Vi hentet innspillene gjennom bilaterale møter, samtaler og workshops. Hvem som helst kunne melde seg på og det var også mulig å sende innspill via epost. Totalt estimerer vi å ha vært i kontakt med rundt 60 virksomheter og nettverk, både fra offentlig og privat sektor.
Vi har lært masse fra innspillsrunden, og har oppsummert innspillene i tre tematiske bolker:
- Hva slags type tema som er relevant
- Hvordan vi bør organisere sandkassen for at den skal være effektiv og inkluderende
- Hva slags type «output» eller resultater som vil være nyttig for andre som jobber med kunstig intelligens (KI)
Vi vil bruke innspillene aktivt når vi planlegger rammeverket for sandkassen. Dette gjelder både søknadsprosess, prosjektmetodikk og kommunikasjon under og etter sandkasseprosjekt.
Hvem ga innspill?
Vi har vært i kontakt med alt fra små oppstartsvirksomheter til store kommersielle aktører, fra forskningsprosjekter og akademia til offentlige virksomheter.
Her er en oversikt over de vi har vært i kontakt med:
- Utdanningsetaten i Oslo
- Fürst Med. Lab. AS
- Bergen kommune
- Fremtind
- Senter for rettsinformatikk, UiO
- Hastings AS
- Likestillings- og diskrimineringsombudet
- Schibsted
- KS - Kommunesektorens organisasjon
- Arbeids- og velferdsdirektoratet (NAV)
- Norwegian Cognitive Center
- Norsk Pasientskadeerstatning
- Bolder Technologies AS
- Goscore AS
- Kripos
- Innovasjon Norge
- Politiets Fellestjenester
- Digitaliseringsdirektoratet
- Helsedirektoratet
- Brønnøysundregistrene
- Avinor
- Teknologirådet
- Advokatforeningen
- Forbrukerrådet
- Salient World AS
- SLATE-senteret ved Universitetet i Bergen
- Advokatfirmaet Wiersholm
- Institutt for informatikk, UiO
- IOTA Foundation
- Oslo Politidistrikt
- Juristforbundets Tech Forum (JF-Tech)
- Finanstilsynet
- Finansforbundet
- IKT-Norge
- YS
- ICO, UK
- Nito
- Arkivverket
- Negotia
- Innovasjon Norge
- Digitaliseringsdirektoratet
- Brækhus Advokatfirma
- Sintef Digital og Sintef Helse
- Den Norske Dataforening
- Telenor
- Oslo Met
- Ullevål Universitetssykehus
- E-helsedirektoratet
- Simula
- Nora – Norwegian AI Research
- NORDE nettverket
- DnB
Hvilke tema bør sandkassen belyse?
For å være sikre på at vi velger prosjekter som kan være relevant for flere, har det vært veldig nyttig å høre hvilke temaer aktørene er opptatt av. Sandkassen egner seg spesielt godt for å belyse problematikk hvor det er reell usikkerhet knyttet til hvordan regelverket skal tolkes og praktiseres. Gjennom sandkasseprosjektet har vi mulighet til å vise eksempler på hvordan regelverket kan tolkes i praksis og hvilke vurderinger som bør ligge til grunn for avgjørelser i forskjellige prosjekter.
Noen tema som kom opp i innspillsrunden:
Hvordan sikrer vi at kunden/brukeren faktisk forstår hva som skjer med personopplysningene sine når de samles inn og benyttes i systemer basert på KI, og hvordan forklare hvorfor resultatet ble som det ble på en åpen og gjennomsiktig måte som ivaretar kravene i personopplysningsloven?
For at KI skal fungere effektivt og gi gode resultater, er vi avhengig av mange og gode datasett. Dette gjelder både i offentlig og privat sektor, og ulike problemstillinger kan være aktuelle. For eksempel deling av data mellom ulike aktører, eller å gjøre tilgjengelig nasjonale datasett.
Kanskje kan sandkassen bringe klarhet i noen grensetilfeller, for eksempel i forbindelse med ny teknologi, med særlig vekt på å bringe klarhet i prinsippet om rettferdighet og lovlighet. Hvor langt går rettferdighetsprinsippet i personopplysningsloven?
- Skille mellom utvikling og bruk av KI
Om det man holder på med klassifiseres som bruk eller utvikling, vil ha betydning for hva man kan gjøre med dataene. I kunstig intelligens er skillet mellom utvikling og bruk uklart. Det er ønske om å få frem eksempler som viser hvordan dette skillet kan se ut i praksis.
KI gir nye muligheter og ny bruk av data kan gi store gevinster. Hvordan kan man bruke samtykke til å få lovlig grunnlag til å gjenbruke data? Er det mulig å gi retrospektivt samtykke? Hvordan bruke samtykke som ble gitt på nittitallet i dag, når vi bruker en ny type teknologi med nye muligheter?
Hvis data er helt anonyme gjelder ikke kravene i personopplysningsloven. Når er det vi har anonyme data? Hvordan gjør vi disse vurderingene? Når er og når er ikke bruk av pseudonymisering tilstrekkelig?
Ved starten av et KI-prosjekt vet vi ofte ikke hvilken data vi trenger. Når man må definere formål på forhånd, kan det begrense mulighetene og verdiene KI-teknologien kan skape. Kan en løsning være å ha bredere formålsbeskrivelser?
Vi har sett flere eksempler på at KI har produsert resultater som har diskriminert på grunnlag av kjønn, hudfarge eller hvor du bor. Hvordan kan man designe løsninger som fjerner diskriminering og sikrer rettferdig behandling?
- Tilgangskontroll og overvåking
Bruk av KI kan bidra til effektiv ressursbruk innen tilgangskontroll og overvåkning. Hvordan kan dette gjøres på en måte som ivaretar personvernet?
Innen helse er det stort potensiale for å utvikle løsninger som kan effektivisere og bidra til bedre helsehjelp. Flere aktører tok opp problemstillinger innen helse, inkludert samtykke, tilgang til data, deling av data og bruk av sensitive data.
Ved bruk av KI utfordres prinsippet om nødvendighet fordi nye måter å analysere og bruke data på er mulig. Hvilke vurderinger bør ligge til grunn når man skal avgjøre om det er nødvendig å bruke data for å oppnå et formål? Og hvor trekker man linjen for hva som er forventet behandling?
Ofte bidrar mer data til mer treffsikre resultater og mindre bias ved bruk av KI. Hvordan ivaretar man dataminimeringsprisnippet, og hva gjør man når man har masse data som man ikke vet om man kommer til å bruke?
Denne listen er ikke uttømmende, men tar opp utvalgte temaer som gikk igjen i innspillene.
Hvordan bør sandkassen organiseres?
Datatilsynet ønsker at sandkassen skal være tilgjengelig for alle typer virksomheter som jobber med, eller har interesse for, KI. Derfor er det viktig at vi legger opp til en prosess som er tilgjengelig og ikke ekskluderer noen type virksomheter. Innspillene vi har fått hjelper oss med å tilrettelegge for en så effektiv og lite byråkratisk sandkasse som mulig. I tillegg fikk vi mange gode innspill til hvordan vi kan få så mye som mulig ut av hvert enkelt prosjekt på en kreativ måte.
Her er et utvalg innspill til hvordan vi kan organisere sandkassen på en god måte:
- Representere ulike aktører
Utvelgelsen av prosjektene bør organiseres på en måte som sikrer at representanter fra private selskaper, store børsnoterte selskaper, akademia og offentlige virksomheter deltar.
Konklusjonene fra sandkassen bør være harmonisert med praktisering av regelverket i andre europeiske land.
- Fleksible definisjon av KI
Datatilsynet bør ha en bred tilnærming til hva som defineres som KI. Istedenfor å ha en snever definisjon av KI, bør Datatilsynet velge prosjekter som har problematikk som er relevante for KI. For eksempel kan prosjekter som jobber med autonomi ha relevante problemstillinger, selv om de ikke benytter KI direkte.
Datatilsynet bør ha som mål å få alle virksomhetene til å være rause når det kommer til deling av kunnskap og informasjon. Eksemplene og vurderingene som er gjort i sandkasseprosjektene er viktig læring og veiledning for andre aktører som lurer på det samme.
Et uformelt tilsyn med en løsning kan være en god metode å få frem hva Datatilsynet vektlegger når de vurderer om løsningen følger regelverket.
Problemstillingene knyttet til kunstig intelligens har mange sider. Det er viktig med tverrfaglighet, og at man kan dra inn både teknologer, jurister, samfunnsvitere, filosofer, og så videre i sandkasseprosjektene.
Det er viktig å ha med brukerperspektivet når man skal lage gode tjenester og produkter. Kan sandkassen involvere brukerne for å avklare rimelige forventninger? For eksempel gjennom fokusgrupper eller brukerforum.
Små og mellomstore bedrifter har begrensede ressurser, søknadsprosessen bør gå raskt og ikke være for krevende. For å få med denne type aktører, bør søknadsprosessen ikke være for byråkratisk.
- Involvere eksterne aktører
Ved behov bør sandkasseprosjektene involvere eksterne aktører. Det kan være tilstøtende tilsyn eller offentlige organer, eksperter på et felt eller nettverk som sitter på kompetanse som er nyttig for et prosjekt.
- Fleksibel prosjektmetodikk
Lag et fleksibelt opplegg for gjennomføring av prosjekter, hvor søkerne selv kan være med å vurdere hva som passer deres prosjekt. Ulike aktører vil ha ulike behov og tematikk.
Denne listen er ikke uttømmende, men tar opp utvalgte temaer som gikk igjen i innspillene.
Hva slags type veiledning bør sandkassen generere?
Et viktig mål for sandkassen er at erfaringene og eksemplene fra sandkassen kommer andre aktører til gode. Datatilsynet planlegger å omgjøre det vi lærer i sandkassen til veiledning. Vi spurte de eksterne aktørene vi var i kontakt med hva slags type veiledning som er mest relevant for de.
Her er et utvalg innspill til hva slags type veiledning som kan komme ut av sandkassen:
Sandkassen kan legge til rette for å styrke nettverk mellom de som jobber med de samme problemstillingene slik at deltakerne lærer av hverandre. Lag eventer, podkaster e.l. slik at debatten kan fortsette. En levende diskusjon med mange parter gir videre læring.
- Formidling av resultater på en samlenettside
En nyhetsside som løpende blir oppdatert, med konklusjoner, vurderinger og eksempler fra sandkassen, kunne vært fint, slik at man ser hvilke temaer som blir diskutert. FHI sin nettside om Smittestopp ble brukt som eksempel.
- Praktiske problemer trenger praktiske svar
Man burde være fokusert på praktiske problemer og adressere hva slags utfordringer som oppstår når man har et konkret praktisk problem. Det er viktig at resultatet ikke blir generell veiledning, men konkrete eksempler på hvordan regelverket kan tolkes i praksis.
Velg prosjekter som gir samfunnsnytte, ikke økonomisk gevinst. Prosjektene bør adressere problemstillinger som kan komme alle til gode, ikke bare virksomheter sin vekst.
Sandkassen bør komme med gode eksempler på hvordan regelverket skal tolkes i praksis. Vi trenger oversettelser fra juridisk til teknisk. Men vi trenger også en oversettelse fra juridisk til juridisk, det vil si at man er tydelig på hva som er OK å gjøre og hva som er riktig.
- Rammeverk eller standard for KI
Hvis man kan få til et standarisert malverk for hvordan man skal behandle personopplysninger ved hjelp av KI, så ville det vært stor nytte.
Det er en del usikkerhet knyttet til hvilken rolle etikken skal ha når det kommer til KI og hvordan det skal forstås i praksis. Deltakere foreslo at det kunne være interessant å lage et etisk dilemmabibliotek. eller en sjekkliste for etikk, som del av sandkassen.
Det kan være smart å dele de eksemplene hvor virksomheter har prøvd seg på forskjellige løsninger som ikke tilfredsstilte kravene i regelverket.
Denne listen er ikke uttømmende, men tar opp utvalgte temaer som gikk igjen i innspillene.