Under halvdelen (40 pct.) af de AI-løsninger, som myndighederne anvender, har undergået en konsekvensanalyse. Det viser Datatilsynets kortlægning af offentlige myndigheders brug af kunstig intelligens-løsninger. 

Størstedelen overholder dermed ikke kravet om, at der skal foretages en konsekvensanalyse, inden man overhovedet begynder at behandle personoplysninger - altså allerede inden udviklingen af en AI-løsning sættes i gang.

- Jeg tror, vi får dyr og dårlig AI i det offentlige, fordi man ikke er opmærksom på kravene, siger professor i forvaltningsret og digitalisering ved Københavns Universitet Hanne Marie Motzfeldt.

Der mangler, hvad hun kalder udviklingsjurister ude i kommunerne, som kan sikre, at man enten får justeret eller får stoppet projekter i tide, hvis der for eksempel ikke er data med den rette datakvalitet eller et tilstrækkeligt lovgrundlag er til stede.

Professor: Myndigheder skal være proaktive

Hele 80 pct. af de myndigheder, der har gennemført en konsekvensanalyse, har først gjort det, efter de er gået i gang med at udvikle eller sætte en AI-løsning i drift, og 73 pct. af de myndigheder, som ikke har gennemført en konsekvensanalyse, har reelt været forpligtede efter databeskyttelsesreglerne til at gennemføre en konsekvensanalyse, viser Datatilsynets kortlægning.

Når så mange ikke følger reglerne, er det så reglerne, der er et problem?

Nej, fastslår Hanne Marie Motzfeldt. Det er en reguleringsmodel, som kommunerne også kender fra forvaltningsretten. Selvfølgelig er der regler, som skal sikre, at ting foregår forsvarligt, bemærker hun og peger på, at myndigheder eksempelvis er forpligtet til at bruge korrekte og fuldstændige oplysninger i myndighedsudøvelsen. 

Det kræver, at systemerne er indrettet efter det, og det skal man undersøge, før man udvikler, påpeger hun.

- Man ønsker, at myndighederne er proaktive og tænker sig om på forhånd, siger hun.

En konsekvensanalyse i databeskyttelses-øjemed gør myndigheden i stand til at arbejde med de risici, som behandlingen af persondata kan indebære for borgernes rettigheder og frihedsrettigheder. Analysen skal blandt andet omfatte en beskrivelse af, hvordan data vil blive anvendt, en vurdering af behandlingens nødvendighed og proportionalitet, og hvordan risici kan håndteres.

Efter Datatilsynets vurdering vil behandling af personoplysninger som led i udvikling og/eller drift af AI-løsninger stort set altid kræve, at der foretages en konsekvensanalyse.

Mangler kompetencer

Der er flere hensyn end de databeskyttelsesretlige, påpeger Hanne Marie Motzfeldt, og henviser til, at man generelt bør sikre, at der bliver foretaget en basal kortlægning af, hvilke konsekvenser et AI-system har. Hun frygter, at man også overser andre typer af konsekvensanalyser. 

- Sandsynligheden taler for, at de løsninger, der bliver lavet, er ringere, end de kunne have været, siger hun. 

Hun bebrejder imidlertid ikke dem, der arbejder med projekterne.

- Hvis du har taget en femårig uddannelse i projektledelse, har du ikke også fem års uddannelse i jura, siger hun.

Det handler derfor om at få kompetencerne ind i de kommunale udviklingsprojekter.  

- Arbejder man med it- og digitaliseringsprojekter, skal man måske have noget efteruddannelse, så man i det mindste er opmærksom på at få ringet  til en udviklingsjurist, siger hun.

- De kender både databeskyttelsesreglernes krav i forbindelse med udvikling, ibrugtagning og anvendelse og de forvaltnings-, informations- og cybersikkerhedsmæssige krav. 

Giver ikke anledning til særskilt kontrol

Datatilsynets undersøgelse giver ikke anledning til at skærpe tilsynet med offentlige myndigheder, ligesom den ikke har ført til individuelle påbud eller forbud, fortæller chefkonsulent ved tilsynet Makar Holst-Andersen. 

De manglende konsekvensanalyser er dog et af flere opmærksomhedspunkter, som man vil følge op på. 

- Vi har ikke på nuværende tidspunkt udvalgt bestemte myndigheder til tilsyn, men resultaterne vil vi bruge i vores fremadrettede tilsynsarbejde, siger Makar Holst-Andersen.

I første omgang vil tilsynet ad dialogens vej finde ud af, hvorfor så mange ikke overholder reglerne, fortæller han.

- På baggrund af den viden, kan vi finde ud af, hvor vi skal sætte ind, siger han.

Stort arbejde forude

Det er godt og på høje tid, at der er kommet en kortlægning over brug af kunstig intelligens i det offentlige, mener seniorforsker ved Institut for Menneskerettigheder Rikke Frank Jørgensen.

Det var på baggrund af en rapport fra Institut for Menneskerettigheder om offentlige myndigheders brug af algoritmer i sagsbehandling fra oktober 2021, at Datatilsynet i foråret sidste år nedsatte en intern taskforce til at kortlægge brugen af kunstig intelligens-løsninger i det offentlige og lave en vejledning til udvikling og brug af dem.

Systemerne kan potentielt have stor indvirkning på den enkeltes rettigheder, og derfor er det helt centralt, at der gennemføres menneskeretlige konsekvensanalyser, mener Rikke Frank Jørgensen. 

Kortlægningen viser, at reglerne omkring kunstig intelligens er komplicerede for myndighederne at arbejde med, og brugen er fortsat begrænset. Kun cirka en fjerdedel af de adspurgte myndigheder bruger mindst én kunstig intelligens-løsning. De bliver primært brugt til at optimere og effektivisere arbejdsopgaver som eksempelvis fakturering, mailsortering og journalisering. 

Men med udsigt til, at mere komplekse kunstig intelligens-systemer med tiden i højere grad kan blive brugt til at oplyse de beslutningsgrundlag, som myndighederne træffer afgørelser ud fra, stiger behovet for transparens, bemærker Rikke Frank Jørgensen. Tilsvarende skal man i højere grad have styr på, hvornår systemerne griber ind i borgernes rettigheder.

- Jo mere systemer vedrører noget, der går tæt på den enkelte borger, jo vigtigere bliver det, siger hun.

- Forhåbentlig kan vejledningen fra Datatilsynet være med til at sikre, at rettigheder bliver tænkt ind fra start til slut i de offentlige AI-systemer. Det er godt, at der kommet gang i arbejdet med at skabe overblik, men det illustrerer også, hvor stort et arbejde, der ligger forude.