Rammeverk for den regulatoriske sandkassen

Rammeverk for Datatilsynets regulatoriske sandkasse for kunstig intelligens

Her har vi skissert et rammeverk for sandkassen der vi går gjennom målsettinger, regelverk, krav og annen relevant informasjon for de som ønsker å delta i prosjektet.

Mål og definisjoner

Den regulatoriske sandkassen skal tilby gratis veiledning til utvalgte private og offentlige virksomheter, av forskjellige typer og størrelser, på tvers av ulike sektorer.

Framework for the Regulatory Sandbox for artificial intelligence

The Norwegian Data Protection Authority has outlined a framework for the sandbox. In the framework we go over objectives, regulations, requirements and other information potential participants may find relevant.

Read the framework in English

Datatilsynet ønsker at sandkassen skal representere et bredt spekter av aktører, fra små oppstartsbedrifter til større offentlige virksomheter. Alle typer virksomheter og organisasjoner har derfor mulighet til å søke om å delta.

Antall prosjekter som blir tatt opp vil avhenge av kapasiteten vår. 

Overordnet målsetting

Den overordnede målsetingen med den regulatoriske sandkassen i Datatilsynet er å stimulere til utvikling og bruk av etisk og ansvarlig kunstig intelligens (KI), fra et personvernperspektiv.

Målet er at sandkassen skal ha positive gevinster for virksomheter, Datatilsynet, enkeltpersoner og samfunnet som helhet:

  • For virksomheter skal den regulatoriske sandkassen bidra til å øke deres forståelse for de regulatoriske kravene, og hvordan KI-baserte produkter og tjenester kan ivareta kravene i personvernregelverket i praksis. Eksempler og erfaringer fra sandkassen skal kommuniseres for å komme andre virksomheter enn de som deltar til gode.
  • For Datatilsynet skal den regulatoriske sandkassen bidra til å øke vår forståelse for og kunnskap om bruk av kunstig intelligens i praksis. Denne kompetansen skal brukes til å styrke tilsynets veiledning, saksbehandling, tilsynsmetodikk og innspill til regelverk- og politikkutvikling innen KI og personvern.
  • Enkeltpersoner og samfunnet som helhet vil tjene på at utvikling og bruk av KI-baserte løsninger foregår innenfor en ramme som sikrer ansvarlighet og etterrettelighet og som ivaretar hensynet til enkeltmenneskets grunnleggende rettigheter. Dette legger grunnlaget for utvikling av tjenester som ivaretar kunders og innbyggeres tillit.

Hva er kunstig intelligens?

Sandkassen tar utgangspunkt i definisjonen av kunstig intelligens brukt i Nasjonal strategi for kunstig intelligens (regjeringen.no):

Kunstig intelligente systemer utfører handlinger, fysisk eller digitalt, basert på tolkning og behandling av strukturerte eller ustrukturerte data, i den hensikt å oppnå et gitt mål. Enkelte KI-systemer kan også tilpasse seg gjennom å analysere og ta hensyn til hvordan tidligere handlinger har påvirket omgivelsene.

- Hentet fra Nasjonal strategi for kunstig intelligens

Definisjonen omfatter kunstig intelligens innenfor en rekke disipliner:

  • maskinlæring, for eksempel dyplæring og forsterkende læring,
  • maskinresonnering, inkludert planlegging, søk og optimering
  • enkelte metoder innen robotikk (som kontroll, sensorer og integrasjon med andre teknologier i cyber-fysiske systemer).

Sandkassen omfatter både prosjekter som har til hensikt å utvikle KI og prosjekter som involverer bruk av allerede utviklede KI-løsninger.

Når er kunstig intelligens ansvarlig?

Sandkassen tar utgangspunkt i tre hovedprinsipper for ansvarlig kunstig intelligens:

  1. Lovlig - overholde alle gjeldende lover og bestemmelser.
  2. Etisk - overholde etiske prinsipper og verdier.
  3. Sikker - fra både et teknisk og et samfunnsmessig perspektiv.

Hovedprinsippene er hentet fra «Retningslinjer for pålitelig kunstig intelligens» som er utarbeidet av en ekspertgruppe oppnevnt av EU-kommisjonen.
Retningslinjene finner du i sin helhet på EU-kommisjonen sine nettsider (ec.europa.eu)

Når det gjelder prinsippet om at kunstig intelligens skal være lovlig, vil sandkassen fokusere på personvernlovgivningen. Les mer om dette i neste kapittel "Hvilket regelverk gjelder?"

Etisk

Når det gjelder det etiske, er det reflektert rundt endel krav i personvernregelverket. Dette gjelder for eksempel rettferdighet, som både er et etisk prinsipp og et prinsipp for behandling av personopplysninger i artikkel 5 i personvernforordningen. Også kravet til at kunstig intelligens skal være gjennomsiktig og forklarbar følger både av personvernforordningen artikkel 5 og etiske prinsipper for kunstig intelligens.

At beslutninger basert på kunstig intelligens, skal være sporbare, forklarbare og gjennomsiktige, betyr at den det gjelder skal ha mulighet til å få innsikt i hvorfor en beslutning om dem ble som den ble. Sporbarhet muliggjør både revisjon og forklaring. Gjennomsiktighet oppnås blant annet ved å gi informasjon om behandlingen til den det gjelder. Gjennomsiktighet handler også om at datasystemer ikke skal utgis for å være mennesker - mennesker skal ha rett til å få vite om de samhandler med et KI-system.

De etiske vurderingene er ofte en viktig del av avveiingen som gjøres for å tolke loven og går i noen tilfeller lengre enn loven. Selv om noe er lov, må virksomhetene spørre seg om det er etisk riktig å gjøre det. Et eksempel kan være bruk av informasjon om forsikringskunder. I dag er det mulig å samle inn mye informasjon om folk som forsikringskunder. Dette er nok til at et selskap ved bruk av KI kan gi enkeltpersoner en pris basert på hvordan akkurat den personen lever livet sitt. Dette er en slags oppførselsbasert prising. De lovmessige grensene for hvor langt et selskap kan gå i å segmentere kundene er ikke klare, og her kommer etikken inn: Hvor langt bør et selskap eller en bransje gå? Når slutter en forsikring å være en kollektiv ordning der 1000 mennesker betaler 100 kroner hver slik at den som blir syk får dekket operasjonen?

EU har nå startet en lovgivningsprosess om kunstig intelligens (europarl.europa.eu), som inkluderer et etisk rammeverk for kunstig intelligens. Den regulatoriske sandkassen vil følge dette arbeidet nøye.

Sikker

Det tredje hovedprinsippet i ansvarlig kunstig intelligens er som nevnt at den skal være sikker. Det innebærer at kunstig intelligens skal være bygget på systemer med teknisk robuste løsninger som forebygger risiko og som bidrar til at systemene fungerer slik de er tiltenkt. Risikoen for uintenderte og uventede skader skal minimeres. Teknisk robusthet er også viktig for systemenes nøyaktighet, pålitelighet og etterprøvbarhet.

Ansvarlig og pålitelig kunstig intelligens er nærmere omtalt i Nasjonal strategi for kunstig intelligens kapittel 5 (regjeringen.no).

Du kan også lese mer om temaet i nedlastbar PDF i ICDPPCs Declaration on Ethics and Data Protection in Artificial Intelligence (edps.europa.eu) og i rapporten fra EUs ekspertgruppe, som nevnt ovenfor. 

Hvilket regelverk gjelder?

Personopplysningsloven med personvernforordningen er det rettslige utgangspunktet for arbeidet i sandkassa.

Andre personvernregelverk som Datatilsynet fører tilsyn med, og kan gi råd om i den regulatoriske sandkassen, er blant annet politiregisterloven, helseregisterloven, helseforskningsloven, pasientjournalloven og forskrifter til arbeidsmiljøloven, som gjelder kameraovervåking og innsyn i e-post.
Les mer på siden vår om lover og regler

Ved behov kan Datatilsynet samarbeide med andre myndigheter for å gi råd om tilgrensende regelverk. Offentlige virksomheter må for eksempel forholde seg til krav fra arkivlovgivningen, forvaltningsloven og offentlighetsloven – for å nevne noen.

Sandkassen kan ikke gi dispensasjon fra regelverket. I den perioden organisasjonene deltar i sandkassen, har Datatilsynet ikke intensjon om å iverksette korrigerende tiltak. Fokus er på å hjelpe deltakerne med å etterleve regelverket.

Hva skjer i sandkassen?

Prosjektdeltakerne vil få råd og veiledning fra et tverrfaglig team i Datatilsynet for å bidra til at tjenesten eller produktet etterlever regelverket og ivaretar personvernet på en god måte. Sandkassen er åpen for alle typer tema som belyser bruk av personopplysninger innenfor kunstig intelligens. 

Varigheten på oppholdet i sandkassen kan variere fra prosjekt til prosjekt, men i utgangspunktet ser vi for oss at prosjekter deltar i sandkassen i en periode på 3 til 6 måneder.  

Hver enkelt aktør vil i samarbeid med Datatilsynet utarbeide en individuell prosjektplan, som beskriver hvilke behov det er for veiledning og hvordan veiledningen skal forberedes og gjennomføres.

Vår bistand vil på den måten skreddersys til det enkelte prosjektets behov -  både når det gjelder omfang og aktiviteter.

Her er noen typer aktiviteter vi kan tilby i sandkassa:

  • Hjelpe med gjennomføring av personvernkonsekvensvurderinger (DPIA).
  • Bidra til å identifisere personvernutfordringer.
  • Gi innspill til aktuelle tekniske og juridiske løsninger på personvernutfordringene.
  • Utforske muligheter for å implementere innebygd personvern.
  • Gjennomføre et uformelt tilsyn for å synliggjøre hvilke krav som kan stilles.
  • Bistå i ulike vurderinger og avveiinger mellom nødvendighet og potensielle personvernulemper for brukere.
  • Tilby en arena for kompetanseoverføring og nettverksbygging med
    • andre deltakere i sandkassen,
    • eksterne eksperter og
    • andre myndigheter.
  • Dele erfaringene fra sandkassa underveis og i en sluttrapport.

Hvilke temaer ønsker vi å belyse?

Datatilsynet er spesielt opptatt av å velge tematikk som kan være relevant for flere. Det er spesielt interessant å belyse problematikk hvor det er reell usikkerhet på hvordan regelverket skal tolkes og praktiseres.

Type tematikk som sandkassen kan ta opp er for eksempel:

  • innovativ bruk av personopplysninger ved hjelp av teknologi som kombinerer kunstig intelligens med for eksempel biometri, tingenes internett, bærbar teknologi eller skybaserte produkter,
  • kompleks datadeling,
  • bygge gode brukeropplevelser og tillit ved å sikre gjennomsiktighet og forklarbarhet,
  • hvordan unngå diskriminering eller bias,
  • opplevde begrensninger, eller manglende forståelse av personvernforordningens bestemmelser om automatisert beslutningsprosesser,
  • utnytte eksisterende data (ofte i målestokk og for å koble data) til nye formål.

Hva om noe uforutsett skjer?

Dersom det oppstår behov for endringer i prosjektet, kan vi sammen endre prosjektplanen eller stanse prosjektet for en periode. Dersom dere ikke lenger har behov for avklaringen som den regulatoriske sandkassa gir, kan dere når som helst trekke dere fra prosjektet.

Også avsluttede prosjekter kan gi læring for andre, og Datatilsynet vil i utgangspunktet også offentliggjøre erfaringer fra avbrutte prosjekter.

I særlige tilfeller kan Datatilsynet selv velge å avslutte prosjekter i sandkassa.

Hva bidrar Datatilsynet med?

Ansatte i Datatilsynet vil veilede sandkassedeltakere. Prosjektgruppen i tilsynet vil bestå av jurister, teknologer, samfunnsvitere og kommunikasjonsmedarbeidere – avhengig av behovene til hver enkelt deltaker.

Ved behov for rådgivning innenfor tilgrensende regelverk, kan Datatilsynet samarbeide med andre tilsyn eller myndigheter. Det kan også være aktuelt å hente inn ytterligere eksterne ressurser innenfor kunstig intelligens eller personvern.

Deltakerne i sandkassa er selv ansvarlig for hvordan de behandler personopplysninger, og står fritt til å velge om de vil følge rådene de får i sandkassa. Sandkassa er ikke en godkjenningsordning, men heller et dialogbasert veiledningstilbud.

Tilsynet har ikke anledning til å tilby en testplattform eller teknisk infrastruktur, ei heller gi økonomisk støtte til deltakerne.

Hva er kriteriene for opptak?

Det er satt noen overordnede krav til de som skal kunne delta i sandkassen. I tillegg vil utvelgelsen skje på bakgrunn av om tematikken er relevant for flere og for å inkludere et bredt utvalg aktører.

Prosjekter som deltar i sandkassen må:

  1. benytte seg av kunstig intelligens eller på annen måte berøre kunstig intelligens. Både prosjekter som utvikler KI og benytter seg av ferdigutviklede løsninger basert på KI er relevante for sandkassen. Utvikling av rammeverk eller retningslinjer for bruk av KI er også aktuelle sandkassetemaer.
  2. ha nytte for enkeltindividet eller samfunnet. Det kan for eksempel være produkter eller tjenester som gir en helsegevinst, som kan effektivisere bruk av offentlige ressurser eller at prosjektet er innovativt med mulig samfunnsgevinst. Innovasjon her kan også bety teknologisk innovasjon eller innovasjon av type tjeneste eller produkt. Det kan også være innovative løsninger for å ivareta personvernet (se mer om innovasjonsbegrepet nederst på denne siden).
  3. kunne ha godt utbytte av deltakelse i sandkassen.  Det vil si at prosjektet bør ha en klar personvernrelevant problemstilling som kan ha nytte av den type veiledning Datatilsynet kan tilby. Deltakere må ha et prosjekt som er klar for å delta i sandkassen og ha tilstrekkelige interne ressurser som deltar i sandkassearbeidet.
  4. være underlagt det norske Datatilsynet som kompetent tilsynsmyndighet. Det betyr at virksomheten må være etablert i Norge og at det er her man bestemmer hvordan personopplysningene skal behandles. Hvis virksomheten er i tvil om dette, så ta kontakt med , så vil vi veilede.

I utvelgelse av prosjekter vil Datatilsynet også legge vekt på om prosjektet belyser relevante problemstillinger, eller benytter teknologi og personopplysninger som kan være til nytte for andre aktører. Vi ønsker dessuten å inkludere et bredt utvalg deltakere fra både privat og offentlig sektor, og både store og små virksomheter.

Tilsynet er også spesielt interessert i å adressere spørsmål der det er usikkerhet rundt hvordan regelverket skal tolkes og gjennomføres i praksis.

Innovasjon er å fornye eller lage noe nytt som skaper verdi for virksomhet, samfunn eller innbyggere. Formen er eksperimenterende og løsningen er ikke kjent på forhånd.

- Digitaliseringsdirektoratet (digdir.no).

Kommunikasjon

Datatilsynet vil legge vekt på å velge ut prosjekter hvor kunnskapen vi opparbeider oss gjennom samarbeidet med virksomheter i sandkassen, skal munne ut i generelt informasjon- og veiledningsarbeid som kommer flere til gode.

Datatilsynet vil løpende offentliggjøre informasjon fra prosjektet, for å dele erfaringer fra selve prosessen, hvilke spørsmål vi stiller underveis og hvordan vi svarer på dem. Vi vil dele prosjektplanen for hvert prosjekt, og i sluttfasen vil vi oppsummere erfaringene fra hvert prosjekt i en sluttrapport.

Vi ønsker at deltakere avklarer eventuell markedsføring av deltakelsen i sandkassen med oss på forhånd.

Når Datatilsynet kommuniserer utad om enkeltprosjekter, vil det være i dialog med deltakerne. Vi vil unngå å dele informasjon som er beskyttelsesverdig eller som kan regnes som forretningshemmeligheter.

Taushetsplikt med mer

Sandkassen har som mål å i størst mulig grad dele kunnskap og erfaringer fra hvert enkelt prosjekt som kan være nyttig for andre virksomheter og samfunnet som helhet. Samtidig skal taushetsplikt og vern av forretningshemmeligheter / immaterielle rettigheter ivaretas.

Alle ansatte i Datatilsynet er underlagt forvaltningsloven § 13 om taushetsplikt. Dette kan også gjelde tekniske innretninger og fremgangsmåter, samt drifts- eller forretningsforhold, som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår – dette kalles taushetspliktig informasjon.

Taushetspliktig informasjon som er delt med sandkassen vil derfor også være unntatt offentlighet jf. offentlighetsloven § 13.

Deltakelse i sandkassa endrer ikke på immaterielle rettigheter. Dere beholder med andre ord de rettighetene dere hadde med dere inn i sandkassesamarbeidet.