Generelt om kravene til informasjon og kunstig intelligens
Personvernforordningen krever at all behandling av personopplysninger skal skje på en lovlig, åpen og rettferdig måte. Når en virksomhet samler inn og behandler personopplysninger, plikter den å gi den registrerte informasjon om behandlingen. Bruk av kunstig intelligens reiser noen særlige problemstillinger knyttet til hvilken informasjon man må gi den registrerte, ettersom det ikke alltid er klart hvordan en KI-modell har kommet frem til et resultat.
I dette kapitlet vil vi gi en oversikt over de generelle kravene til informasjon i slike tilfeller. I de neste kapitlene ser vi kravene i sammenheng med Ruters prosjekt.
Åpenhet og forklarbarhet
Åpenhet er et grunnleggende prinsipp i personvernforordningen. I tillegg til å være en forutsetning for å avdekke feil, forskjellsbehandling eller andre problematiske forhold, bidrar det til å skape tillit og setter enkeltindividet i stand til å bruke sine rettigheter og ivareta sine interesser. Åpenhet kan også ha en stor verdi for den behandlingsansvarlige, for å skape tillitt og rekruttere kunder til ny og kompleks teknologi.
I tilknytning til KI bruker man ofte begrepet forklarbarhet, som kan sies å være en konkretisering av åpenhetsprinsippet. Tradisjonelt har åpenhet dreid seg om å vise hvordan ulike personopplysninger brukes, men bruk av KI kan kreve en annen tilnærming for å forklare komplekse modeller på en forståelig måte.
Forklarbarhet er et interessant tema, både fordi det kan være en utfordring å forklare komplekse systemer og fordi hvordan kravet til åpenhet skal implementeres i praksis vil variere fra løsning til løsning. I tillegg kan maskinlæringsmodeller muliggjøre forklaringer som ser annerledes ut enn de vi er vant til, gjerne basert på avanserte matematiske og statistiske modeller. Dette åpner for en viktig avveiing mellom en mer korrekt, teknisk forklaring eller en mindre korrekt, men mer forståelig forklaring.
Krav til åpenhet
Uavhengig om du bruker kunstig intelligens eller ikke, stilles visse krav til åpenhet dersom du behandler personopplysninger. Kort oppsummert er kravene disse:
- De registrerte må få informasjon om hvordan opplysningene brukes, enten opplysningene hentes inn fra den registrerte selv eller fra andre. Vi vil omtale dette nærmere nedenfor. (Se personvernforordningen artikkel 13 og 14.)
- Informasjonen må være lett tilgjengelig, for eksempel på en hjemmeside eller via en applikasjon, og være skrevet i et klart og forståelig språk. (Se personvernforordningen artikkel 12.)
- Den registrerte har rett til å få vite om det behandles opplysninger om hen, og på forespørsel få innsyn i egne opplysninger. (Se personvernforordningen artikkel 15.)
- Det er et grunnleggende krav at all behandling av personopplysninger skal gjøres på en åpen måte. Det betyr at man må vurdere hvilke åpenhetstiltak som må til for at den registrerte skal kunne ivareta egne rettigheter. (Se personvernforordningen artikkel 5.)
I det første kulepunktet er det krav om å gi informasjon om hvordan opplysningene brukes. Det inkluderer blant annet kontaktinformasjon til den behandlingsansvarlige (i dette tilfellet Ruter), formålet med behandlingen og hvilke kategorier personopplysninger som blir behandlet. Dette er informasjon som typisk formidles i personvernerklæringen.
Personvernforordningen krever at informasjonen som gis til de registrerte skal være forståelig. Det er derfor viktig å presentere informasjonen på en måte som er enkel og oversiktlig. En god måte å oppnå dette på er å gi informasjonen i flere lag, det vil si at man kan klikke seg videre for få mer informasjon om bestemte temaer. På den måten unngår man at for mye informasjon er samlet på én side. Samtidig kan for mange lag gjøre innholdet vanskeligere tilgjengelig. Det viktig at informasjonen ikke blir for fragmentert og vanskelig å få oversikt over.
Automatiserte avgjørelser
Hvis en behandling kan kategoriseres som en automatisert avgjørelse eller profilering som omfattes av artikkel 22, stilles det ekstra krav til åpenhet. Du har blant annet rett til å vite om du blir utsatt for automatiserte avgjørelser, herunder profilering. Det er også et krav at individet får relevant informasjon om den underliggende logikken, betydningen av og de forventede konsekvensene av en slik behandling.
Det forsterkede kravet til åpenhet ved automatiserte avgjørelser eller profilering etter artikkel 22 omtales i:
- personvernforordningen artikkel 13 nr. 2 bokstav f
- personvernforordningen artikkel 14 nr. 2 bokstav g
- Personvernrådets retningslinjer om automatiserte individuelle avgjørelser og profilering
Som vi vil komme tilbake til nedenfor kan ekstra krav til åpenhet komme inn også ved profilering som ikke faller inn under artikkel 22.
Særlig om krav til informasjon ved innhenting av samtykke
Hvilken informasjon som er gitt til de registrerte ved innhenting av samtykke, vil kunne få utslag på samtykkets gyldighet. Som nevnt er kravet om at samtykket er informert ett av flere vilkår som må være oppfylt for at samtykket skal være gyldig.
Ruter planlegger å benytte samtykke som rettslig grunnlag for å behandle personopplysninger ved utviklingen av KI-løsningen. Derfor ser vi i rapporten nærmere på hvilke krav som stilles til informasjonen for at et avgitt samtykke skal være informert.
Kravet til et informert samtykke henger i stor grad sammen med retten til informasjon som beskrevet i personvernforordningen artikkel 12–14. Noen krav kommer i tillegg når man baserer behandlingen på et samtykke. Om man ikke lykkes i å gi tilstrekkelig informasjon til de registrerte, vil konsekvensen bli at samtykket er ugyldig.
Hvilken informasjon må gis i sammenheng med innhenting av samtykke?
Samtidig med samtykkeforespørselen skal man i henhold til personvernregelverket gi informasjon om:
- Retten til å trekke samtykket tilbake
- Den behandlingsansvarliges identitet
- Formålene med hver behandling som personopplysningene skal brukes til
I tillegg har Personvernrådet på side 15–16 i sine retningslinjer om samtykke opplistet følgende minimumskrav til informasjonsinnhold for at et samtykke skal regnes som informert:
- informasjon om hvilken type personopplysninger som vil bli benyttet
- informasjon om bruk av personopplysninger for eventuelle automatiserte avgjørelser
- informasjon om mulig risiko for overføring av personopplysninger ut av EØS uten adekvansbeslutning eller nødvendige garantier etter personvernforordningen artikkel 45 og 46
Hvor mye og hvilken informasjon som kreves for at samtykket skal være informert, vil variere. I noen tilfeller trenger man å opplyse om mer enn det nevnte. Det avgjørende er at informasjonen vil gi de registrerte en genuin forståelse av hva de samtykker til.