Mål for sandkasseprosessen
Før Simplifai ble tatt opp i Datatilsynets sandkasse, hadde selskapet deltatt i et StartOff-prosjekt sammen med Arkivverket, administrert av Direktoratet for forvaltning og økonomistyring (DFØ).
Målet med prosjektet var å utforske hvordan kunstig intelligens kan brukes til å automatisere eller understøtte arbeidet med journalføring og arkivering av e-post. Det var i dette prosjektet DAM ble utviklet.
Se presentasjonen "Fullautomatisert epostarkivering for Arkivverket" (på YouTube.com)
Hovedfokus i StartOff-prosjektet var å finne en god balanse mellom hensynet til personvern og ønsket om effektiv ivaretakelse av plikter som følger av offentlighetsloven og arkivloven. I prosjektet ble det klart at de juridiske utfordringene ved bruk av kunstig intelligens til å behandle e-post ikke var knyttet til arkivbestemmelsene, men til personopplysningsloven og arbeidsmiljøloven. Prosjektet antok at den juridiske kompleksiteten var lavere ved å ta i bruk DAM på virksomhetens sentrale e-postkasse, slik som , i stedet for på personlige e-postkasser. Personlige e-postkasser, som for eksempel , ble ikke vurdert i StartOff-prosjektet.
Det er likevel først når DAM kobles til de personlige e-postkassene, effekten av tjenesten virkelig slår inn, siden det er de personlige e-postkassene som brukes mest i saksbehandling. Samtidig reiser koblingen til personlige e-postkasser viktige spørsmål knyttet til personvern. Dette var bakgrunnen for søknaden til Datatilsynets sandkasse for ansvarlig kunstig intelligens.
Sandkasseprosessen har hatt to hovedmål:
1. Vurdere om DAM er lovlig å ta i bruk for en offentlig aktør
Å vurdere om en DAM er lovlig å ta i bruk og videreutvikle for en offentlig aktør, var sentralt for Simplifai før de ville gå videre med løsningen ut i markedet. Hovedmålet om lovlighet ble delt inn i tre problemstillinger:
- Utforske hvilket rettslig grunnlag i personvernforordningen som er aktuelt når en offentlig aktør tar i bruk den planlagte løsningen.
- Undersøke om bruken av særskilte kategorier personopplysninger er tillatt etter personvernforordningen.
- Avklare om den planlagte løsningen vil være i strid med e-postforskriftens forbud mot overvåking.
Prosjektet besluttet å ikke vurdere spørsmål knyttet til å overføre personopplysninger til land utenfor EØS ved bruk av skyløsninger, av ressurshensyn. I spørsmål om lovlighet har prosjektet bygd på Simplifais vurdering av at selskapet er databehandler. Prosjektet har altså ikke selv vurdert om Simplifai er behandlingsansvarlig eller databehandler.
2. Gi anbefalinger om innebygd personvern til offentlige aktører som skal anskaffe en løsning som helt eller delvis er basert på maskinlæring (kunstig intelligens)
Som leverandør av intelligente arkivløsninger, ønsker Simplifai å utvilke en tjeneste som både ivaretar regelverkskrav og andre behov offentlige virksomheter har, når det kommer til personvern. Intelligente løsninger er på full fart inn i offentlig sektor, og bestillerkompetansen er veldig viktig for at det innføres på en god måte.
I dette prosjektet samarbeidet Datatilsynet, Simplifai og NVE med å lage anbefalinger til hvordan offentlige aktører kan stille krav til løsninger som bygger på maskinlæring i anskaffelsesprosesser, slik at det offentlige oppfyller plikten til innebygd personvern.