I sandkassa har Simplifai og Datatilsynet sett på om personvernreglene åpner for at offentlige aktører kan ta i bruk en maskinlæringsløsning for å journalføre og arkivere e-post. Og sammen med NVE har de utforsket hvordan offentlige aktører kan gjøre informerte valg når de skal kjøpe intelligente løsninger, som for eksempel DAM.

Oppsummering av funn

• Lovlighet. Offentlige aktører har rettslig grunnlag for å bruke DAM som støtte ved beslutning om arkivering og journalføring. Det er riktignok usikkert om det rettslige grunnlaget åpner for å bruke personopplysninger til å videreutvikle modellen (etterlæring), med mindre personopplysningene er anonymiserte. Bruk av DAM er også lovlig innenfor nasjonale forskrifter til arbeidsmiljøloven. Datatilsynet anbefaler tekniske og organisatoriske tiltak, for eksempel instrukser som forbyr eller begrenser bruk av privat e-post.
• Innebygd personvern. Prosjektet har avdekket et stort behov for veiledning om hvordan det offentlige kan sikre innebygd personvern ved kjøp av intelligente løsninger. Prosjektet har gitt overordnede anbefalinger til hvilke steg en offentlig virksomhet kan ta: Skaff kunnskap, vurder om maskinlæring passer til det konkrete behovet og still krav.

Veien videre

Arbeidet med prosjektet har synliggjort et stort behov for veiledning og verktøy for å ivareta kravene til innebygd personvern ved kjøp av løsninger der den behandlingsansvarlige plikter å ivareta innebygd personvern.

Sandkasseprosjektet ser et behov for at flere aktører kommer sammen for å løfte kompetansen om innebygd personvern i anskaffelsesfasen i offentlig sektor. Det vil også være nyttig med praktiske eksempler på krav det offentlige kan stille i konkurranser om teknologi som bygger på maskinlæring.

Og – for å gjøre det lettere å bruke maskinlæring til å løse utfordringene med å journalføre og arkivere dokumentasjon i tide, anbefaler sandkasseprosjektet at ny arkivlovgivning regulerer dette på en ansvarlig måte.