Hvordan forklare bruken av kunstig intelligens?
Å behandle personopplysninger på en åpen måte er et grunnleggende prinsipp i personopplysningsloven. Åpenhet setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.
I sandkasseprosjektet diskuterte vi hvilke krav som stilles til å informere de registrerte om hvordan personopplysningene behandles. I tillegg drøftet vi konkrete problemstillinger knyttet til brukergrensesnittet.
Hvilke krav stilles til åpenhet?
Kravet om å informere den registrerte finner vi i personvernforordningens artikkel 13 til 15. Artikkel 13 regulerer hvilken informasjon som skal gis ved innsamling av personopplysninger fra den registrerte. Artikkel 14 regulerer hvilken informasjon, og når denne informasjonen skal gis, dersom personopplysninger ikke er samlet inn fra den registrerte selv. Artikkel 15 regulerer den registrertes rett til innsyn i personopplysningene som behandles om dem. I tillegg gir artikkel 12 en generell plikt til å gi informasjon på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk.
Uavhengig om du bruker kunstig intelligens eller ikke er det visse krav til åpenhet dersom du behandler personopplysninger. Kort oppsummert er disse:
- De registrerte må få informasjon om hvordan opplysningene brukes, enten opplysningene hentes inn fra den registrerte selv eller fra andre.
- Informasjonen må være lett tilgjengelig, for eksempel på en hjemmeside, og være skrevet i et klart og forståelig språk.
- Den registrerte har rett til å få vite om det behandles opplysninger om henne og eventuelt innsyn i egne opplysninger.
- Det er et grunnleggende krav at all behandling av personopplysninger skal gjøres på en åpen måte. Det betyr at det er krav om å vurdere hvilke åpenhetstiltak som må til for at den registrerte skal kunne ivareta egne rettigheter.
I det første kulepunktet er det krav om å gi informasjon om hvordan opplysningene brukes. Det inkluderer blant annet kontaktinformasjon til den behandlingsansvarlige, formålet med behandlingen og hvilke kategorier personopplysninger som blir behandlet. Dette er informasjon som typisk formidles i personvernerklæringen.
Disse pliktene retter seg mot den behandlingsansvarlige. Når Secure Practice og arbeidsgiver har felles behandlingsansvar, må de fastsette hvilket ansvar hver av dem har for å oppfylle kravene i personvernforordningen. Plikten til å fordele ansvar følger av artikkel 26 i personvernforordningen. Det innebærer blant annet informasjon om hvordan de registrerte kan utøve sine rettigheter og hvilke personopplysninger som blir behandlet om dem i verktøyet.
Har arbeidstakerne krav på å få informasjon om logikken til algoritmen?
For automatiserte avgjørelser som har rettsvirkning eller i betydelig grad påvirker en person, gjelder det særlige krav til informasjon. Det fremgår av artikkel 13 nr. 2 bokstav f at den behandlingsansvarlige i disse tilfellene skal opplyse om den underliggende logikken til algoritmen. Det samme gjelder etter artikkel 14 nr. 2 bokstav g når personopplysningene ikke er innhentet direkte fra den registrerte.
Retningslinjer fra Artikkel 29-gruppen
«Articles 13(2) (f) and 14(2) (g) require controllers to provide specific, easily accessible information about automated decision-making, based solely on automated processing, including profiling, that produces legal or simliarly signifant effects.
If the controller is making automated decisions as described in Article 22 (1), they must:
- tell the data subject that they are engaging in this type of activity;
- provide meaningful information about the logic involved; and
- explain the significance and envisaged consequences of the processing»
(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, side 25.)
Verktøyet i dette sandkasseprosjektet fører verken til rettsvirkninger for arbeidstakerne eller påvirker dem i betydelig grad. Behandlingen faller dermed utenfor artikkel 22 i forordningen. Informasjonsplikten etter artikkel 13 og 14 retter seg mot behandling som er omfattet av artikkel 22. Derfor følger det ikke noen plikt til å informere om hvordan algoritmen fungerer, direkte av denne bestemmelsen.
Prosjektet vurderte om åpenhetsprinsippet lest i lys av fortalen kunne tilsi en rettslig plikt til å informere om hvordan algoritmen fungerer.
Etter personvernforordningens artikkel 5 nr. 1 bokstav a skal den behandlingsansvarlige sikre at behandling av personopplysninger gjøres på et åpent og rettferdig vis. Fortalepunkt 60 fremhever i tilknytning til åpenhetsprinsippet at den registrerte bør få informasjon når det skjer profilering og hvilke konsekvenser profileringen har. Fortalepunktet viser til profilering i alminnelighet, og det fremstår dermed som noe videre enn artikkel 13 nr. 2 bokstav f og artikkel 14 nr. 2 bokstav g, som peker mot automatiserte avgjørelser med rettslige eller andre betydelige konsekvenser.
Punkt 60 i fortalen til personvernforordningen
«Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.»
Artikkel 29-gruppen har uttalt seg om åpenhet i behandlingssituasjoner som faller utenfor artiklene 13, 14 og 22. I retningslinjene om åpenhet fremheves særlig viktigheten av å informere om konsekvensene av at personopplysninger behandles og at behandlingen av personopplysninger ikke skal komme som en overraskelse på de som får personopplysningene sine behandlet. At pliktene til å informere om den underliggende logikken etter artikkel 13 og 14 går lenger enn det generelle åpenhetsprinsippet, som omtalt i fortalepunkt 60 støttes også av veilederen om profilering og automatiserte avgjørelser.
Oppsummeringsvis er det vanskelig å se at det kan utledes en rettslig plikt av forordningen til å forklare den underliggende logikken som tilsvarer kravene som følger av artikkel 13 og 14 for verktøyet i dette prosjektet. Artikkel 29-gruppen uttaler uansett i den nevnte veilederen at det er god praksis å forklare den underliggende algoritmen, selv om den behandlingsansvarlige ikke har en plikt til det.
Sandkassa anbefaler dessuten informasjon om hvordan verktøyet fra Secure Practice fungerer, fordi det kan bidra til å skape tillit til KI-verktøyet. I avsnittet nedenfor viser vi et eksempel fra en fokusgruppe med ansatte, som understreket betydningen av klar og tydelig informasjon som forutsetning for å gi korrekte personopplysninger.
Hvordan og når er det best å gi informasjon til brukerne?
Personvernforordningen regulerer ikke i detalj hvordan brukergrensesnitt skal utformes. Men i forlengelsen av pliktspørsmålet ble det også drøftet hvordan og når løsningen skal informere brukeren.
I prosjektet diskuterte vi blant annet konkrete problemstillinger knyttet til utformingen av brukergrensesnittet. Et viktig punkt var om du som ansatt bør få en forklaring på hvorfor KI-verktøyet serverer deg akkurat dette forslaget, enten du blir oppfordret til å gjennomføre en spesifikk opplæringsmodul eller ta en spesifikk quiz, og hvordan det eventuelt bør gjøres.
Et konkret eksempel kunne være at en ansatt fikk forslag om å gjennomføre en bestemt type opplæring, fordi de hadde blitt lurt av en phishing-øvelse. Slik informasjon sier noe om den underliggende logikken i algoritmen. Det ble særlig drøftet om en slik detaljert informasjon kunne gi brukeren en følelse av overvåking, som igjen kunne lede til mindre tillit. Argumentene som talte for å gi denne typen informasjon, var at de registrerte trenger den for å forstå hvordan opplysningene brukes og at forståelsen kan bygge tillit til løsningene.
I den første fokusgruppen var det stor villighet til å ta i bruk løsningen og dele data, hvis det er et konstruktivt bidrag til å oppnå formålene om bedre informasjonssikkerhet i virksomheten. Deltakerne poengterte, at det er viktig at kommunikasjonen med de ansatte er tydelig og klar. Det er viktig at det tidlig i prosessen avklares hvordan dataene skal lagres og benyttes i virksomhetens arbeide. Usikkerhet rundt hvordan dataene brukes, øker faren for at de ansatte tilpasser svarene sine til det de tror er “riktig”, eller at de ikke er villige til å dele data. Dette er et interessant funn, fordi algoritmen blir mindre treffsikker hvis dataene den baserer seg på er unøyaktig og ikke representerer den reelle situasjonen brukeren er i.
I fokusgruppen med arbeidstakerorganisasjonen Negotia var det større fokus på åpenhet generelt, som en forutsetning for at arbeidstakere skal kunne stole på løsningen. Punktene som ble fremhevet var blant annet knyttet til hva arbeidsgiver har tilgang til av informasjon, hvordan kontrakten med virksomheten er utformet, viktigheten av å involvere de ansatte eller tillitsvalgte fra tidlig i prosessen, og at en slik løsning kan oppleves ulikt av arbeidstakere avhengig av situasjonen, for eksempel om de har høy eller lav tillit til arbeidsgiver. Risikoen knyttet til at svarene kunne spores tilbake til den enkelte arbeidstaker, ble også fremhevet i fokusgruppen. Denne fokusgruppen advarte mot å utforme spørsmål på en slik måte at svarene kunne skade arbeidstakerne, dersom de ble kjent for arbeidsgiveren.