Det norske Datatilsynet har introduceret en regulatorisk sandkasse efter engelsk forbillede. Med sandkassen etableres et projektmiljø for AI, hvor en række private og offentlige virksomheder kan få gratis vejledning om persondatabeskyttelse.
Den norske sandkasse har som mål at stimulere innovation indenfor AI, som er etisk og ansvarlig set fra et databeskyttelsesperspektiv. Virksomhederne får på den måde mulighed for opnå større indsigt i persondatabeskyttelse og mulighed for at udvikle produkter, der kan være en gevinst for både virksomheden, enkeltpersoner, samfundet og for datatilsynet.
Gevinsterne for enkeltpersoner og samfundet består i sikkerheden for, at AI udvikles og anvendes indenfor lovgivningens krav og med respekt for grundlæggende rettigheder. Datatilsynet ser det i sig selv som en gevinst, at samarbejdet med virksomhederne kan give dem øget indsigt i brugen af AI i praksis og derigennem bidrage til tilsynets vejledning, sagsbehandling, tilsyn og politikudvikling.
Hvad er ansvarlig AI?
Den norske sandkasse arbejder efter principper for ansvarlig AI, som er inspireret af anbefalingerne fra EU High Level Group on Trustworthy AI. Ansvarlig AI skal derfor udarbejdes på baggrund af tre hovedprincipper:
Lovlig – overholdelse af gældende lovgivning
der regulerer de områder, som Datatilsynet fører tilsyn med, dvs. GDPR, den norske personværnslov, politiregisterloven, sundhedsregisterloven, lov om sundhedsforskning, patientjournalloven og forskrifter om kameraovervågning og kontrol med e-mails på arbejdspladsen. Men andre myndigheder kan indgå i samarbejde, hvis et sandkasseprojekt drejer sig som om fx forvaltningsloven, offentlighedsloven eller andre relevante regelværk.
Et afgørende punkt er, at der ikke gives dispensation fra lovgivningen, mens sandkasseprojektet kører. Men Datatilsynet har dog ingen intention om at iværksætte korrigerende foranstaltninger under udviklingsprocessen.
Etisk – overholde etiske principper og værdier
Disse omfatter retfærdighed og gennemsigthed, som både udgør etiske principper og er reflekteret i GDPR artikel 5. Et kernepunkt i kravet om gennemsigtighed er, at mennesket forstår, at det er en maskine, der har truffet en beslutning eller undersøttet en proces fremfor en sagsbehandler.
AI baserede beslutninger skal også være forklarbare for den enkelte person, dvs at han eller hun har indsigt i, hvorfor en beslutning fik det resultat, den fik. Med et krav om sporbarhed sikres det derudover, at AI-løsningen kan kræves revideret og forklaret.
Den etiske vurdering hjælper virksomhederne til at stille spørgsmålet, om en AI-løsning er det etisk rigtige valg – også i situationer, hvor løsningen er lovlig.
Sikker – fra et teknisk og samfundsmæssigt perspektiv
Kravet om sikkerhed, indebærer, at AI-løsningen skal teknisk robust. Den skal forebygge og minimere risikoen for uventede og tilsigtede skader, og bidrage til, at systemet fungerer efter planen. Teknisk robusthed er også vigtig for AI-løsningens nøjagtighed og pålidelighed, og for hvordan den kan efterprøves.
Det engelske datatilsyn, Informations Commissioners Office, ICO, har gode erfaring med deres sandbox og har siden maj 2019 gennemført fire projekter. Projekterne omhandler brug af data til forbedring af støtte til studerende på længeregående uddannelser, automatisering af passagerrejser i Heathrow, identifikation og mitigering af bias i verifikation af biometrisk identifikation og efterforskning af finansiel svindel