Regulatorisk sandkasse
Datatilsynets regulatoriske sandkasse ble opprettet som et prosjekt høsten 2020 og de første prosjektene startet på nyåret i 2021. I 2023 gikk den regulatoriske sandkassen fra å være et prøveprosjekt til å bli et permanent veiledningstilbud.
Sandkassen er finansiert gjennom et departementalt samarbeid, ved Kommunal- og distriktsdepartementets bidrag på tre millioner kroner, mens Nærings- og fiskeridepartementet, Arbeids- og inkluderingsdepartementet, Kunnskapsdepartementet og Helse- og omsorgsdepartementet bidrar med én million kroner hver.
Det opprinnelige oppdraget og målet med sandkassen var å stimulere til innovasjon av etisk og ansvarlig kunstig intelligens (KI) fra et personvernperspektiv. Fra 2023 ble mandatet utvidet til også å omfatte annen personvernvennlig innovasjon og digitalisering.
Sandkassen bistår enkeltaktører i deres innovasjons- og digitaliseringsprosjekter med dialogbasert veiledning. For å skalere effekten av sandkassen, formidler vi de konkrete vurderingene fra prosjektene i en så generisk form som mulig, til slik at andre virksomheter kan hente inspirasjon og læring.
I tillegg til gjennomføring, avslutning og opptak av nye prosjekter, har vi i 2023 sett nærmere på ulike konsepter for en fremtidig organisering. Det er også gjennomført ekstern og intern evaluering av blant annet effekten av arbeidet i sandkassen. Utadrettet kommunikasjon for å få søkere og for å spre læringen fra prosjektene, har også vært en prioritert oppgave.
Avsluttede prosjekter
Sandkassen publiserte sluttrapporter for flere prosjekter i rapporteringsåret.
- Simplifai har utviklet en maskinlæringsbasert, digital medarbeidersom kan sikre og effektivisere arkivering og journalføring i offentlig sektor. I sandkassen fikk de utforsket hvordan offentlige aktører kan gjøre informerte valg når de skal kjøpe intelligente løsninger.
- Ruter ønsker å bruke kunstig intelligens i forsøket på å forstå kundenes behov og bevegelsesmønstre, for å kunne tilby persontilpassede tjenester innen kollektivtransport. I sandkassen så vi på hvordan de kan være åpne om behandlingen av personopplysninger som vil skje i løsningen.
- Akershus Universitetssykehus (AHUS) ønsker å utvikle en algoritme som skal kunne forutsi faren for hjertesvikt. Verktøyet bygger blant annet på EKG-målinger og er tenkt brukt som beslutningsstøtte i klinikken. I sandkassen har de, sammen med Datatilsynet og Likestillings- og diskrimineringsombudet, sett på hvordan kan uønsket algoritmeskjevhet og diskriminering kan forhindres i et slikt beslutningsstøttesystem.
- Doorkeeper er et oppstartsfirma med mål om å styrke personvernet i moderne kameraovervåkingssystemer. Ønsket deres er å bruke intelligent videoanalyse til å sladde identifiserende opplysninger (slik som ansikter og menneskeformer) i videostrømmen, og sørge for at færre opptak blir lagret. I sandkassen så vi nærmere på personvernkonsekvensene av en slik løsning.
Opptak av nye prosjekter
I 2023 hadde vi to opptaksrunder med til sammen 26 søknader. Av disse var 18 fra privat sektor og åtte fra offentlig sektor. To prosjekter ble valgt ut og hadde oppstart våren 2023:
- Politihøgskolen ønsker å forebygge seksuelle overgrep mot barn ved bruk av en KI-basert chatbot, PrevBOT. Den skal kartlegge atferd som indikerer risiko for å begå seksuelt overgrep. Den er tenkt som et beslutningsstøtteverktøy som skal kunne peke ut risikable sosiale arenaer, og i sanntid kunne flagge samtaler i chatforum.
- Mobai/SALT har til hensikt å lage en KI-basert autentiseringsløsning for bruk i både privat og offentlig sektor. Målet er å forbedre nøyaktigheten av ansiktsgjenkjenningsløsninger, lage forbedret svindelforebyggingsteknologi og tilby nye løsninger for ansiktsgjenkjenning.
Følgende prosjekter ble valgt ut i desember og vil ha oppstart i 2024:
- NTNU ønsker å diskutere overordnede juridiske problemstillinger ved bruk av Microsoft Copilot (KI) på virksomhetens egne data.
- Helsedirektoratetønsker å minske tiden foresatte og tjenesteytere bruker på samordning og å søke etter informasjon. En slik tjeneste vil bety mye for de som står i krevende omsorgssituasjoner, og vil kunne effektivisere tjenesteytelsen.
- Juridisk ABC har som mål å gjøre kunnskap om praktisk arbeidsrett mer tilgjengelig. LawAi skal kombinere språkmodeller og arbeidsrettslig ekspertise for å gi umiddelbare svar og praktiske løsninger på arbeidsrettslige spørsmål og utfordringer. I sandkassen vil de diskutere hvordan de bør håndtere personopplysninger ved trening av generativ KI innen juss.
- Akershus Universitetssykehus (AHUS) ønsker å videreutvikle digital hjemmeoppfølging ved å lage en pårørendelogg der barn/unge kan behandle egne opplysninger, foresatte kan dele opplysninger med helsetjenesten, det kan styres hva pårørende skal se, assistenter/hjelpere har tilgang og der data kan deles mellom ulike helseinstitusjoner.
Evaluering av sandkassen
Agenda Kaupang gjennomførte en evaluering av sandkassen og leverte sin rapport før sommeren 2023. Det ble der konkludert med at måten Datatilsynet har organisert sandkassearbeidet på, inkludert gjennomføring av opptak og prosjekter og kommunikasjon, er meget tilfredsstillende. Både oppdragsgiverne, deltakerne i prosjektene og andre med kjennskap til sandkassen, mener den bidrar til økt kompetanse på KI sett fra et personvernståsted.
Agent Kaupang pekte også på noen forbedringsområder, slik som at sandkassen i større grad kunne tiltrukket seg oppmerksomhet og kompetanse fra akademia, at det er krevende å nå ut til de som ikke naturlig tenker på at Datatilsynet er en aktør innenfor KI, samt mulighetene for å vurdere andre opptakskriterier enn søknadsrunder.
Innspillene fra rapporten ble tatt med som underlag i forslaget til framtidig organisering, inkludert hvordan Datatilsynet tar opp prosjekter. Innspillene har også vært viktige i arbeidet med videre kommunikasjonstiltak. Videre har sandkassen laget planer for bredere involvering av eksterne, inkludert akademia og målgrupper som vi ikke har klart å nå i stor nok grad.
Vi gjennomførte også en intern evaluering. De viktigste funnene fra denne var at sandkassen har vært et svært positivt bidrag til økt læring og kompetanse på KI-området for Datatilsynet generelt og for prosjektdeltakerne spesielt. Sandkassen har også vært en viktig læringsarena for prosjektledelse, prosjektdeltakelse og prosjektgjennomføring. Imidlertid kom det også fram at ressursallokering og det å kunne fristille de riktige ressurser til så omfattende prosjektarbeid, er krevende for linjeledelsen og til en viss grad for ressursene selv. Det å løse disse utfordringene og videreføre de positive læringseffektene, har derfor vært viktig i arbeidet med å utrede den framtidige organiseringen.
Utadrettet aktivitet
Åpenhet rundt prosessene og konklusjonene i sandkassen, er en viktig del av metoden for å få best mulig effekt. I løpet av 2023 publiserte vi fire sluttrapporter og en mer generisk samlerapport. Det ble også skrevet blogger og artikler eller arrangert webinarer for hver rapportpublisering, i tillegg til dedikerte episoder i podkastserien SandKasten. I tillegg ble det sendt ut 14 nyhetsbrev.
Arrangementer
Vi gjennomførte sju arrangementer i anledning rapportlanseringer, i tillegg til det årlige Sandkasseseminaret der vi presenterte de pågående prosjektene. Vi har også arrangert et erfaringsseminar i samarbeid med de andre sandkassene i Norge, og holdt åpne informasjonsmøter i forbindelse med søknadsrundene.
Datatilsynet har i tillegg bidratt på rundt 25 arrangement i både inn- og utland. I de fleste tilfellene er det sandkasse som metode og konkrete læringer fra sandkassen som er temaet.
Koordinering og samarbeid
Datatilsynet har også i 2023 fortsatt å arrangere koordineringsmøter med andre norske sandkasser. Deltakerne her er Arkivverket, Finanstilsynet, Digitaliseringsdirektoratet, eHelsedirektoratet, Helsetilsynet, Legemiddelverket, Folkehelseinstituttet, Helsedirektoratet og Vegdirektoratet.
Vi samarbeider med datatilsynsmyndighetene i Europa som har igangsatt egne sandkasser eller sandkasselignende initiativer. Det norske Datatilsynet leder dette arbeidet som består av fire møter per år der vi utveksler erfaringer, diskuterer muligheter og ser på potensiale for ytterligere samarbeid. Foruten oss, deltar datatilsynsmyndighetene i Storbritannia (ICO), Frankrike (CNIL), Sverige (IMY) og Island (Persónuvernd).
Vi har også hatt møter med politiske rådgivere i EU. De ønsker å ta med seg erfaringene våre inn i prosessen med AI Act (KI forordningen). Vi har også jevnlige møter med andre sandkasseinitiativ i EU-regi, slik som sandkassen for blockchain.
Annet
Vi opplever fortsatt en stor interesse for sandkassen, både nasjonalt og internasjonalt. Både sandkassen som tiltak i seg selv, og sandkassens programleder, har blitt nominert til forskjellige priser. Sandkassens tidligere programleder Kari Laumann fikk i november prisen Privacy Pioneer 2023 i regi av det europeiske nettverket Women@Privacy.
Erfaringer
Sandkassen gir Datatilsynet og deltakende virksomheter muligheten til å gå i dybden på problemstillinger det ikke finnes enkle svar og rettslige avgjørelser på. Også i 2023 har vi sett særlig på spørsmål om krav til åpenhet, lovlighet, rettferdighet, innebygd personvern, etikk og dataminimering i KI-løsninger. Gjennom prosjektene får vi innsikt i juridiske, tekniske og organisatoriske spørsmål som kan bidra til å senke terskelen for å få til personvernvennlig innovasjon.
Evalueringene fra de gjennomførte prosjektene viser at nytteverdien for både deltakerne og Datatilsynet er stor, og deltakerne får viktige avklaringer. Datatilsynet opplever at sandkassen bidrar til å bygge verdifull intern kompetanse som er viktig for at vi skal kunne gi relevant og aktuell veiledning og gjøre saksbehandling og tilsynsvirksomhet på området på en god og kompetent måte.