Lansering av Datatilsynets regulatoriske sandkasse for personvern og kunstig intelligens

Innlegg ved lanseringen av den nye regulatoriske sandkassen hos Datatilsynet

Takk for invitasjonen til å være med på denne markeringen sammen med dere.Til alle som er nysgjerrige, liker innovasjon, liker å utforske muligheter og å teste litt grenser, vil jeg si: gratulerer med dagen!

For drøyt ti måneder siden la regjeringen fram sin strategi for kunstig intelligens. I strategien tar vi til orde for at Norge skal være et foregangsland i utvikling og bruk av kunstig intelligens med respekt for den enkeltes rettigheter og friheter.

Vi skal bruke teknologi til å løse oppgaver på nye og bedre måter. Som for eksempel i helsesektoren, der kunstig intelligens kan analysere patologibilder og kjenne igjen ulike typer kreft raskere og bedre enn legene kan klare.

Det betyr ikke at KI kan erstatte patologen – i alle fall ikke foreløpig -, men kan hjelpe og avlaste henne.

KI kan også brukes til å kjenne igjen mønstre, eller avvik fra mønstre. På den måten kan KI være et hjelpemiddel for å avsløre forsikrings- eller skattesvindel. Systemer som bruker kunstig intelligens, kan søke gjennom og analysere enorme menger informasjon på en helt annen måte enn mennesker kan klare.

Både utvikling og bruk av KI skal skje på en måte som ivaretar og respekterer den enkeltes rettigheter og friheter. Som for eksempel retten til personvern.

For omtrent to og et halvt år siden vedtok Stortinget at personvernforordningen skal være norsk lov. Forordningen er av flere blitt omtalt som et rammeverk for tillit: Tillit mellom de som samler inn og behandler personopplysninger på den ene siden, og de registrerte på den andre - enten de er kunder, brukere, pasienter eller har en helt annen rolle.

Det norske samfunnet er generelt preget av stor tillit. Borgerne har tillit både til myndighetene og til svært mange private tjenestetilbydere. Det er viktig at vi bevarer - og kanskje helst forsterker - denne tilliten når vi bruker teknologi på nye måter.

Utvikling og bruk av kunstig intelligens krever gjerne store mengder personopplysninger. Disse opplysningene er nesten alltid hentet inn for helt andre formål enn utvikling av KI.

Ny bruk av disse opplysningene utfordrer det grunnleggende personvernprinsippet om at personopplysninger bare skal brukes til det formålet de opprinnelig ble samlet inn for.

Bruk av opplysninger til nye formål gjør det også vanskelig for oss å holde oversikt over hvem som behandler opplysninger om oss, og hva de brukes til. Dette kan utfordre den tilliten som samfunnet er så avhengig av.

En annen utfordring er at når opplysninger brukes til noe annet enn de opprinnelig ble innsamlet for, så er det en viss fare for at de ikke er helt riktige i forhold til formålet. Feil og skjevheter kan forsterkes når opplysningene behandles av algoritmer.

Fordi vi ikke alltid forstår hva som skjer inne i maskinlæringsprogrammet, kan det være vanskelig å oppdage eventuelle feil i de resultatene som kommer ut av analysene.

Men vi vet at feil av og til skjer. Vi har vel alle noen ganger lurt på hva som har foregått i algoritmene til Netflix eller Spotify når de av og til kommer med ganske pussige anbefalinger til oss.

Derfor det er også mange som er bekymret for kunstig intelligens.

Vi har sikkert alle lest historiene om hvordan algoritmene bedømmer gjentagelsesrisikoen for svarte fanger i USA som større enn for de hvite fangene.

Om hvordan algoritmer brukt i rekruttering favoriserer menn til typiske mannsyrker og lederstillinger.

Eller om bildeanalyseverktøy som tror at et menneske som poserer ved siden av en kjøkkenbenk må være en kvinne

Sånn vil vi ikke ha det!

De eksemplene jeg nevnte er skjevheter som har blitt oppdaget. Fordi noen var kritiske og stilte spørsmål. Det er bra.

Men det finnes helt sikkert eksempler på skjevheter i systemer – både de som er basert på kunstig intelligens og andre – som vi IKKE har oppdaget ennå.

Samtidig ønsker vi oss nye, innovative tjenester som kan løse oppgaver og problemer på nye måter.

For å få til dette, må vi prøve - og kanskje også feile - litt. Vi må legge til rette for at det skal være mulig å utvikle ny teknologi i et trygt miljø. Dette er bra for utviklerne, det er bra for myndighetene, og det er bra for samfunnet.

Derfor gikk regjeringen inn for å etablere en regulatorisk sandkasse for personvern og kunstig intelligens i KI-strategien som ble lagt fram i januar i år.

Og Datatilsynet var ikke vonde å be! Det tok ikke lang tid før dere hadde klar en skisse til en slik sandkasse.

Det hjalp sikkert litt at dere kunne se på hva andre har gjort – både her i Norge og i andre land.

For det finnes gode eksempler: Finanstilsynet har hatt sin regulatoriske sandkasse for fintech i drift siden april i år. Her har de så langt jobbet med to prosjekter.

Og det britiske datatilsynet har hatt sin regulatoriske sandkasse for personvern og innovativ teknologi i drift siden sommeren 2019. Flere spennende prosjekter med svært ulike bruksområder har fått veiledning i denne sandkassen. Både offentlige og private aktører har deltatt.

Og jeg vet at dere har besøkt dem, og hentet inspirasjon til den sandkassen dere åpner i dag.

 

Regelverket henger nesten alltid etter teknologien. Noen mener at regelverk kan være til hinder for innovasjon og bruk av ny teknologi. For å forsøke å bøte på dette, er det lagt til rette for forsøksordninger med unntak fra regelverk på flere områder.

Ett eksempel er samferdselssektoren, der vi har en egen lov om forsøk med selvkjørende kjøretøy og egne områder for å teste autonome skip.

På personvernområdet kan kombinasjonen av vanskelig regelverk og strenge sanksjoner for brudd på regelverket fungere som er hinder for innovasjon.

Virksomhetene blir rett og slett litt redde for å prøve ut nye forretningsmodeller og utvikle nye tjenester. Konsekvensene av å gjøre feil oppleves som for store.

 

Personvern er en grunnleggende rettighet. Og derfor kan vi ikke gjøre unntak fra retten til personvern når vi skal teste ut ny teknologi. I stedet må vi legge til rette for at det blir mulig å utvikle og utforske i lukkede miljøer der feilene kan håndteres før de får konsekvenser for samfunnet og den enkelte.

Dette gjør vi blant annet nå ved å nå skape en arena der interesserte utviklere kan ha tett og god dialog med Datatilsynet. En arena hvor de kan få veiledning i prosjektene sine, frem til løsninger som både gir samfunnsnyttige tjenester og ivaretar den enkeltes personvern på en god måte. Arenaen er den regulatoriske sandkassen for personvern og kunstig intelligens som vi markerer i dag.

I sandkassen skal rett og slett det personvernregelverket som mange synes er litt vanskelig, brukes som et rammeverk for å bygge den tilliten til ny teknologi og kunstig intelligens som både utviklerne og samfunnet er helt avhengige av.

For meg er det viktig at det ikke bare er de utviklerne som slippes inn i sandkassen som skal få noe positivt ut av opplevelsen. Vel så viktig er det at denne sandkassen kan være en mulighet for myndighetene til å lære om ny teknologi: Hvordan den utvikles, hva den kan brukes til og hva som er forutsetninger for å lykkes med utviklingen.

Dessuten vil sandkassen være et godt sted å teste ut hvordan regelverket fungerer i møte med praktiske utfordringer. Denne lærdommen kan Datatilsynet ta med seg inn i dialog med andre utviklere, andre tilsynsmyndigheter, og, ikke minst, i dialog med de som skal utvikle regelverket.

Sist, men ikke minst, skal det som skjer i sandkassen være til nytte også for de som ikke slipper inn der med sine ideer og forslag. Basert på læringen i sandkassen kan Datatilsynet utarbeide veiledning som kan komme teknologimiljøer og bransjer, samfunnet og borgerne til nytte.

Som dere skjønner: jeg har store forventninger til dette prosjektet og er svært glad for at vi har fått dette til.

Jeg slutter der jeg begynte: gratulerer med dagen, og masse lykke til med prosjektet! Jeg gleder meg til å følge dere.