforske muligheten for å i bruksfasen benytte personopplysninger for videreutvikling av den aktuelle tjenesten, og Ruters tjenester generelt. Det siste kan for eksempel være bruk av statistikk som kan informere annen tjenesteutvikling, forbedre trafikkplanlegging, avdekke hvilken modell i Ruter-appen som fungerer best, og mulige andre former for bruk.

Særlig om formål i bruksfasen

Å oppgi informasjon om formålene med den tiltenkte behandlingen av personopplysninger, er sentralt for å oppfylle informasjonsplikten. Ruter ser for seg at personopplysninger innsamlet i forbindelse med bruk av KI-løsningen, kan bli nyttige for flere formål.

I sandkasseprosjektet har vi derfor diskutert spørsmål tilknyttet formålsbegrensning, blant annet:

• hvilke formål skal Ruter bruke personopplysninger til å oppfylle?
• hva faller inn under samme formål?
• hvilke konstruerte eksempler på mulige fremtidige formål kan være forenelige med det opprinnelige formålet?

Personopplysninger skal bare brukes for spesifikke, uttrykkelig angitte og berettigede formål, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Formålet eller formålene skal være definert før personopplysningene samles inn, og skal være tydelig kommunisert til de registrerte. Kravet har sammenheng med åpenhetsprisnippet. Måten personopplysningene vil behandles på skal være forutberegnelig for de registrerte. På den måten har de en større grad av kontroll over hvordan noen bruker personopplysningene deres. Når Ruter benytter samtykke som rettslig grunnlag for å behandle personopplysningene, er det også viktig for samtykkets gyldighet at de informerer klart og tydelig om de ulike formålene og at man innhenter separate samtykker for hvert separate formål.

Hvilke behandlingsaktiviteter faller inn under samme formål?

På overordnet nivå ser Ruter for seg at disse aktivitetene kan bli aktuelle i bruksfasen:

• predikere reisemønster for å gi reiseforslag
• etterlæring av KI-modellen
• videreutvikling av den aktuelle tjenesten
• videreutvikling av Ruters tjenester generelt

Alle disse overordnede aktivitetene kan deles inn i flere, mer spesifikke behandlingsaktiviteter. Noen av de mer spesifikke behandlingsaktivitetene kan Ruter allerede ved innsamlingen være sikre på at de ønsker å gjennomføre, før eller senere i bruksfasen. Andre behandlingsaktiviteter som kan bli nyttige på sikt, er ikke mulig å se for seg på et så tidlig stadium, særlig når det gjelder videreutvikling av tjenesten og Ruters tjenester generelt. Vi har derfor konstruert noen eksempler på nye behov som kan oppstå i fremtiden. I sandkasseprosjektet har vi diskutert hvilke behandlingsaktiviteter som kan høre inn under samme formål, og hvilke som kan være del av nye formål. Vi har også diskutert om nye formål vil kunne være forenelige med opprinnelige formål eller ikkeBruk av personopplysninger for forenelige formål vil være lovlig, under forutsetning av at Ruter har rettslig grunnlag for dette.

Personvernrådets forgjenger, Artikkel 29-arbeidsgruppen, skrev i sin uttalelse 03/2013 om formålsbegrensning, s. 16:

Uttalelsen gjelder prinsippet om formålsbegrensning i det gamle personvernregelverket. Siden prinsippet om formålsbegrensning er videreført i personvernforordningen, kan uttalelsen likevel gi veiledning også etter gjeldende regelverk. Et formål kan altså være spesifikt selv om det omfatter flere ulike behandlingsaktiviteter naturlig forbundet med det overordnede formålet.

Ruter har forklart at det i praksis ikke er hensiktsmessig å skille mellom det å gi reiseforslag og etterlæring av modellen. Reisemønstre endres konstant. For eksempel var reisemønstre mer statiske før pandemien enn nå som folk har en mer variabel arbeidshverdag. Ruter ønsker å plukke opp slike mønstre. Reisemønster er også sesongbasert, slik at det er stor forskjell i bevegelsesmønster vinter og sommer. Modellen må altså kontinuerlig tilpasses og forbedres for å kunne gi presise reiseforslag. Ruter har påpekt at produktet vil bli dårligere hvis modellen ikke lærer underveis, og at noe av hensikten med å bruke KI da bortfaller. Det samme gjelder tilpasninger av KI-modellen som ikke er etter læring, for eksempel tilpasning av hvor mye KI-modellen skal vektlegge ulike elementer, samt fjerning av unødvendige elementer og feil. Ruter ønsker å tydeliggjøre disse behovene for kundene.

I sandkasseprosjektet vurderte vi det slik at det kan være tilstrekkelig sammenheng mellom bruk av personopplysninger i KI-modellen for å predikere reisemønster og for etterlæring av modellen, til at behandlingsaktivitetene kan anses som samme formål. Et overordnet formål om å tilby personlige reiseforslag i Ruter-appen kan også være tilstrekkelig spesifikt. Det avgjørende er at behandlingsaktivitetene som faller inn under formålet må ha tilstrekkelig nær sammenheng. Sammenhengen kan være nær når formålet med en behandlingsaktivitet ikke er mulig å oppfylle uten å legge til en tilgrensende behandlingsaktivitet.

I Artikkel 29-arbeidsgruppens uttalelse 03/2013 om formålsbegrensning s. 53 oppstilles et eksempel på hvordan et overordnet formål ofte kan brytes opp i flere underliggende formål:

Rent praktisk kan Ruter gi informasjon om det overordnede formålet i det første laget med informasjon, mens informasjon om underliggende formål – som etterlæring og tilpasning av KI-modellen – kan komme i et annet lag som den registrerte kan velge å trykke seg inn på.

Et annet spørsmål er om videreutvikling av den spesifikke tjenesten for personaliserte reiseforslag kan høre inn under samme formål. Videreutvikling av tjenesten er en nokså vid beskrivelse. Flere behandlingsaktiviteter kan omfattes av denne beskrivelsen. Ruter har forklart at de med videreutvikling av tjenesten ønsker å oppnå to ting:

1. Å videreutvikle for å sikre kvaliteten av de personlige reiseforslagene, og
2. Å videreutvikle for å gi merverdi utover de personlige reiseforslagene.

På den ene siden jobber Ruter kontinuerlig for å forbedre tjenesten, og de hevder at det ikke er noen hensikt å eksponere produktet for kundene uten å kunne videreutvikle det. Den type videreutvikling kan kalles vedlikehold: Det handler om å sikre kvaliteten, ikke å oppnå nye ting. På den andre siden ønsker Ruter å videreutvikle tjenesten ved å legge til nye funksjonaliteter der de ser at det kan ha merverdi. Et tenkt eksempel kan være nye integrasjoner for å veilede kunden til å gjøre informerte og effektive reisevalg. Et annet kan være nye integrasjoner for å veilede kunden til å gjøre gode billettvalg.

Illustrasjonen viser et forslag til en tenkt inndeling av Ruters overordnede formål, underliggende formål og behandlingsaktiviteter. Det er glidende overganger mellom de ulike behandlingsaktivitetene og det kan være utfordrende å definere hva som omfattes av ett spesifikt formål.

For å vurdere hva som hører inn under samme formål må vi igjen se på sammenhengen mellom behandlingsaktivitetene. Her er det altså snakk om all videreutvikling av tjenesten som ikke spesifikt gjelder KI-modellen. Ruter har også forklart at det ikke er mulig å på forhånd si helt klart hvilke behandlingsaktiviteter som vil kunne bli ønskelig på sikt. For at behandlingsaktivitetene skal omfattes av samme formål, må det være tilstrekkelig nærhet både til de øvrige behandlingsaktivitetene og det overordnede formålet.

I diskusjonene kom vi frem til at videreutvikling som omfattes av vedlikeholdskategorien kan høre inn under det overordnede formålet. Et eksempel på dette kan være å fjerne unødige elementer og feil. Eksemplet om å legge til nye integrasjoner for å veilede kundene til å gjøre gode reisevalg, er vanskeligere å anse som rent vedlikehold. Slik veiledning kan eksempelvis være et forslag om å ta en mer effektiv rute en halvtime før du vanligvis reiser. Vi vurderte dette til å være på grensen for hva som kan karakteriseres som prediksjon av reiseønsker for å gi persontilpassede reiseforslag. Hvis et ønske om gjennomføre en liknende integrasjon oppstår, er eksemplet imidlertid av en slik art at man kan argumentere for at det er omfattet av det opprinnelige formålet, eventuelt at det er et nytt og forenelig formål. Vurderingen av om et nytt formål er forenelig, er kun aktuell når formålet ikke kan defineres ved innsamlingen av personopplysninger. Hvis Ruter allerede ved innsamlingen ser at en slik integrasjon er ønskelig, må de ta vurderingen om det er et nytt formål før innsamlingen skjer.

Et annet tenkt eksempel på en ny integrasjon kan være at Ruter veileder kunden til å gjøre gode billettvalg, for eksempel gjennom å kjøpe én dagsbillett fremfor fire enkeltbilletter i samme tidsrom. Vi fant at sistnevnte trolig faller utenfor formålet om å tilby persontilpassede reiseforslag. Vi diskuterte videre om slik tenkt videreutvikling kunne vært forenelig med det opprinnelige formålet. Ved vurderingen må man se hen til flere momenter:

Forenelige formål

Hvis behandlingen er forutsigbar ved innsamlingen, eller et logisk neste steg, kan det tale for at formålet er forenelig. Jo mer uforutsigbar en viderebehandling vil være, desto mer skal til for å anse formålet som forenelig.

Det er viktig å se hen til hvordan formålet oppfattes av den registrerte når man vurderer forutberegnelighet. Artikkel 29-gruppen skriver i sin uttalelse 03/2013 om formålsbegrensning s. 24-25 at det er innholdet, og ikke det opprinnelige ordvalget i forklaringen av formålet som er avgjørende. Maktbalansen mellom de registrerte og behandlingsansvarlig kan også få betydning ved vurderingen. Tekniske og organisatoriske tiltak kan også betydning. Det har sammenheng med momentet om de mulige konsekvensene av viderebehandlingen for de registrerte, se faktaboks.

Å bruke personopplysningene til å analysere og veilede om billettvalg, er ikke helt fjernt fra formålet om å motta persontilpassede reiseforslag. Det kan likevel komme overraskende på de registrerte som har samtykket til en type analyse av sine opplysninger, å oppdage at det også brukes til en annen analyse. Det taler imot å anse formålet forenelig. I diskusjonene kom vi frem til at dette eksemplet lå i grenseland for hva som kan anses som forenelig.

Er viderebruk av statistikk forenelig?

Datatilsynet og Ruter vurderte videre at det å forbedre Ruters andre tjenester, neppe vil falle inn under det opprinnelige formålet om å tilby persontilpassede reiseforslag. Ruter ser særlig for seg at det kan bli aktuelt å generere statistikk av personopplysningene, som igjen kan:

• informere annen tjenesteutvikling,
• forbedre trafikkplanlegging, og
• avdekke hvilken modell i Ruter-appen som fungerer best.

Andre former for viderebruk av statistikken kan også bli aktuelle for Ruter. Det er imidlertid vanskelig å forutse akkurat hvilken bruk statistikken kan bli nyttig for i fremtiden.

I sandkasseprosjektet har vi sett nærmere på om disse nye formålene kan være forenelige med det opprinnelige formålet.

Illustrasjonen viser eksempler på hypotetiske fremtidige formål.

Statistiske formål er i henhold til personvernforordningen artikkel 5 nr. 1 bokstav b ikke uforenelig, såfremt den behandlingsansvarlige gir nødvendige garantier for å sikre den registrertes rettigheter og friheter, jf. personvernforordningen artikkel 89 nr. 1.

Statistiske formål beskrives i personvernforordningen fortalepunkt 162 som «enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater».  Begrepet rommer et vidt spenn av behandlingsaktiviteter, jf. uttalelse 03/2013 om formålsbegrensning s. 29. Både bruk av statistikk for offentlige og kommersielle formål omfattes. Kommersielle formål kan være bruk av statistikk til analyse av nettsider eller markedsundersøkelser. Tiltak for å beskytte personopplysningene kan blant annet være anonymisering eller pseudonymisering, samt tilgangskontroll. Tiltakene må sees i sammenheng med prinsippet om dataminimering. Opplysningene må avidentifiseres og beskyttes i den grad det er mulig å fortsatt oppnå formålet.

Ruter jobber med løsninger for anonymisering av opplysninger for viderebruk. Foreløpig er det utfordrende for Ruter å oppnå de aktuelle formålene med viderebruk internt hvis de bruker ekte anonymisering. For ekstern bruk kan og vil Ruter anonymisere opplysningene.

Les mer om ekte anonymisering her.

Statistikken Ruter ønsker å bruke internt, vil de likevel prosessere på en slik måte at det vil kunne være vanskelig å utlede personopplysninger fra den på en enkel måte. Personopplysningene vil altså pseudonymiseres. I sandkasseprosjektet diskuterte vi hva som må til for å oppfylle vilkåret om nødvendige garantier.

I personvernforordningen fortalepunkt 162 heter det at «Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person». I diskusjonene kom vi frem til at dette trolig innebærer at statistikken ikke bør benyttes for formål som krever re-identifisering av individer. Vi diskuterte også om statistikken bare kan brukes til nye formål når personopplysninger ikke lenger kan utledes av statistikken. Et bekreftende svar på det spørsmålet virker å gå imot ordlyden i personvernforordningen artikkel 89 nr. 1. Det er kun når formålet kan oppfylles ved bruk av anonyme opplysninger at bestemmelsen krever det, ellers kreves dataminimering.

Ved viderebruk av personopplysningene til nye formål må man gi informasjon til de registrerte.  Vi vurderte det slik at Ruter allerede på samtykketidspunktet skal informere om viderebruk i den detalj det er mulig. Øvrig informasjon om nye formål må gis senest før viderebehandlingen finner sted, jf. personvernforordningen artikkel 13 nr. 3. På denne måten vil de registrerte fortsatt ha mulighet til å ivareta sine rettigheter. De nye formålene må fortsatt være spesifikke, uttrykkelig angitte og berettigede, jf. personvernforordningen artikkel 5 nr. 1 bokstav b.

Hva må Ruter informere om i bruksfasen?

Mye er nokså likt i utviklings- og bruksfasen når det kommer til hva Ruter må informere om og på hvilken måte det kan gjøres. Her skal vi se nærmere på hva som gjelder særskilt for bruksfasen.

Informere om profilering og hvordan opplysninger behandles

Som nevnt vil Ruters behandling av personopplysninger for å tilby personlige reiseforslag innebære profilering. Se beskrivelser av hvilken informasjon som da må gis til de registrerte i forrige kapittel. Ruter vet ikke hvordan den underliggende logikken i den ferdiglærte KI-modellen vil fungere før prosjektet er gjennom utviklingsfasen. Vi har derfor ikke en konkret underliggende logikk å peke på i denne rapporten, men vil si noe overordnet om hvilken informasjon som må presenteres for de registrerte og hvordan denne kan presenteres fra Ruters side.

Når KI-modellen er klar for å rulles ut til brukerne, er det viktig at Ruter har god oversikt over hvilke parametere modellen vektlegger i profileringen og hvordan, slik at de registrerte kan få informasjon om hvordan modellen generelt kommer frem til reiseforslag.

Et tema som også er løftet i sandkassen er hvorvidt modellen må endres for å kunne oppfylle de registrertes rett til informasjon. Må man for eksempel velge en modell som er enklere å forklare for å oppfylle dette kravet? Vi er enige om at det ikke er aktuelt å endre Ruters modell for å oppfylle kravet til informasjon i dette tilfellet, men utelukker ikke at det kan være nødvendig for å oppfylle andre krav i regelverket.

Informasjon om bruk av tilbakemeldinger i KI-modellen

Ruter ønsker å legge opp til at kundene kan gi tilbakemeldinger på reiseforslagene gjennom for eksempel knapper med en tommel opp eller tommel ned. Selskapet ønsker å bruke disse tilbakemeldingene til å justere KI-modellen slik at den kan gi mer relevante reiseforslag og forbedre tjenesten. Vi har i den forbindelse diskutert at Ruter må gi informasjon om hvordan tilbakemeldingene vil bli behandlet på en enkel måte såfremt tilbakemeldingene utgjør personopplysninger.

Hvordan kan informasjonen gis til de registrerte

Ruter har i dag en eksisterende app som de personaliserte reiseforslagene skal integreres i. Selskapet har derfor mulighet til å teste ulike måter å gi informasjon på i denne løsningen. Informasjonen kan for eksempel gis gjennom pop-up-vinduer.

Vi har diskutert at en mulig måte å informere om den underliggende logikken på en enkelt forståelig måte kan være å skrive en tekst som dette i personvernerklæringen:

«Hvordan gir vi deg personaliserte reiseforslag?

I modellen bruker vi opplysninger om når og hvor du bruker appen vår, og hvilke reiser du søker opp til hvilket tidspunkt. Modellen bruker også opplysninger om hvilke reiser andre i ditt område har søkt opp, til hvilket tidspunkt og hvor de var da de gjorde søket. På bakgrunn av dette beregner modellen vår aktuelle reiseforslag».

En slik formulering må imidlertid tilpasses den underliggende logikken når det blir klart for Ruter hvordan denne fungerer. Formuleringen må også tydeliggjøre hvilke personopplysninger som brukes i KI-modellen.

Det er også viktig at Ruter på en forståelig måte gir informasjon om for eksempel hva profilering er og hva det betyr for kunden, samt dataflyten og eventuelle overføringer av personopplysninger ut av EØS.

Særlig om krav til informasjon ved innhenting av samtykke

Ruter planlegger å innhente samtykke for bruksfasen gjennom en informasjonsside med en knapp/avhukingsboks, som dukker opp ved en oppdatering av appen. På samme måte som for utviklingsfasen vil minstekravene til et informert samtykke måtte være oppfylt allerede i første lag.

I diskusjonene avdekket vi at vurderingene blir nokså like for utviklings- og bruksfasen. Blant annet kan informasjonen om retten til å trekke samtykket tilbake utformes på samme måte. Det som kan være ulikt i bruksfasen knytter seg særlig til formålsbegrensning og viderebruk for nye formål. Som nevnt er det viktig for samtykkets gyldighet at man i informasjonen skiller klart og tydelig mellom ulike formål. Ett separat samtykke må innhentes for hvert nye formål.

Informasjonen til de registrerte har innvirkning på vurderingene om formålsbegrensning. Hvilken informasjon som gis om formål i sammenheng med innhenting av samtykket kan for eksempel påvirke hva som kan anses som et forenelig formål, se underkapitlet om formål.

Ruters tjenester bygger på store nettverkssystemer, som stadig øker i kompleksitet når nye former for mobilitet og transport blir en del av tjenestene. Ved bruk av kunstig intelligens har man en mulighet til å ta i bruk ny teknologi til å utnytte mulighetene og effektivsere bruken av dette systemet. Bedre reiseforslag, som er eksemplet vi har jobbet med i sandkasseprosjektet, kan føre til at flere kunder benytter seg av Ruters tilbud. Hvis man i tillegg kan bruke kunstig intelligens til å utnytte mobilitetssystemets kapasitet mer optimalt, kan man redusere kostnader, både økonomisk og ressursmessig, og dermed tilby befolkningen et mer bærekraftig transporttilbud.

Ruter har sett at diskusjonene rundt åpenhet, formål og ansvar i sandkasseprosjektet har relevans også i andre prosjekter de jobber med. De ønsker derfor å sørge for videre kompetanseoverføring til andre deler av virksomheten. De kommer til å fortsette å utforske bruk av KI i tjenestene, der de ser at det kan gi en positiv forbedring av kundeopplevelsen, eller en mer effktiv drift av tilbudet. Erfaringene fra sandkasseprosjektet knyttet til åpenhet, formålsbegrensning og informasjonsplikt gjør at man er bedre rustet til å sikre at disse tjenestene utvikles i henhold til regelverket, kundenes rettigheter og forventninger.

For Ruter er tillit fundamentet i relasjonen til kundene og befolkningen. Å beholde denne tilliten i uvtiklingen av nye tjenester som tradisjonelt ikke har vært en del av kollektivtrafikken, eller bruk av ny teknologi som for mange kunder oppleves som ukjent, er avgjørende. Åpenhet er en grunnleggende forutsetning for tillit. Gode tiltak for å ivareta personvernet, kombinert med en åpen og enkel forklaring, kan føre til at kundenes tillit til Ruter opprettholdes, og at Ruter velges fremfor liknende tjenester.

For Datatilsynet er det et mål at denne rapporten bidrar med mer praktisk veiledning også til andre virksomheter som vil ivareta åpenhet i sine KI-løsninger. Vurderingene er særlig relevante for andre aktører som vil utvikle tjenester for personaliserte anbefalinger basert på brukernes egne opplysninger og atferdsmønstre, både i transportsektoren og på andre områder. Diskusjonene om hvordan man kan informere om komplisert behandling av personopplysninger i KI vil også være relevant for alle som benytter seg av komplekse tekniske løsninger – både med og uten KI.