Vurdering av personvernkonsekvenser

DPIA-er skal minst inneholde de fire elementene som fremgår av artikkel 35 nr. 7 bokstav a til d:

1. En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige.
2. En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene.
3. En vurdering av risikoene for de registrertes rettigheter og friheter.
4. De planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser.

Plikten til å gjøre en DPIA inntreffer dersom det er sannsynlig at «en type behandling, særlig ved bruk av ny teknologi (…) vil medføre en høy risiko for fysiske personers rettigheter og friheter», jf. artikkel 35 nr. 1. Det er også verdt å merke seg at ordlyden «fysiske personers rettigheter og friheter» må forstås som en henvisning til EUs charter om grunnleggende rettigheter, som langt på vei samsvarer med EMK. Det er altså ikke bare konsekvensene for personvernet som skal analyseres, men også konsekvensene for rettigheter som ytrings- og informasjonsfrihet og ikke-diskriminering. Charteret er ikke del av EØS-avtalen, men får indirekte virkning gjennom personvernforordningen.

For sammenhengens del kan vi også nevne at offentlige virksomheter som tar i bruk det som i henhold til KI-forordningen klassifiseres som «høyrisiko»-KI-systemer, i de fleste tilfeller får en lignende konsekvensanalyse-plikt gjennom KI-forordningen artikkel 27 som etter personvernforordningen artikkel 35.

Ny teknologi, nye konsekvenser?

Om det kreves en DPIA ved bruk av M365 Copilot, altså hvorvidt behandlingen av personopplysninger medfører en høy risiko for fysiske personers rettigheter og friheter, avhenger av flere faktorer. Det er relevant å se på de spesifikke oppgavene verktøyet skal utføre og for hvilke formål, sammenhengen verktøyet brukes i samt arten og omfanget av behandlingen av personopplysninger. Det som kan være vanskelig, særlig med bruk av ny teknologi, slik som generativ KI, er at man ikke er kjent med hvordan teknologien eller produktet fungerer, og det gjør det krevende å fastslå hvilke potensielle risikoer det innebærer, for ikke å nevne sannsynligheten for slike risikoer.

Vi vurderer det slik at en DPIA som hovedregel vil kreves ved bruk av generative KI-verktøy slik som M365 Copilot i forbindelse med behandling av personopplysninger, ettersom «bruk av ny teknologi» er fremhevet som en særlig viktig faktor, og forståelsen av risiko knyttet til generativ KI ennå er umoden. Å gjennomføre en eller flere DPIA-er, uansett om det er påkrevd eller ikke, vil hjelpe NTNU å vurdere spesifikke risikoer og sannsynligheten for slike risikoer i en gitt kontekst. Det vil også bidra til å belyse det NTNU ikke vet om enten produktet, teknologien eller forutsetningene for teknologien sett i sammenheng med en bestemt behandling (f.eks. for å kunne vurdere om en har god nok «orden i eget hus»). Det vil også bidra til å påvise etterlevelse av ansvarsprinsippet etter personvernforordningen artikkel 5 nr. 2.

Flere DPIA-er?

Det kan høres tungt ut å måtte gjøre flere DPIA-er, særlig hvis virksomheten har flere hundre forskjellige behandlingsaktiviteter, men hvis ikke man gjør det slik, vil man sannsynligvis ikke klare å etterleve prinsippene om formålsbegrensning, dataminimering og lovlighet. Dette er årsaken til at det sjeldent vil være ansvarlig eller lovlig å slå på M365 Copilot for hele virksomheten og for alle rollene i virksomheten. Vi vurderer det slik at en stegvis tilnærming til innføring av M365 Copilot er mest hensiktsmessig, hvor innføring først vurderes for et begrenset område, f.eks. en rolle og de tilhørende behandlingene som denne rollen utfører.

Det følger imidlertid av artikkel 35 nr. 1 siste setning at én DPIA kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer. Det er derfor mulig å vurdere flere behandlinger som M365 Copilot vurderes brukt til i én og samme DPIA, så lenger de «ligner», og her vil både formålet, omfanget av personopplysningene og det som gjøres med dem være relevante. Når det kommer til omfanget av personopplysningene som kan behandles, er det viktig å se på hvilken rolle som skal utføre oppgaven og hva deres tilgang er. En saksbehandler vil for eksempel ikke ha de samme tilgangene som en fra HR eller en fra ledelsen.

Dessuten vil informasjon eller vurderinger i én DPIA ha overføringsverdi til en annen DPIA.

Vurder før konsekvensene kan komme

Det er viktig at vurderingene gjøres før behandlingsoperasjonene starter. Dersom M365 Copilot skal anvendes i forbindelse med en eksisterende behandling, må vurderingen gjøres før verktøyet brukes. Men det stopper ikke der. Som NTNU poengterer i sin funnrapport, er M365 Copilot tidlig i utviklingsløpet og krevende å forvalte på grunn av hyppige endringer som påvirker risikobildet. DPIA-er må derfor gjennomføres som en kontinuerlig prosess, jf. også artikkel 35 nr. 11. En av NTNUs klare anbefalinger er å utarbeide en exit-strategi i tilfellet det skjer endringer som gjør at bruken f.eks. må anses ulovlig. Ytterligere veiledning om DPIA-er er å finne på Datatilsynets hjemmesider og i publikasjoner fra henholdsvis Artikkel 29-gruppen og EDPB.

I det videre går vi gjennom noen utvalgte temaer fra en DPIA som vi har sett særlig på i sandkasseprosjektet. Det er likevel viktig at NTNU også vurderer de andre temaene som påkreves når de utfører DPIA-er på konkrete behandlinger. 

En systematisk beskrivelse av behandlingen

Det er viktig å merke seg at en DPIA etter artikkel 35 krever at man konkretiserer de planlagte behandlingsaktivitetene og formålet, herunder den berettigete interessen som skal forfølges dersom det er relevant. Dette sammenfaller med «kartlegg og beskriv behandlingen» som vi omtaler over og inkluderer alle behandlingsoperasjonene som inngår i den. Det er likevel slik at mye av informasjonen som NTNU har fremskaffet i utarbeidelsen av deres overordnede vurdering, vil ha overføringsverdi og vil lette arbeidet med de konkrete DPIA-ene betydelig.

Nødvendighet og proporsjonalitet av behandlingen

NTNU har sagt at det ikke vil være gjennomførbart for dem å kunne begrunne nødvendighet og relevans for formålet for hver enkelt av variablene i de datasettene som finnes i en brukers tilgang til Microsoft 365-plattformen, uten en mer grundig gjennomgang og systematisk oppfølging. Nødvendighet og relevans bør imidlertid kunne vurderes hvis de(n) aktuelle behandlingen(e) er beskrevet systematisk først i lys av et konkret brukstilfelle.

Formålsbegrensning

Formålsbegrensningsprinsippet sier at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og ikke viderebehandles på en måte som er uforenlig med disse formålene. Når man skal vurdere behandlingens formål, er det viktig å huske på at M365 Copilot er et verktøy eller funksjon – et middel – til å oppnå formålet med behandlingen. Bruken av M365 Copilot er ikke et formål i seg selv.

«Å hjelpe brukeren med å gjennomføre sine oppgaver» er for vagt og generelt, men formålsbegrensningsprinsippet kan oppfylles hvis det spesifiseres og konkretiseres mer, f.eks. ved å spesifisere nærmere hva slags oppgave det er snakk om og hvorfor den utføres.

Det er som nevnt en særskilt utfordring ved M365 Copilot at formålet, og hvilke personopplysninger som brukes for å oppnå formålet, i praksis defineres (kontrolleres) av den enkelte brukeren i hver enkelt instruks. Bruk av M365 Copilot gjør at personopplysninger kan behandles i en annen kontekst – og for et annet formål – enn opprinnelig tiltenkt. Det skjer fordi M365 Copilot bruker all informasjon som er tilgjengelig for brukeren via Microsoft Graph. NTNU identifiserte funksjoner med M365 Copilot som gjør at personopplysninger samlet inn for ett formål kan bli viderebehandlet til nye eller andre formål. Det er derfor viktig at NTNU setter klare rammer for sine brukere, for eksempel i form av retningslinjer, rutiner og opplæring, for i størst mulig grad å sikre blant annet formålsbegrensning ved bruk av M365 Copilot. Dette bør helst ses i kontekst av brukerens «rolle» i virksomheten, som også vil samsvare med denne rollens tilganger.

Det er en åpning for å viderebehandle personopplysninger for nye formål enn formålet, så lenge det nye formålet er forenlig med det opprinnelige. Personvernforordningen artikkel 6 nr. 4 oppstiller en ikke-uttømmende liste over hva som skal vektlegges i denne vurderingen. Per nå er det ingen retningslinjer eller rettsavgjørelser på hvordan denne bestemmelsen skal anvendes eller forstås, men en slik forenlighetsvurdering må gjøres per behandling og ikke for M365 Copilot som helhet.

Dette er åpenbart vanskelig å praktisere, men kan være lettere ved bruk av M365 Copilot for noen utvalgte roller som utfører et begrenset omfang av behandlinger. Det som er særlig vanskelig med dagens M365 Copilot, er at det ikke er mulig å slå av tilgang til en brukers e-postkasse. Det betyr at e-poster og personopplysningene de inneholder lett kan brukes til andre formål enn det som var opprinnelig tiltenkt. Datatilsynet har ikke fasitsvaret på hvordan den behandlingsansvarlige skal sørge for at formålet med behandling av personopplysninger i kontekst av M365 Copilot er forenlige med det opprinnelige formålet personopplysningene ble samlet inn for.

Et mulig tiltak kan være å lære opp brukere til å avgrense søkeområdet gjennom selve instruksen ved å bruke effektiv instruksjonsutforming. I denne sammenhengen vil det være en forutsetning at virksomheten har god «orden i eget hus» og retningslinjer. I tillegg fremgår det av NTNUs funnrapport at M365 Copilot kan stilles inn til ikke å bruke opplysninger fra bestemte områder, f.eks. Teams chat. Vi synes at Microsoft bør utvikle innstillingene som gjør det mulig å stenge av opplysninger også fra e-poster, hvor det praktisk talt er umulig å ha kontroll på hva som er omfattet.    

Dataminimering

Dataminimering er et ufravikelig krav etter personvernforordningen artikkel 5 nr. 1 bokstav c: «[personopplysninger skal] være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for». Dataminimering må derfor vurderes med utgangspunktet i formålet med den aktuelle behandlingen, for å finne ut hvilke personopplysninger som trengs for å oppnå formålet. Som sagt over, har ikke NTNU identifisert en konkret behandling med et spesifikt formål ennå («M365 Copilot i driftsfase» er ikke et formål), og dette er det NTNU som må gjøre.

Dataminimeringsprinsippet er kanskje en av de vanskeligste pliktene å overholde ved bruk av M365 Copilot, fordi verktøyet er bygd sånn at det har tilgang til alt en bruker har tilgang til og derfor har mulighet til å behandle dataene det selv «vurderer» som relevant ut fra instruksen etter berikingsprosessen. Det er ikke mulig å vite akkurat hvordan M365 Copilot «velger» hva som er relevant ut ifra instruksen, på grunn av både black box-problematikken og at det uansett vil være proprietær informasjon.

Effektiv instruksjonsutforming kan være et tiltak som kan brukes til å minimere kildetilfang, men det er uklart hvorvidt det vil oppfylle dataminimeringsprinsippet fullt ut. Et annet potensielt tiltak er aktivering av Double Key Encryption (DKE) for å sperre av filer som ikke skal brukes av M365 Copilot. Det beste hadde imidlertid vært mer granulære innstillinger i M365 Copilot hva gjelder kildetilfang, særlig angående tilgang til en brukers e-postkasse.

Riktighet

Riktighetsprinsippet i personvernforordningen innebærer at «det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes». Som nevnt over, kan svarene som genereres av M365 Copilot være feil. De kan samtidig fremstå overbevisende og riktig. Risikoen for uriktige svar vil aldri kunne elimineres. Det er derfor viktig at brukere møter KI-genererte svar med en viss skepsis.

Et KI-generert svar er basert på sannsynlighet og er avhengig av modellens treningsdata og vekting. NTNU skriver at det er sannsynlig at M365 Copilot vil kunne finne på ting som både er usant og feilaktig (også kjent som «hallusinering»), og at det ligger i verktøyets natur at det kan gi uriktige opplysninger. M365 Copilot kan gjøre feilslutninger også når den tilsynelatende har tilgang til god nok informasjon. Sannsynligheten for feil øker om brukeren gir upresise instrukser til språkmodellen. Dette kan bli et enda større problem hvis brukeren skal kontrollere svaret, men ikke har nok tid eller informasjon til å sjekke om svaret inneholder feil eller ikke.

Dette kommer enda mer på spissen ved behandling av personopplysninger. I henhold til riktighetsprinsippet er det en lovpålagt plikt at personopplysninger skal være korrekte, og det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for uten opphold slettes eller rettes. Hvis M365 Copilot genererer feil personopplysninger om noen, kan det for det første være vanskelig for brukeren å kontrollere hvorvidt svaret inneholder feil, og for det andre kan det innebære en høy risiko for den registrertes rettigheter.

NTNU ønsker at brukere skal kunne ta aktivt stilling til informasjonen løsningen gir og være grunnleggende kritisk til informasjon som en språkmodell gir nettopp for å motvirke faren for at uriktige opplysninger blir oppfattet som riktige. Samtidig anerkjenner NTNU at det særlig bør vurderes om M365 Copilot skal benyttes i prosesser hvor det er naturlig med kontradiksjon. Det er derfor fornuftig å vurdere hvilke områder eller oppgaver som ikke egner seg for bruk av generative KI-verktøy. Dette kan for eksempel være noen oppgaver innenfor HR eller utøving av offentlig myndighet, som krever en høy grad av presisjon og riktighet og hvor konsekvensene av feil kan være alvorlige. Dette påpeker NTNU i sin funnrapport (funn 2).

I kontekst av generativ KI mener vi at dette betyr både at det bør være implementert tiltak som minsker risikoen for at feil personopplysninger genereres (f.eks. ved effektiv instruksjonsutforming eller regler om hva M365 Copilot ikke skal brukes i forbindelse med) og tiltak som retter eller sletter feil personopplysninger uten opphold (f.eks. effektiv etterkontroll av det som genereres). Hvis M365 Copilot skal brukes som beslutningsstøtte, må tiltak som regler, retningslinjer, opplæring og valg av brukere med riktig kompetanse vurderes og innføres. Det er viktig at den som bruker M365 Copilot er kritisk til svarene og har både tid og kompetanse til å oppdage og rette feil personopplysninger som kan forekomme i output.

Dette kan begrense hva M365 Copilot vil kunne brukes til. F.eks. vil det som hovedregel være uaktuelt å bruke M365 Copilot hvor personer eller personopplysninger er i kjernen av oppgaven som skal utføres. Vi er også enige med NTNU når de sier at terskelen bør settes veldig høyt for bruk av M365 Copilot innenfor utøvelse av offentlig myndighet, hvor riktighet står sentral.

 De registrertes rettigheter og friheter

NTNU har identifisert en rekke risikoer knyttet til de registrertes rettigheter og friheter ved NTNUs bruk av M365 Copilot på et overordnet nivå. Disse beskrives i NTNUs funnrapport s. 106-117. Her vil vi særlig fremheve retten til informasjon, retten til innsyn, retten til å protestere og forbudet mot automatiserte avgjørelser.

Retten til informasjon

Hjørnesteinen i de registrertes rettigheter er rett til informasjon. Den behandlingsansvarlige må forklare, på en klar og enkel måte, hvordan personopplysninger behandles. Dette er en forutsetning for at de registrerte skal kunne utøve sine rettigheter. Personvernforordningen artikkel 12 til 14 samt åpenhetsprinsippet i artikkel 5 pålegger behandlingsansvarlige å gi registrerte informasjon om hvordan deres personopplysninger skal behandles, og disse pliktene oppfylles oftest ved å bruke både eksterne og interne personvernerklæringer.

Når ny teknologi innføres, er det viktig at påvirkningen teknologien kan ha på den enkelte gjenspeiles i aktuell informasjon og aktuelle personvernerklæringer og at det er klart og tydelig når, hvordan og i hvilken kontekst slik teknologi skal tas i bruk på den registrertes personopplysninger. For at det skal være forståelig for de registrerte, vil det ofte også være nødvendig å forklare på en kortfattet måte hvordan selve teknologien fungerer.

NTNU har identifisert at personvernerklæringen må oppdateres med informasjon om bruk av M365 Copilot, basert på en realitetsvurdering av det som faktisk skjer. Dette bør inkludere informasjon om hvorvidt M365 Copilot brukes i forbindelse med behandlingen og for hvilket formål, samt hvilke nye behandlingsaktiviteter og behandlinger som oppstår ved bruk av M365 Copilot og hvilket rettslige grunnlag som brukes per behandling. For å sørge for åpenhet, bør det også forklares på en så enkel måte som mulig hvordan verktøyet fungerer.

Ved innføring av M365 Copilot, bør de registrerte få tilsendt informasjon direkte, hvor mulig, om hvilken behandling NTNU skal bruke M365 Copilot i forbindelse med og hva det betyr for den enkelte. For eksempel kan dette gjøres i en e-post som sendes direkte til den registrerte. Hvis det ikke er mulig å ta direkte kontakt med registrerte, bør informasjonen komme tydelig frem i kontaktpunktene de registrerte har med NTNU, f.eks. på NTNUs nettside.

Informasjon til de registrerte må gjennomgås og vurderes kontinuerlig eller med jevne mellomrom i tråd med teknologiutviklingen og hvorvidt og hvordan M365 Copilot tas i bruk på nye områder i NTNU.

Det bør også komme tydelig frem hvilket innhold som er laget med hjelp fra generativ KI. Dette er særlig viktig når innholdet inkluderer personopplysninger, og det vil gjøre det lettere for de registrerte å utøve rettighetene sine og ha kontroll over personopplysninger sine.   

Retten til innsyn

Output generert av M365 Copilot kan inneholde personopplysninger og vil da være gjenstand for retten til innsyn fra den det gjelder. NTNU har sagt at det må vurderes hvorvidt et innsynskrav kan besvares fullt ut da NTNU vil ha utfordringer med å identifisere alle steder personopplysninger kan bli behandlet i M365 Copilot. Dette er også identifisert av NTNU som et problem ved bruk av Microsoft 365-plattformen uten bruk av M365 Copilot.

Som sagt over, bør innhold som genereres med hjelp av generativ KI merkes. Hvor generert innhold lagres vil være avhengig av det spesifikke brukstilfellet, men det bør samsvare med lagringsstedet der andre dokumenter for oppgaven/brukstilfellet er lagret før bruk av M365 Copilot. En ting som er særlig nytt med bruk av M365 Copilot, er lagring av samhandlingsloggen. Samhandlingsloggen vil lagres i tråd med NTNUs gjeldende «retention policy» (se delen om lagringsbegrensning over) og vil kunne søkes i av administratorer. Den registrerte vil likevel kun ha rett til innsyn i sine egne personopplysninger som eventuelt er lagret i samhandlingsloggen, og ikke hele samhandlingsloggen generelt. Retten til innsyn skal ikke ha negativ innvirkning på andres rettigheter og friheter, jf. personvernforordningen artikkel 15 nr. 4.

Retten til å protestere

Registrerte kan protestere mot NTNUs behandling av sine personopplysninger når behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 bokstav e eller f, jf. personvernforordningen artikkel 21 nr. 1. Hvis protesten innvilges, kan det være vanskelig for NTNU å etterleve protesten på grunn av M365 Copilots iboende egenskaper, hvor dens tilganger gjenspeiler brukerens tilganger. NTNU har løftet en mulig løsning for dette, som er å bruke Double Key Encryption (DKE) som kan aktiveres for filer som inneholder de aktuelle personopplysningene.

Forbud mot automatiserte individuelle avgjørelser

Samtidig som en vurderer behandlingsgrunnlag, bør en se hen til forbudet mot automatiserte individuelle avgjørelser i forordningen artikkel 22, som setter noen grenser for hva M365 Copilot kan brukes til. Personvernforordningen artikkel 22 inneholder et forbud mot automatiserte individuelle avgjørelser som består av tre kumulative vilkår: (1) det må være en «avgjørelse», som er et begrep som skal tolkes vidt, (2) avgjørelsen må utelukkende baseres på automatisert behandling, og (3) den må ha rettsvirkning for eller på tilsvarende måte i betydelig grad påvirke vedkommende. Det en høy terskel for hva som omfattes av forbudet. Utgangspunktet er at det meste ikke rammes, men vurderinger kan rammes dersom beslutningstaker i realiteten lener seg blindt på M365 Copilots vurdering.

NTNU identifiserte funksjoner hvor en bruker kan spørre M365 Copilot om å vurdere en kollegas atferd og arbeidsprestasjon. Selv om denne handlingen i utgangspunktet ikke rammes av forbudet i personvernforordningen artikkel 22, vil det også innebære en behandling av personopplysninger som neppe vil ha et gyldig rettslig grunnlag.

Risikoreduserende tiltak

Dersom man kommer frem til at man har behandlingsgrunnlag og DPIA-en gir grønt lys for behandlingen, er testing et anbefalt risikominimerende tiltak. Testing må skje innenfor rammene av det/de identifiserte behandlingsgrunnlagene. Avhengig av hva som er formålet med testingen og hva som testes, kan personvernforordningen artikkel 32 også utgjøre et såkalt supplerende behandlingsgrunnlag.

NTNU har identifisert mange forskjellige risikoer for de registrertes rettigheter og friheter samt mulige risikoreduserende og skadebegrensende tiltak, som omtales i deres funnrapport, s. 121-126. Hele 41 tiltak er listet opp. Disse risikoene og tiltakene er identifisert basert på en overordnet gjennomgang av M365 Copilot. Likevel vil mange av de risikoreduserende tiltakene være relevante å vurdere når det gjøres en mer spesifikk vurdering av personvernkonsekvenser i lys av en konkret behandling eller et sett med lignende behandlinger.

En særskilt utfordring når det gjelder M365 Copilot, er at formålet med en behandling i praksis defineres (kontrolleres) av den enkelte bruker i hver enkelt instruks. Det er derfor viktig at den behandlingsansvarlige setter klare rammer for sine ansatte, blant annet i form av rutiner og opplæring, for i størst mulig grad å sikre at behandlingen utføres lovlig.

Det vil imidlertid ikke være realistisk for den behandlingsansvarlige å oppnå fullstendig kontroll. Derfor vil det være nødvendig med en etterfølgende kontroll av den faktiske bruken. En slik kontroll må i seg selv ha et rettslig grunnlag. Her er det verdt å merke seg at bestemmelsene i forordningen selv kan utgjøre et supplerende rettsgrunnlag etter artikkel 6 nr. 3. Jo større virksomheten er, jo vanskeligere vil det være å oppnå kontroll, og jo større risiko vil det være for uønskede hendelser. NTNU, med sine 70 000 brukere, omtaler det som «utopisk» å få brukerne til å følge rutiner.

Involvering av personvernombud

Når en virksomhet vurderer å bruke et nytt KI-verktøy slik som M365 Copilot, er det viktig at personvernombudet involveres tidlig. Personvernombudet bør anses som en nøkkelperson i både vurderingen, innføringen og etterkontrollen av KI-verktøyet. Personvernforordningen artikkel 39 sier noe om personvernombudets oppgaver, som blant annet inkluderer å gi råd om personvernforpliktelsene og vurderinger av personvernkonsekvenser samt kontrollere gjennomføringen av slike vurderinger. Personvernombudet skal utføre oppgavene sine på en uavhengig måte. 

Personvernombudet må ha en forståelse av hele livssyklusen til KI-systemet som virksomheten vurderer å skaffe og hvordan det fungerer. Dette betyr at personvernombudet blant annet må få informasjon om når, hvorfor og hvordan et slikt system behandler personopplysninger, hvordan dataflyten fungerer (input og output) samt beslutningstakingsprosesser i modellen.