Den 21. april 2021 offentliggjorde EU-Kommissionen et forslag til en ny forordning om harmoniserede regler for AI (AI-forordningen). Forslaget er en del af strategien ‘Shaping Europe’s Digital Future’, som har til formål at sikre borgernes rettigheder og tillid til ny teknologi. Selv om forslaget endnu ikke er færdigbehandlet, er forslaget i sig selv et vidnesbyrd om et skærpet fokus på grundlæggende rettigheder samt principper om ansvarlighed og transparens ved udviklingen og brugen af AI. Forslaget til forordningen forhandles fortsat, men nedenfor dykker jeg ned i, hvad offentlige myndigheder og it-leverandører til myndigheder allerede nu bør være opmærksomme på.
Samspillet mellem den kommende AI-forordning og offentligretlige regler
På nuværende tidspunkt er AI ikke særskilt reguleret i dansk lovgivning. Udviklingen og brugen af AI i den offentlige forvaltning vil dog skulle overholde tværgående regler, som fx forvaltningsretlige regler og principper, databeskyttelsesretten og menneskerettighederne, der alle er teknologineutrale.
Den kommende AI-forordning kommer der særlige regler om; regler der kun gælder, når denne teknologi benyttes. Med forslaget ønsker EU at fastslå en retlig ramme for pålidelig brug af AI. Definitionen af AI ser på nuværende tidspunkt ud til blive relativ bred – det betyder, at forordningen vil favne bredt.
Reglerne bygger primært på hensynet til at sikre grundlæggende rettigheder og retssikkerhed samt hensynet til at fremme teknologisk innovation. Dette har paralleller til offentligretlige regler, der også skal varetage hensyn til rettigheder og retssikkerhed.
Ifølge begrundelsen for Kommissionens forslag til forordningen har forslaget på den ene side til formål at give brugere og befolkningen i bred forstand tillid til at anvende systemer baseret på AI, mens forslaget på den anden side også skal tilskynde virksomheder til at udvikle sådanne systemer. Forslaget til AI-forordningen kan således supplere de forvaltningsretlige regler, der også skal understøtte tilliden til offentlige myndigheder.
Nye mindstekrav til udvikling og brug af it-løsninger i det offentlige
Den foreslåede AI-forordning inddeler it-løsninger med AI i fire kategorier med hver deres tilhørende krav. De fire kategorier er: Uacceptabel risiko, høj risiko, begrænset risiko og lav risiko. De nye krav til it-løsninger med AI retter sig dels mod selve it-løsningen, dels mod den konkrete rolle, som udvikleren, importøren, distributøren eller brugeren har i forhold til it-løsningen. Den foreslåede AI-forordning er derfor relevant under såvel udvikling som brug af de it-løsninger, forordningen omfatter.
For løsninger med “begrænset risiko” gælder der gennemsigtighedsforpligtelser i et vist omfang. For løsninger med “lav eller minimal risiko” gælder der ingen specifikke krav, men udbyderne af løsningen kan selv udarbejde og gennemføre adfærdskodekser. Løsninger med større risici skal derimod opfylde specifikke krav afhængigt af risicienes intensitet. For løsninger, der falder i kategorien “høj risiko”, er der en række specifikke krav, som skal overholdes.
Inden for kategorien “høj risiko” falder fx løsninger baseret på AI, der skal styre kritisk infrastruktur, samt løsninger inden for uddannelsesområdet, HR/rekruttering, velfærdsydelser, retshåndhævelse samt migration og asyl. Det må således forventes, at langt den største del af offentlige systemer, der er baseret på AI, vil falde i denne kategori.
Endelig er der for løsninger, der falder i kategorien med “uacceptabel høj risiko” forbud mod at udvikle, distribuere eller bruge sådanne løsninger.
Offentlige forvaltningsmyndigheder, der påtænker selv at udvikle og bruge systemer baseret på AI, eller leverandører til myndigheder bør derfor allerede nu begynde at forberede sig på den kommende AI-forordnings krav. Det er nemlig hensigten, at kravene skal gælde fra 2024.
Hvordan kan den forvaltningsretlige konsekvensanalyse blive bragt i spil?
Offentlige myndigheder skal efter gældende krav i forvaltningsretten allerede nu lave en forvaltningsretlig konsekvensanalyse. Her bør også forvaltningsmæssige risici fremgå. Dette redskab kan derfor anvendes til allerede nu at overveje efterlevelse af AI-forordningen.
AI-forordningen er kendetegnet ved en risikobaseret tilgang. En forvaltningsretlig konsekvensanalyse kan således hjælpe med at belyse de potentielle risici ved brugen af den type AI, der ønskes anvendt, sammenholdt med formålet, den konkrete opgave og risiciene for den enkelte person, set i lyset af relevant lovgivning.
Øget opmærksomhed på data og dokumentation
Efter gældende forvaltningsretlige regler og databeskyttelsesretten stilles allerede i dag krav til offentlige myndigheders brug af data. De nævnte krav til brugen af AI-systemer har fællestræk med de gældende forvaltningsretlige og databeskyttelsesretlige krav til offentlige myndigheders brug af data og til dataenes kvalitet.
AI er funderet på data, der indgår i den matematiske model – algoritmen. Kvaliteten og kvantiteten af den benyttede data er derfor afgørende for, hvordan – og hvor pålideligt – systemer med AI fungerer. Derfor opstiller den foreslåede AI-forordning særlige krav til data og datastyring. Dette omfatter eksempelvis kravet om at foretage en kortlægning af eventuelle datamangler og datautilstrækkeligheder, og klarlægge hvordan disse udbedres.
Det kan derfor allerede nu være en god idé at evaluere behandlingen af oplysninger efter gældende forvaltningsretlige regler og databeskyttelsesretten og tage stilling til, om de eksisterende krav overholdes. Det kan desuden være hensigtsmæssigt at overveje, om myndighedens egen praksis for registrering af data er tilstrækkelig god til, at dataene har den nødvendige kvalitet ved senere brug til udviklingen af AI. På den måde vil den offentlige myndighed være forberedt, når den nye forordning træder i kraft.
Det fremgår også af forslaget til AI-forordningen, at it-leverandøren skal udarbejde dokumentation af it-løsningen, inden den tages i brug, og at denne dokumentation løbende skal opdateres. Denne dokumentation kan fx foretages teknisk ved logning mv. og derfor allerede nu overvejes, hvis en myndighed begynder at udvikle eller indkøbe systemer med AI.
Overvej allerede nu dataetik
Udvikling og brug af AI kræver overvejelser om, hvordan en myndighed bør bruge AI. Uanset det endelige indhold af en fremtidig AI-forordning er det således allerede nu relevant at overveje dataetik, når det kommer til udvikling og brug af AI. Det kan her især være relevant at skele til de værktøjer, som Dataetisk Råd har udviklet. Rådet har bl.a. udviklet et værktøj til samkøring af data i den offentlige forvaltning ved brug af AI, da samkøring af data kan give anledning til principielle, dataetiske overvejelser.
