Hva må forklares ved bruk av den kunstige intelligensen?
Bruksfasen starter når Ruter mener at KI-modellen er tilstrekkelig utviklet til å kunne tas i bruk for å predikere reiseønsker. KI-modellen vil da eksponeres for brukerne av Ruter-appen.
I bruksfasen planlegger Ruter å bruke personopplysninger til å predikere reisemønster for å gi reiseforslag, og til etterlæring av KI-modellen. Ruter vil også utforske muligheten for å i bruksfasen benytte personopplysninger for videreutvikling av den aktuelle tjenesten, og Ruters tjenester generelt. Det siste kan for eksempel være bruk av statistikk som kan informere annen tjenesteutvikling, forbedre trafikkplanlegging, avdekke hvilken modell i Ruter-appen som fungerer best, og mulige andre former for bruk.
Særlig om formål i bruksfasen
Å oppgi informasjon om formålene med den tiltenkte behandlingen av personopplysninger, er sentralt for å oppfylle informasjonsplikten. Ruter ser for seg at personopplysninger innsamlet i forbindelse med bruk av KI-løsningen, kan bli nyttige for flere formål.
I sandkasseprosjektet har vi derfor diskutert spørsmål tilknyttet formålsbegrensning, blant annet:
- hvilke formål skal Ruter bruke personopplysninger til å oppfylle?
- hva faller inn under samme formål?
- hvilke konstruerte eksempler på mulige fremtidige formål kan være forenelige med det opprinnelige formålet?
Personopplysninger skal bare brukes for spesifikke, uttrykkelig angitte og berettigede formål, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Formålet eller formålene skal være definert før personopplysningene samles inn, og skal være tydelig kommunisert til de registrerte. Kravet har sammenheng med åpenhetsprisnippet. Måten personopplysningene vil behandles på skal være forutberegnelig for de registrerte. På den måten har de en større grad av kontroll over hvordan noen bruker personopplysningene deres. Når Ruter benytter samtykke som rettslig grunnlag for å behandle personopplysningene, er det også viktig for samtykkets gyldighet at de informerer klart og tydelig om de ulike formålene og at man innhenter separate samtykker for hvert separate formål.
Hvilke behandlingsaktiviteter faller inn under samme formål?
På overordnet nivå ser Ruter for seg at disse aktivitetene kan bli aktuelle i bruksfasen:
- predikere reisemønster for å gi reiseforslag
- etterlæring av KI-modellen
- videreutvikling av den aktuelle tjenesten
- videreutvikling av Ruters tjenester generelt
Alle disse overordnede aktivitetene kan deles inn i flere, mer spesifikke behandlingsaktiviteter. Noen av de mer spesifikke behandlingsaktivitetene kan Ruter allerede ved innsamlingen være sikre på at de ønsker å gjennomføre, før eller senere i bruksfasen. Andre behandlingsaktiviteter som kan bli nyttige på sikt, er ikke mulig å se for seg på et så tidlig stadium, særlig når det gjelder videreutvikling av tjenesten og Ruters tjenester generelt. Vi har derfor konstruert noen eksempler på nye behov som kan oppstå i fremtiden. I sandkasseprosjektet har vi diskutert hvilke behandlingsaktiviteter som kan høre inn under samme formål, og hvilke som kan være del av nye formål. Vi har også diskutert om nye formål vil kunne være forenelige med opprinnelige formål eller ikkeBruk av personopplysninger for forenelige formål vil være lovlig, under forutsetning av at Ruter har rettslig grunnlag for dette.
Personvernrådets forgjenger, Artikkel 29-arbeidsgruppen, skrev i sin uttalelse 03/2013 om formålsbegrensning, s. 16:
«For ‘related’ processing operations, the concept of an overall purpose, under whose umbrella a number of separate processing operations take place, can be useful. That said, controllers should avoid identifying only one broad purpose in order to justify various further processing activities which are in fact only remotely related to the actual initial purpose.»
Uttalelsen gjelder prinsippet om formålsbegrensning i det gamle personvernregelverket. Siden prinsippet om formålsbegrensning er videreført i personvernforordningen, kan uttalelsen likevel gi veiledning også etter gjeldende regelverk. Et formål kan altså være spesifikt selv om det omfatter flere ulike behandlingsaktiviteter naturlig forbundet med det overordnede formålet.
Ruter har forklart at det i praksis ikke er hensiktsmessig å skille mellom det å gi reiseforslag og etterlæring av modellen. Reisemønstre endres konstant. For eksempel var reisemønstre mer statiske før pandemien enn nå som folk har en mer variabel arbeidshverdag. Ruter ønsker å plukke opp slike mønstre. Reisemønster er også sesongbasert, slik at det er stor forskjell i bevegelsesmønster vinter og sommer. Modellen må altså kontinuerlig tilpasses og forbedres for å kunne gi presise reiseforslag. Ruter har påpekt at produktet vil bli dårligere hvis modellen ikke lærer underveis, og at noe av hensikten med å bruke KI da bortfaller. Det samme gjelder tilpasninger av KI-modellen som ikke er etter læring, for eksempel tilpasning av hvor mye KI-modellen skal vektlegge ulike elementer, samt fjerning av unødvendige elementer og feil. Ruter ønsker å tydeliggjøre disse behovene for kundene.
I sandkasseprosjektet vurderte vi det slik at det kan være tilstrekkelig sammenheng mellom bruk av personopplysninger i KI-modellen for å predikere reisemønster og for etterlæring av modellen, til at behandlingsaktivitetene kan anses som samme formål. Et overordnet formål om å tilby personlige reiseforslag i Ruter-appen kan også være tilstrekkelig spesifikt. Det avgjørende er at behandlingsaktivitetene som faller inn under formålet må ha tilstrekkelig nær sammenheng. Sammenhengen kan være nær når formålet med en behandlingsaktivitet ikke er mulig å oppfylle uten å legge til en tilgrensende behandlingsaktivitet.
I Artikkel 29-arbeidsgruppens uttalelse 03/2013 om formålsbegrensning s. 53 oppstilles et eksempel på hvordan et overordnet formål ofte kan brytes opp i flere underliggende formål:
«[…] - For example, processing an individual’s claim for a social benefit could be ‘broken down’ into verifying his or her identity, carrying out various eligibility checks, checking other benefit agencies’ records, etc.
- The concept of an overall purpose, under whose umbrella a number of separate processing operations take place, can be useful. This concept can be used, for example, when providing a layered notice to the data subject. More general information can be provided in the first instance about the 'overall purpose', which can be complemented with further information. Breaking down the purposes is also necessary for the controller and those processing data on its behalf in order to apply the necessary data protection safeguards.»
Rent praktisk kan Ruter gi informasjon om det overordnede formålet i det første laget med informasjon, mens informasjon om underliggende formål – som etterlæring og tilpasning av KI-modellen – kan komme i et annet lag som den registrerte kan velge å trykke seg inn på.
Et annet spørsmål er om videreutvikling av den spesifikke tjenesten for personaliserte reiseforslag kan høre inn under samme formål. Videreutvikling av tjenesten er en nokså vid beskrivelse. Flere behandlingsaktiviteter kan omfattes av denne beskrivelsen. Ruter har forklart at de med videreutvikling av tjenesten ønsker å oppnå to ting:
- Å videreutvikle for å sikre kvaliteten av de personlige reiseforslagene, og
- Å videreutvikle for å gi merverdi utover de personlige reiseforslagene.
På den ene siden jobber Ruter kontinuerlig for å forbedre tjenesten, og de hevder at det ikke er noen hensikt å eksponere produktet for kundene uten å kunne videreutvikle det. Den type videreutvikling kan kalles vedlikehold: Det handler om å sikre kvaliteten, ikke å oppnå nye ting. På den andre siden ønsker Ruter å videreutvikle tjenesten ved å legge til nye funksjonaliteter der de ser at det kan ha merverdi. Et tenkt eksempel kan være nye integrasjoner for å veilede kunden til å gjøre informerte og effektive reisevalg. Et annet kan være nye integrasjoner for å veilede kunden til å gjøre gode billettvalg.
Overordnet formål: Tilby persontilpassede reiseforslag
Illustrasjonen viser et forslag til en tenkt inndeling av Ruters overordnede formål, underliggende formål og behandlingsaktiviteter. Det er glidende overganger mellom de ulike behandlingsaktivitetene og det kan være utfordrende å definere hva som omfattes av ett spesifikt formål.
For å vurdere hva som hører inn under samme formål må vi igjen se på sammenhengen mellom behandlingsaktivitetene. Her er det altså snakk om all videreutvikling av tjenesten som ikke spesifikt gjelder KI-modellen. Ruter har også forklart at det ikke er mulig å på forhånd si helt klart hvilke behandlingsaktiviteter som vil kunne bli ønskelig på sikt. For at behandlingsaktivitetene skal omfattes av samme formål, må det være tilstrekkelig nærhet både til de øvrige behandlingsaktivitetene og det overordnede formålet.
I diskusjonene kom vi frem til at videreutvikling som omfattes av vedlikeholdskategorien kan høre inn under det overordnede formålet. Et eksempel på dette kan være å fjerne unødige elementer og feil. Eksemplet om å legge til nye integrasjoner for å veilede kundene til å gjøre gode reisevalg, er vanskeligere å anse som rent vedlikehold. Slik veiledning kan eksempelvis være et forslag om å ta en mer effektiv rute en halvtime før du vanligvis reiser. Vi vurderte dette til å være på grensen for hva som kan karakteriseres som prediksjon av reiseønsker for å gi persontilpassede reiseforslag. Hvis et ønske om gjennomføre en liknende integrasjon oppstår, er eksemplet imidlertid av en slik art at man kan argumentere for at det er omfattet av det opprinnelige formålet, eventuelt at det er et nytt og forenelig formål. Vurderingen av om et nytt formål er forenelig, er kun aktuell når formålet ikke kan defineres ved innsamlingen av personopplysninger. Hvis Ruter allerede ved innsamlingen ser at en slik integrasjon er ønskelig, må de ta vurderingen om det er et nytt formål før innsamlingen skjer.
Et annet tenkt eksempel på en ny integrasjon kan være at Ruter veileder kunden til å gjøre gode billettvalg, for eksempel gjennom å kjøpe én dagsbillett fremfor fire enkeltbilletter i samme tidsrom. Vi fant at sistnevnte trolig faller utenfor formålet om å tilby persontilpassede reiseforslag. Vi diskuterte videre om slik tenkt videreutvikling kunne vært forenelig med det opprinnelige formålet. Ved vurderingen må man se hen til flere momenter:
Forenelige formål
I vurderingen av om et formål er forenelig med det opprinnelige formålet etter personvernforordningen artikkel 6 nr. 4, skal man blant annet ta hensyn til:
- enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen,
- i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige,
- personopplysningenes art og om særlige kategorier av personopplysninger, eller personopplysninger om straffedommer og lovovertredelser behandles,
- de mulige konsekvensene av viderebehandlingen for de registrerte,
- om man bruker tiltak, som kryptering eller pseudonymisering
Forenelige formål
Hvis behandlingen er forutsigbar ved innsamlingen, eller et logisk neste steg, kan det tale for at formålet er forenelig. Jo mer uforutsigbar en viderebehandling vil være, desto mer skal til for å anse formålet som forenelig.
Det er viktig å se hen til hvordan formålet oppfattes av den registrerte når man vurderer forutberegnelighet. Artikkel 29-gruppen skriver i sin uttalelse 03/2013 om formålsbegrensning s. 24-25 at det er innholdet, og ikke det opprinnelige ordvalget i forklaringen av formålet som er avgjørende. Maktbalansen mellom de registrerte og behandlingsansvarlig kan også få betydning ved vurderingen. Tekniske og organisatoriske tiltak kan også betydning. Det har sammenheng med momentet om de mulige konsekvensene av viderebehandlingen for de registrerte, se faktaboks.
Å bruke personopplysningene til å analysere og veilede om billettvalg, er ikke helt fjernt fra formålet om å motta persontilpassede reiseforslag. Det kan likevel komme overraskende på de registrerte som har samtykket til en type analyse av sine opplysninger, å oppdage at det også brukes til en annen analyse. Det taler imot å anse formålet forenelig. I diskusjonene kom vi frem til at dette eksemplet lå i grenseland for hva som kan anses som forenelig.
Er viderebruk av statistikk forenelig?
Datatilsynet og Ruter vurderte videre at det å forbedre Ruters andre tjenester, neppe vil falle inn under det opprinnelige formålet om å tilby persontilpassede reiseforslag. Ruter ser særlig for seg at det kan bli aktuelt å generere statistikk av personopplysningene, som igjen kan:
- informere annen tjenesteutvikling,
- forbedre trafikkplanlegging, og
- avdekke hvilken modell i Ruter-appen som fungerer best.
Andre former for viderebruk av statistikken kan også bli aktuelle for Ruter. Det er imidlertid vanskelig å forutse akkurat hvilken bruk statistikken kan bli nyttig for i fremtiden.
I sandkasseprosjektet har vi sett nærmere på om disse nye formålene kan være forenelige med det opprinnelige formålet.
Overordnet formål: Tilby persontilpassede reiseforslag
Illustrasjonen viser eksempler på hypotetiske fremtidige formål.
Statistiske formål er i henhold til personvernforordningen artikkel 5 nr. 1 bokstav b ikke uforenelig, såfremt den behandlingsansvarlige gir nødvendige garantier for å sikre den registrertes rettigheter og friheter, jf. personvernforordningen artikkel 89 nr. 1.
Statistiske formål beskrives i personvernforordningen fortalepunkt 162 som «enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater». Begrepet rommer et vidt spenn av behandlingsaktiviteter, jf. uttalelse 03/2013 om formålsbegrensning s. 29. Både bruk av statistikk for offentlige og kommersielle formål omfattes. Kommersielle formål kan være bruk av statistikk til analyse av nettsider eller markedsundersøkelser. Tiltak for å beskytte personopplysningene kan blant annet være anonymisering eller pseudonymisering, samt tilgangskontroll. Tiltakene må sees i sammenheng med prinsippet om dataminimering. Opplysningene må avidentifiseres og beskyttes i den grad det er mulig å fortsatt oppnå formålet.
Ruter jobber med løsninger for anonymisering av opplysninger for viderebruk. Foreløpig er det utfordrende for Ruter å oppnå de aktuelle formålene med viderebruk internt hvis de bruker ekte anonymisering. For ekstern bruk kan og vil Ruter anonymisere opplysningene.
Les mer om ekte anonymisering her.
Statistikken Ruter ønsker å bruke internt, vil de likevel prosessere på en slik måte at det vil kunne være vanskelig å utlede personopplysninger fra den på en enkel måte. Personopplysningene vil altså pseudonymiseres. I sandkasseprosjektet diskuterte vi hva som må til for å oppfylle vilkåret om nødvendige garantier.
I personvernforordningen fortalepunkt 162 heter det at «Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person». I diskusjonene kom vi frem til at dette trolig innebærer at statistikken ikke bør benyttes for formål som krever re-identifisering av individer. Vi diskuterte også om statistikken bare kan brukes til nye formål når personopplysninger ikke lenger kan utledes av statistikken. Et bekreftende svar på det spørsmålet virker å gå imot ordlyden i personvernforordningen artikkel 89 nr. 1. Det er kun når formålet kan oppfylles ved bruk av anonyme opplysninger at bestemmelsen krever det, ellers kreves dataminimering.
Ved viderebruk av personopplysningene til nye formål må man gi informasjon til de registrerte. Vi vurderte det slik at Ruter allerede på samtykketidspunktet skal informere om viderebruk i den detalj det er mulig. Øvrig informasjon om nye formål må gis senest før viderebehandlingen finner sted, jf. personvernforordningen artikkel 13 nr. 3. På denne måten vil de registrerte fortsatt ha mulighet til å ivareta sine rettigheter. De nye formålene må fortsatt være spesifikke, uttrykkelig angitte og berettigede, jf. personvernforordningen artikkel 5 nr. 1 bokstav b.
Hva må Ruter informere om i bruksfasen?
Mye er nokså likt i utviklings- og bruksfasen når det kommer til hva Ruter må informere om og på hvilken måte det kan gjøres. Her skal vi se nærmere på hva som gjelder særskilt for bruksfasen.
Informere om profilering og hvordan opplysninger behandles
Som nevnt vil Ruters behandling av personopplysninger for å tilby personlige reiseforslag innebære profilering. Se beskrivelser av hvilken informasjon som da må gis til de registrerte i forrige kapittel. Ruter vet ikke hvordan den underliggende logikken i den ferdiglærte KI-modellen vil fungere før prosjektet er gjennom utviklingsfasen. Vi har derfor ikke en konkret underliggende logikk å peke på i denne rapporten, men vil si noe overordnet om hvilken informasjon som må presenteres for de registrerte og hvordan denne kan presenteres fra Ruters side.
Når KI-modellen er klar for å rulles ut til brukerne, er det viktig at Ruter har god oversikt over hvilke parametere modellen vektlegger i profileringen og hvordan, slik at de registrerte kan få informasjon om hvordan modellen generelt kommer frem til reiseforslag.
Et tema som også er løftet i sandkassen er hvorvidt modellen må endres for å kunne oppfylle de registrertes rett til informasjon. Må man for eksempel velge en modell som er enklere å forklare for å oppfylle dette kravet? Vi er enige om at det ikke er aktuelt å endre Ruters modell for å oppfylle kravet til informasjon i dette tilfellet, men utelukker ikke at det kan være nødvendig for å oppfylle andre krav i regelverket.
Informasjon om bruk av tilbakemeldinger i KI-modellen
Ruter ønsker å legge opp til at kundene kan gi tilbakemeldinger på reiseforslagene gjennom for eksempel knapper med en tommel opp eller tommel ned. Selskapet ønsker å bruke disse tilbakemeldingene til å justere KI-modellen slik at den kan gi mer relevante reiseforslag og forbedre tjenesten. Vi har i den forbindelse diskutert at Ruter må gi informasjon om hvordan tilbakemeldingene vil bli behandlet på en enkel måte såfremt tilbakemeldingene utgjør personopplysninger.
Hvordan kan informasjonen gis til de registrerte
Ruter har i dag en eksisterende app som de personaliserte reiseforslagene skal integreres i. Selskapet har derfor mulighet til å teste ulike måter å gi informasjon på i denne løsningen. Informasjonen kan for eksempel gis gjennom pop-up-vinduer.
Vi har diskutert at en mulig måte å informere om den underliggende logikken på en enkelt forståelig måte kan være å skrive en tekst som dette i personvernerklæringen:
«Hvordan gir vi deg personaliserte reiseforslag?
I modellen bruker vi opplysninger om når og hvor du bruker appen vår, og hvilke reiser du søker opp til hvilket tidspunkt. Modellen bruker også opplysninger om hvilke reiser andre i ditt område har søkt opp, til hvilket tidspunkt og hvor de var da de gjorde søket. På bakgrunn av dette beregner modellen vår aktuelle reiseforslag».
En slik formulering må imidlertid tilpasses den underliggende logikken når det blir klart for Ruter hvordan denne fungerer. Formuleringen må også tydeliggjøre hvilke personopplysninger som brukes i KI-modellen.
Det er også viktig at Ruter på en forståelig måte gir informasjon om for eksempel hva profilering er og hva det betyr for kunden, samt dataflyten og eventuelle overføringer av personopplysninger ut av EØS.
Særlig om krav til informasjon ved innhenting av samtykke
Ruter planlegger å innhente samtykke for bruksfasen gjennom en informasjonsside med en knapp/avhukingsboks, som dukker opp ved en oppdatering av appen. På samme måte som for utviklingsfasen vil minstekravene til et informert samtykke måtte være oppfylt allerede i første lag.
I diskusjonene avdekket vi at vurderingene blir nokså like for utviklings- og bruksfasen. Blant annet kan informasjonen om retten til å trekke samtykket tilbake utformes på samme måte. Det som kan være ulikt i bruksfasen knytter seg særlig til formålsbegrensning og viderebruk for nye formål. Som nevnt er det viktig for samtykkets gyldighet at man i informasjonen skiller klart og tydelig mellom ulike formål. Ett separat samtykke må innhentes for hvert nye formål.
Informasjonen til de registrerte har innvirkning på vurderingene om formålsbegrensning. Hvilken informasjon som gis om formål i sammenheng med innhenting av samtykket kan for eksempel påvirke hva som kan anses som et forenelig formål, se underkapitlet om formål.