8 Automatisert saksbehandling og automatiserte avgjørelser
8.1 Gjeldende rett
8.1.1 Innledning
Automatisering av saksbehandlingen betegner omleggingen av saksbehandlingen fra manuelle operasjoner utført av mennesker, til automatiserte operasjoner utført av maskiner. En betydelig del av forvaltningens saksbehandling er i dag automatisert, men likevel slik at omfanget varierer mye mellom de enkelte forvaltningsorganene. I takt med den teknologiske utviklingen må automatisering av saksbehandlingen generelt forventes å øke.
De fleste forvaltningsorganer benytter i dag datasystemer i saksbehandlingen. Noen systemer brukes som støtte til saksbehandlingen, for eksempel til å innhente og utveksle informasjon, utføre analyser eller bearbeidelser av informasjonen, eller på andre måter forberede grunnlaget for en avgjørelse. Andre systemer kan brukes til å treffe avgjørelser fullt ut basert på automatisert behandling.
Den gjeldende forvaltningsloven inneholder verken generelle regler om automatisert saksbehandling eller regler om forvaltningens bruk av automatiserte avgjørelser, det vil si avgjørelser som forvaltningen treffer basert på automatiserte operasjoner i datasystemer. Forvaltningsloven har heller ingen spesifikke regler som retter seg mot utviklingen, innholdet, bruken eller dokumentasjonen av de datasystemene som forvaltningen benytter ved automatisert saksbehandling.
At forvaltningsloven ikke inneholder spesifikke regler om automatisert saksbehandling, betyr imidlertid ikke at denne formen for saksbehandling er uregulert. Et forvaltningsorgan som automatiserer saksbehandlingen, må på samme måte som ellers følge de generelle kravene til saksbehandlingen som følger av forvaltningslovens regler og lovverket for øvrig. Saksbehandlingsreglene i forvaltningsloven vil på ulike måter sette rammer for og innvirke på forvaltningsorganets muligheter til å automatisere forskjellige deler av saksbehandlingen. Det samme gjelder bestemmelser i annen lovgivning. Blant annet vil reglene i personopplysningsloven og likestillings- og diskrimineringsloven utgjøre rammer for muligheten til å automatisere saksbehandlingen. Grunnloven og EMK vil også kunne oppstille skranker for automatisering av forvaltningens saksbehandling.
Departementets redegjørelse for gjeldende rett vil først og fremst konsentrere seg om de spørsmålene som er særlig relevante for lovforslagene som departementet fremmer i proposisjonen her, det vil si om forvaltningens adgang til å treffe automatiserte avgjørelser og om dokumentasjon av automatiserte saksbehandlingssystemer. Redegjørelsen for gjeldende rett utgjør dermed ikke en fullstendig beskrivelse av hvordan den gjeldende forvaltningsloven og lovgivningen for øvrig på forskjellige måter innvirker på forvaltningens adgang og muligheter til å automatisere saksbehandlingen.
8.1.2 Personvernforordningens regulering av automatiserte avgjørelser
Når forvaltningen behandler personopplysninger, kommer personopplysningsloven og personvernforordningen til anvendelse. For en generell omtale av forholdet mellom forvaltningsloven og personvernregelverket, viser departementet til redegjørelsen i punkt 3.5.4.
Personvernforordningen artikkel 22 utgjør en rettslig begrensning i forvaltningens adgang til å automatisere saksbehandlingen ved at den som utgangspunkt oppstiller et forbud mot å treffe visse automatiserte avgjørelser. Selv om artikkel 22 nr. 1 etter ordlyden gir uttrykk for «en rett» for den enkelte til ikke å være gjenstand for slike avgjørelser, følger det av praksis fra EU-domstolen at artikkel 22 skal forstås som et forbud, jf. EU-domstolens dom i sak C-634/21 SCHUFA Holding avsnitt 52.
Departementet redegjør i det følgende først for utstrekningen av forbudet mot å treffe automatiserte avgjørelser i artikkel 22 nr. 1 og deretter for adgangen til å åpne for slike avgjørelser i nasjonal rett etter artikkel 22 nr. 2 bokstav b. For at forbudet i personvernforordningen artikkel 22 overhodet skal komme til anvendelse, må avgjørelsen gjelde en fysisk person og involvere behandling av personopplysninger. Avgjørelser som ikke involverer behandling av personopplysninger, eller som ikke retter seg mot bestemte fysiske personer, faller utenfor forbudet.
For at en avgjørelse skal være omfattet av forbudet i artikkel 22, må ytterligere tre vilkår være oppfylt. Det må for det første foreligge en «avgjørelse» i bestemmelsens forstand. For det andre må avgjørelsen «utelukkende [være] basert på automatisert behandling». For det tredje må avgjørelsen ha «rettsvirkning for eller på tilsvarende måte i betydelig grad påvirke» en fysisk person («den registrerte»). Det nærmere innholdet i de tre vilkårene er ikke presisert i personvernforordningen, og det foreligger i beskjeden grad avklarende rettspraksis. Vilkårene skal tolkes autonomt, det vil si at det ikke vil være styrende for tolkingen at de samme ordene er gitt et eget meningsinnhold i norsk forvaltningsrett.
I juridisk teori er det lagt til grunn at begrepet «avgjørelse» som utgangspunkt må forstås vidt, og vil kunne omfatte enhver beslutning som ellers oppfyller de to øvrige vilkårene. Det kan derfor neppe antas at en «avgjørelse» etter artikkel 22 nr. 1 innholdsmessig vil tilsvare avgjørelsesbegrepet slik dette er forstått i forvaltningsretten.
Vilkåret om at avgjørelsen «utelukkende» må være basert på automatisert behandling synes etter ordlyden å innebære at forbudet bare omfatter automatiserte avgjørelser tatt helt uten menneskelig involvering. Departementet legger likevel til grunn, i tråd med det som synes å være forståelsen i juridisk teori, at bestemmelsen på dette punkt ikke kan tas på ordet, og at det kreves en reell menneskelig involvering for at forbudet ikke får anvendelse.
Vilkåret om at avgjørelsen enten må ha rettsvirkning for eller på tilsvarende måte i betydelig grad påvirke en fysisk person inneholder to alternativer. Ordlyden i det første alternativet, at avgjørelsen har «rettsvirkning» for vedkommende, tilsier at vilkåret vil være oppfylt i tilfeller der den automatiserte avgjørelsen utgjør eller inngår som en nødvendig forutsetning for et enkeltvedtak, jf. definisjonen av enkeltvedtak i forvaltningsloven § 2 første ledd bokstav b jf. bokstav a. Departementet antar imidlertid at også andre avgjørelser som forvaltningen treffer, det vil si avgjørelser som ikke utgjør eller inngår i det som etter forvaltningsloven regnes som et enkeltvedtak, vil kunne være omfattet av personvernforordningen artikkel 22 såfremt avgjørelsen må anses å ha «rettsvirkning for eller på tilsvarende måte i betydelig grad påvirke vedkommende». Når det gjelder alternativet om at avgjørelsen «på tilsvarende måte i betydelig grad [må] påvirke vedkommende», tilsier ordlyden at avgjørelsen må ha en virkning som er betydelig og sammenlignbar med en rettsvirkning for å være omfattet.
Etter personvernforordningen artikkel 22 nr. 1 utgjør profilering en særskilt form for automatisert behandling. Profilering er definert i personvernforordningen artikkel 4 nr. 4 som «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person». Profileringen vil være omfattet av forbudet hvis den må anses som en «avgjørelse» og de øvrige vilkårene i artikkel 22 nr. 1 er oppfylt.
Fra forbudet i artikkel 22 nr. 1 gjelder tre unntak, jf. artikkel 22 nr. 2 bokstav a til c. Etter bokstav a og c gjelder forbudet ikke hvis den automatiserte avgjørelsen enten er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom avgjørelsen er basert på den registrertes uttrykkelige samtykke. Unntakene i bokstav a og c er i liten grad aktuelle for offentlig myndighetsutøvelse, og omtales ikke nærmere i det følgende.
Artikkel 22 nr. 2 bokstav b åpner for at det i nasjonal rett gis særlig hjemmel til å treffe automatiserte avgjørelser som ellers omfattes av forbudet. Det følger av personvernforordningens fortalepunkt 71 at en slik hjemmel skal være «uttrykkelig».
Når det åpnes for bruk av automatiserte avgjørelser i nasjonal rett, skal det etter artikkel 22 nr. 2 bokstav b fastsettes «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». Det er ikke nærmere angitt i bestemmelsen hva slike tiltak kan eller må være, men EU-domstolen har i C-634/21 SCHUFA Holding lagt til grunn at tiltakene som et minimum må omfatte de rettighetene som er angitt i artikkel 22 nr. 3, selv om denne bestemmelsen etter sin ordlyd ikke gjelder for unntaket i bokstav b. Etter artikkel 22 nr. 3 skal den registrerte ha en rett til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen.
Artikkel 22 presiserer ikke hva som nærmere ligger i disse kravene. Det er også begrenset med rettspraksis som bidrar til avklaring. Hensynene som forbudet i artikkel 22 bygger på, tilsier at formålet er å sikre en rett for den registrerte til å kreve en reell menneskelig involvering i avgjørelsesprosessen.
I lys av dette legger departementet til grunn at kravet om at den registrerte skal ha rett til «menneskelig inngripen» innebærer en rett for den registrerte til å kreve at den automatiserte avgjørelsen vurderes av et menneske. Denne personen må ha tilstrekkelig faglig kunnskap og kompetanse til at vurderingen blir reell. Retten til menneskelig inngripen innebærer ikke at avgjørelsen må treffes på nytt av et menneske, men for at den menneskelige vurderingen skal ha en realitet må endring av avgjørelsen være et mulig utfall, jf. også under om retten til å bestride avgjørelsen.
Når det gjelder kravet om at den registrerte skal ha rett til å uttrykke sine synspunkter, er det naturlig å forstå dette som at den registrerte må ha en reell mulighet til å kunne uttrykke sine synspunkter på avgjørelsen. Forvaltningsorganet må på sin side ha en plikt til å ta den registrertes synspunkter i betraktning. Dette innebærer ikke at forvaltningsorganet uten videre må legge den registrertes synspunkter til grunn. Forvaltningsorganet må ved den menneskelige vurderingen bygge på riktig faktum. Dersom den registrerte gir uttrykk for at avgjørelsen bygger på faktiske opplysninger som er feil eller ufullstendige, må forvaltningsorganet gjøre nærmere undersøkelser.
Kravet om at den registrerte må ha rett til å bestride avgjørelsen innebærer etter en naturlig forståelse at den registrerte må ha en rett til å få avgjørelsen prøvd på nytt. Det samme kan etter departementets forståelse sies å allerede følge av kravet til menneskelig inngripen. Det må antas at det er tilstrekkelig at den registrerte kan bestride avgjørelsen enten overfor den behandlingsansvarlige, det vil si det forvaltningsorganet som har truffet avgjørelsen, eller gjennom klage til overordnet forvaltningsorgan i tråd med de alminnelige forvaltningsrettslige klagereglene.
Et fellesspørsmål for retten til menneskelig inngripen, til å uttrykke sine synspunkter og til å bestride avgjørelsen er på hvilket tidspunkt den registrerte skal kunne gjøre rettighetene gjeldende. Departementet er ikke kjent med at det foreligger avklarende rettspraksis om spørsmålet, men legger til grunn at den registrerte må sikres disse rettighetene etter at avgjørelsen er truffet. Artikkel 22 er likevel ikke til hinder for at den registrerte gis rett til menneskelig inngripen og til å uttrykke sine synspunkter på et tidspunkt før avgjørelsen treffes.
Artikkel 22 nr. 3 overlapper i stor grad med det som mer generelt fremgår av forordningens fortalepunkt 71. Fortalepunkt 71 gir likevel anvisning på ytterligere to rettigheter som ikke fremgår direkte av artikkel 22 nr. 3, henholdsvis at det bør gis «spesifikk informasjon» til den registrerte og at den registrerte bør ha rett til å få en «forklaring» på avgjørelsen som er truffet. I C-634/21 SCHUFA Holding uttaler EU-domstolen seg imidlertid ikke om forholdet mellom disse rettighetene og unntaket i artikkel 22 nr. 2 bokstav b. Det må dermed anses uavklart om det ved innføring av nasjonale hjemler for automatiserte avgjørelser etter artikkel 22 nr. 2 bokstav b kreves at det oppstilles en mer vidtrekkende rett for den registrerte til forklaring og «spesifikk informasjon» enn det den registrerte uansett har krav på i mehold av personvernforordningens alminnelige regler.
En rett for den registrerte til å få informasjon om automatiserte avgjørelser følger av de alminnelige reglene i artikkel 13, 14 og 15. Etter disse bestemmelsene har den registrerte rett til å få informasjon om «forekomsten av automatiserte avgjørelser, herunder profilering» og «relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte», jf. henholdsvis artikkel 13 nr. 2 bokstav f, artikkel 14 nr. 2 bokstav g og artikkel 15 nr. 1 bokstav h. I EU-domstolens avgjørelse C-203/22 Dun & Bradstreet Austria er det slått fast at artikkel 15 nr. 1 bokstav h gir den registrerte en rett til å kreve en etterfølgende forklaring av automatiserte avgjørelser som omfattes av artikkel 22. Dommen avklarer ikke om det eventuelt gjelder en mer vidtgående rett til en forklaring ved innføring av nasjonale hjemler for automatiserte avgjørelser etter artikkel 22 nr. 2 bokstav b utover forklaringen som kan kreves etter artikkel 15 nr. 1 bokstav h. Forklaringen etter artikkel 15 nr. 1 bokstav h skal omfatte både resultatet som avgjørelsen har ført til og hvordan den underliggende mekanismen bak avgjørelsen fungerer, se avsnitt 57 i dommen. Formålet med forklaringen er å sette den registrerte i stand til å ivareta sine rettigheter etter personvernregelverket og særlig rettighetene som følger av artikkel 22 nr. 3, se avsnitt 55. Når det gjelder det nærmere innholdet i forklaringen, uttaler EU-domstolen at forklaringen må «beskrive den procedure og de principper, der konkret er anvendt, på en sådan måde, at den registrerede kan forstå, hvilke af vedkommendes personoplysninger der blev anvendt på hvilken måde, da den pågældende automatiske afgørelse blev truffet», se avsnitt 61. Domstolen uttaler videre at forklaringen i tråd med artikkel 12 skal gis «i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form», se avsnitt 66. Det vil derfor ikke være tilstrekkelig å gi den registrerte en «kompleks matematisk formel, såsom en algoritme, eller ved at give en detaljeret beskrivelse af alle etaper i en automatisk afgørelse, da ingen af disse metoder udgør en tilstrækkelig kortfattet og letforståelig forklaring», se avsnitt 59.
Departementet forstår EU-domstolens avgjørelse i C-634/21 SCHUFA Holding avsnitt 66 slik at når det i nasjonal rett åpnes for automatiserte avgjørelser, krever artikkel 22 at det også fastsettes visse forpliktelser for forvaltningsorganet. Hvilke forpliktelser det er tale om, fremgår av forordningens fortalepunkt 71. Den aktuelle delen av fortalepunkt 71 lyder:
«For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen personopplysningene behandles i, bør den behandlingsansvarlige bruke egnede matematiske eller statistiske framgangsmåter i forbindelse med profileringen, gjennomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil minimeres, sikre personopplysningene på en måte som tar hensyn til den registrertes interesser og rettigheter, og hindre blant annet forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, genetisk status, helsetilstand eller seksuell orientering, eller behandling som fører til tiltak som har en slik virkning.»
I fortalepunkt 71 er det videre angitt at avgjørelser som omfattes av artikkel 22, «ikke bør gjelde barn». Dette skal imidlertid neppe forstås som et absolutt forbud mot at det i nasjonal rett åpnes for å treffe automatiserte avgjørelser overfor barn.
Etter artikkel 22 nr. 4 skal automatiserte avgjørelser som omfattes av artikkel 22 nr. 2, ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a eller g får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Det er som nevnt også etter artikkel 22 nr. 2 bokstav b et krav om egnede tiltak. Etter departementets forståelse innebærer kravet om egnede tiltak ved behandling av særlige kategorier opplysninger i artikkel 22 nr. 4 og artikkel 9 nr. 2 bokstav g at det ved behandling av slike opplysninger vil kunne stilles ytterligere krav til tiltakene enn det som ellers følger av artikkel 22. Departementet antar imidlertid at vurderingen av hvorvidt det foreligger tilstrekkelige tiltak etter henholdsvis artikkel 22 og artikkel 9 nr. 2 bokstav g vil kunne foretas samlet.
Personvernforordningen artikkel 12 fastsetter generelle krav til informasjonen som skal gis til den registrerte i henhold til artikkel 15 til 22 og 34. Det følger av artikkel 12 nr. 1 at informasjonen skal være kortfattet, åpen, forståelig og lett tilgjengelig, og at det skal brukes et språk som er klart og enkelt. Videre er det bestemt at informasjonen skal gis skriftlig, men den kan også gis på andre måter, herunder også muntlig på nærmere vilkår. Regler om frister følger av artikkel 12 nr. 3 og 4. Etter artikkel 12 nr. 3 skal den behandlingsansvarlige uten ugrunnet opphold svare den registrerte på hvordan en anmodning etter artikkel 15 til 22 er håndtert. Dette svarer til utgangspunktet i forvaltningsloven § 11 a første ledd om at forvaltningsorganet skal behandle saken uten ugrunnet opphold. Svaret skal senest gis innen én måned etter at anmodningen ble mottatt, men fristen kan på nærmere vilkår forlenges i ytterligere to måneder. Dersom den behandlingsansvarlige ikke etterkommer en anmodning etter artikkel 15 til 22, følger det av artikkel 12 nr. 4 at den registrerte skal informeres om dette uten ugrunnet opphold og senest innen én måned etter den behandlingsansvarlige mottok anmodningen. Det skal i svaret opplyses om årsakene til at anmodningen avslås og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig prøving.
Det er ikke klart om forordningen artikkel 12 gjelder direkte for rettigheter som innføres i forbindelse med at det i nasjonal rett åpnes for automatiserte avgjørelser i mehold av artikkel 22 nr. 2 bokstav b. Det er dermed ikke klart om reglene i artikkel 12 direkte gjelder den registrertes rett til menneskelig inngripen, til å uttrykke sine synspunkter og til å bestride avgjørelsen, eventuelt også rett til «spesifikk informasjon» og forklaring av avgjørelsen. Av retningslinjene for automatiserte avgjørelser og profilering utgitt av Artikkel 29-gruppen, EUs tidligere rådgivende organ i personvernspørsmål, som nå er avløst av Det europeiske personvernråd (EDPB), følger det at artikkel 12 kommer til anvendelse for retten til menneskelig inngripen, til å uttrykke sine synspunkter og til å bestride avgjørelsen, se Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679. Departementet legger dette til grunn.
Samtidig med vedtakelsen av personvernforordningen i 2016 vedtok EU direktiv (EU) 2016/680 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner og om fri utveksling av slike opplysninger (LED-direktivet). I LED-direktivet artikkel 11 nr. 1 er det bestemt at det i nasjonal rett skal fastsettes at en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, og som har negativ rettsvirkning for den registrerte eller i betydelig grad påvirker vedkommende, skal være forbudt. Det kan i nasjonal rett likevel på nærmere vilkår åpnes for slike avgjørelser. Departementets forslag om automatiserte avgjørelser i proposisjonen her omfatter ikke avgjørelser som faller inn under artikkel 11 i LED-direktivet, og departementet går derfor ikke nærmere inn på denne bestemmelsen.
8.1.3 Reguleringen av automatiserte avgjørelser i særlovgivningen
En rekke forvaltningsorganer har i dag egne hjemler i særlovgivningen for å treffe automatiserte avgjørelser som omfattes av personvernforordningen artikkel 22, blant annet i arbeids- og velferdsforvaltningsloven § 4 a, utdanningsstøtteloven § 20, Statens pensjonskasseloven § 45 b, SI-loven § 6 a, skattebetalingsloven § 3-5, bidragsinnkrevingsloven § 22b, skatteforvaltningsloven § 5-11, tollavgiftsloven § 8-5, vareførselsloven § 7-15, lov om pensjonsordning for arbeidstakere til sjøs § 21 a, fiskerpensjonsloven § 29 a, folkeregisterloven § 9-4, pasientjournalloven § 11, universitets- og høyskoleloven § 9-8, utdanningsstøtteloven § 20, vegtrafikkloven § 43 b, utlendingsloven § 83 a og integreringsloven § 41. Bestemmelsene har gjennomgående kommet til etter at Forvaltningslovutvalget leverte sin utredning og er derfor ikke omtalt i NOU 2019: 5. Departementet redegjør i det følgende for hovedtrekk ved disse bestemmelsene.
Bestemmelsene henviser ikke eksplisitt til personvernforordningen artikkel 22, men det fremgår gjennomgående av forarbeidene at de er ment å gi hjemmel til å treffe slike avgjørelser. De fleste bestemmelsene gir en generell hjemmel, det vil si at hjemlene etter ordlyden ikke avgrenses til nærmere angitte sakstyper, kategorier av vedtak eller lignende. Forarbeidene inneholder i flere tilfeller en omtale av hvilke typer av automatiserte avgjørelser som er aktuelle for forvaltningsorganet og som hjemmelen derfor er ment å dekke, men bestemmelsene åpner i stor grad for å gi hjemmel også for andre typer automatiserte avgjørelser. I forarbeidene til arbeids- og velferdsforvaltningsloven § 4 a uttaler departementet at det «ikke [er] hensiktsmessig at den automatiserte behandlingen knyttes til spesifikke og angitte saksporteføljer, da dette vil kunne forhindre nødvendig fleksibilitet ettersom behovet varierer over tid», jf. Prop. 135 L (2019–2020) punkt 5.3.1. Tilsvarende gis det i forarbeidene til skatteforvaltningsloven § 5-11 uttrykk for at hjemmelen skal hensynta «at det er sannsynlig at det vil bli et økende antall maskinelle vedtak», jf. Prop. 1 LS (2021–2022) punkt 12.3.6.
I forskrifter gitt i medhold av de generelle lovhjemlene nevnt ovenfor, er det likevel eksempler på at det bare åpnes for å automatisere spesifikt angitte avgjørelser. For eksempel gir integreringsforskriften § 64 hjemmel for å automatisere avgjørelser om resultat på prøver i norsk og samfunnskunnskap som kun har ett riktig svar, og førerkortforskriften § 15-1 gir hjemmel for å fatte automatiserte vedtak om utstedelse av førerkort og midlertidig kjøretillatelse.
De fleste av bestemmelsene gir hjemmel til å treffe automatiserte «avgjørelser», men selve avgjørelsesbegrepet og forholdet til reglene om enkeltvedtak er gjennomgående i liten grad omtalt.
Mange av bestemmelsene angir eksplisitt at de automatiserte avgjørelsene kan bygge på personopplysninger omfattet av personvernforordningen artikkel 9 og 10, og en rekke av bestemmelsene gir eksplisitt adgang til profilering. Forarbeidene til enkelte av bestemmelsene i særlovgivningen omtaler også adgangen til å treffe automatiserte avgjørelser som gjelder barn.
Kun et fåtall av bestemmelsene oppstiller eksplisitte begrensninger i adgangen til å treffe automatiserte avgjørelser basert på hvor inngripende avgjørelsen er. Pasientjournalloven § 11 første ledd bestemmer at det ved saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp kan treffes avgjørelser som utelukkende er basert på automatisert behandling av helseopplysninger og andre personopplysninger, når avgjørelsen er «lite inngripende overfor den enkelte». Tilsvarende gir folketrygdloven § 21-11 a andre ledd hjemmel for automatiserte vedtak som er «lite inngripende overfor den enkelte» om stønad ved helsetjenester etter lovens kapittel 5, men slik at det i forskrift kan åpnes for vedtak som er ikke er lite inngripende, jf. åttende ledd.
Et fellestrekk ved bestemmelsene er at de fastsetter enkelte rettigheter for den enkelte, og enkelte plikter for forvaltningsorganet, forbundet med automatiserte avgjørelser. For det første er det gjennomgående fastsatt at den registrerte har rett til manuell overprøving av avgjørelsen. Bestemmelsene fastsetter ikke nærmere regler om gjennomføringen av den manuelle kontrollen, men i forarbeidene vises det gjerne til at retten til manuell kontroll vil sikres gjennom klagebehandlingen. I forarbeidene til enkelte av bestemmelsene gis det uttrykk for at retten til manuell kontroll også vil gjelde for avgjørelser som ikke er enkeltvedtak, og som det derfor ikke er klageadgang for, jf. for eksempel spesialmerknadene til vareførselsloven § 7-15 i Prop. 237 L (2020–2021) punkt 9.7.
For det andre er det gjennomgående bestemt at behandlingen må sikre «partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger». I forarbeidene til arbeids- og velferdsforvaltningsloven § 4 a heter det at kravet om at behandlingen må sikre partens krav til «forsvarlig saksbehandling» vil være til hinder for automatisering av avgjørelser som er uegnet for automatisering. Videre heter det at det i vurderingen av om en avgjørelse kan helautomatiseres vil «være relevant å se hen til bestemmelsenes utforming, for eksempel hvor objektive og tydelige vilkårene i bestemmelsen er, om nødvendig informasjon kan hentes elektronisk fra pålitelig kilde, og om mer skjønnspregede bestemmelser lar seg operasjonalisere.» Endelig uttales det at det i kravet til «forsvarlig saksbehandling» inngår «at det for den enkelte behandling må være fastsatt egnede tiltak for å verne om den enkeltes rettigheter og friheter. Hvilke tiltak det dreier seg om må være basert på en konkret vurdering av den aktuelle behandlingen», jf. Prop. 135 L (2019–2020) punkt 6.3.3.
Mens de fleste bestemmelsene inneholder generelle krav om at behandlingen må sikre «partens krav til forsvarlig saksbehandling» og være «forenlig med retten til vern av personopplysninger», er det kun enkelte av bestemmelsene som oppstiller mer spesifikke plikter for forvaltningsorganet. Et eksempel er utlendingsforskriften § 17-7c der det er bestemt at Utlendingsdirektoratet skal foreta jevnlige manuelle kontroller av bruken av automatiserte avgjørelser. Lignende føringer fremkommer av forarbeidene til enkelte av bestemmelsene, for eksempel i forarbeidene til vareførselsloven § 7-15 der det heter at «[f]or å sikre at vedtak basert på automatiske avgjørelser har god nok kvalitet, forutsetter departementet at tollmyndighetene jevnlig kontrollerer bruken av automatiserte avgjørelser», jf. spesialmerknadene til § 7-15 i Prop. 237 L (2020–2021) i punkt 9.7. I forarbeidene til enkelte av bestemmelsene gis det også uttrykk for at det kan være aktuelt å fastsette slike tiltak i forskrift, se for eksempel forarbeidene til arbeids- og velferdsforvaltningsloven § 4 a i Prop. 135 L (2019–2020) punkt 5.3.2 der det heter at
«Departementet foreslår en forskriftshjemmel som muliggjør å regulere aktuelle tiltak nærmere i forskrift. Det kan for eksempel være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil. Det kan videre være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.»
For det tredje er det gjennomgående bestemt at en automatisert avgjørelse ikke kan «bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom». Etter forarbeidene til arbeids- og velferdsforvaltningsloven § 4 a innebærer dette et krav om at en manuell behandling ikke ville gitt et annet utfall, jf. Prop. 135 L (2019–2020) punkt 6.3.3 der departementet uttaler:
«Med kravet om at avgjørelsen skal være ‘utvilsom’ for at helautomatisert behandling skal tillates, mener departementet at det konkrete tilfellet som skal avgjøres, ikke kan få et annet utfall. En manuell behandling av saken ville ikke gitt annet utfall. Dersom en avgjørelse består av flere skjønnsmessige vurderinger, må hver enkelt vurdering være utvilsom, for at helautomatisert behandling skal tillates.»
8.1.4 Dokumentasjon av innholdet i automatiserte saksbehandlingssystemer
Etter gjeldende rett finnes det ikke bestemmelser som uttrykkelig pålegger forvaltningsorganet å dokumentere hvordan rettsanvendelsen skjer i automatiserte saksbehandlingssystemer. En slik dokumentasjonsplikt kan imidlertid i en viss utstrekning utledes av bestemmelser i lovgivningen som gir anvisning på eller forutsetter utarbeidelse av dokumentasjon. Et eksempel er personvernforordningen artikkel 13 til 15 som pålegger den behandlingsansvarlige en plikt til å gi informasjon om automatiserte avgjørelser, se den nærmere redegjørelsen i punkt 8.1.2.
I den grad det finnes dokumenter som redegjør for det rettslige innholdet i de automatiserte saksbehandlingssystemene, vil det kunne kreves innsyn i disse etter de alminnelige reglene i offentleglova.
8.1.5 Reguleringen av kunstig intelligens
Kunstig intelligens, også kalt KI, er en samlebetegnelse på teknologi som gir maskiner evnen til å utføre oppgaver som normalt krever menneskelig intelligens, som å lære, resonnere og forstå. Det har de siste årene vært en hurtig utvikling på feltet for kunstig intelligens, og KI-systemer med ulik kraft og effektivitet tas i økende grad i bruk i offentlig forvaltning, også som en del av saksbehandlingen i enkeltsaker. Kunstig intelligens kan blant annet brukes til å automatisere saksbehandlingen, herunder til å treffe automatiserte avgjørelser.
I dag er bruk av kunstig intelligens i saksbehandlingen ikke regulert særskilt i forvaltningsloven. Regelverket i forvaltningsloven er i all hovedsak teknologinøytralt og vil komme til anvendelse også der kunstig intelligens anvendes i saksbehandlingen. På lik linje med annen automatisert saksbehandling innebærer dette at forvaltningen ved bruk av kunstig intelligens i automatisert saksbehandling må følge de generelle kravene til saksbehandlingen som følger av forvaltningslovens regler.
EU vedtok i juni 2024 en egen forordning (EU) 2024/1689 om kunstig intelligens. Forordningen regulerer bruk og utvikling av kunstig intelligens på tvers av sektorer, og gjelder også for forvaltningens bruk av kunstig intelligens. Forordningen vil trinnvis tre i kraft i EU frem til 2027. Den er markert som EØS-relevant, men ikke innlemmet i EØS-avtalen på nåværende tidspunkt.
Etter forordningen stilles det ulike krav til utviklingen og bruken av et KI-system avhengig av hvor stor risiko systemet utgjør. Enkelte KI-systemer anses å ha uakseptabel risiko og er forbudt etter forordningen artikkel 5. Dersom et KI-system som anvendes som en del av forvaltningens saksbehandling, er å anse som «høy risiko» etter forordningen artikkel 6, stiller forordningen en rekke krav til utviklingen og bruken av systemet. Kunstig intelligens med «høy risiko» kan eksempelvis være KI-systemer som brukes av forvaltningen til å vurdere opptak til studier, treffe avgjørelser i ansettelsesforhold og avgjøre enkeltpersoners tilgang til grunnleggende velferdsytelser og -tjenester, jf. forordningen vedlegg III nr. 3 bokstav a, nr. 4 og nr. 5 bokstav a.
Kravene som stilles til utvikling og bruk av slike «høyrisiko-systemer», følger av artikkel 8 til 27 og omfatter blant annet krav til dokumentasjon, loggføring, risikohåndtering, menneskelig tilsyn, konsekvensanalyse knyttet til menneskerettigheter, nøyaktighet, robusthet, og sikkerhet.
Forordningen inneholder også enkelte regler som knytter seg mer direkte til det offentliges bruk av kunstig intelligens, se særlig artikkel 86 som på nærmere vilkår gir en rett til forklaring av avgjørelser som har rettsvirkning for den enkelte der avgjørelsen er truffet ved bruk av kunstig intelligens. Kravene i KI-forordningen vil her supplere de kravene som følger av personvernforordningen.
8.2 Nordisk rett
8.2.1 Innledning
I dette punktet redegjøres det kort for reguleringen av adgangen til å treffe automatiserte avgjørelser i svensk, dansk og finsk forvaltningsrett, med særlig vekt på adgangen til å treffe automatiserte avgjørelser omfattet av personvernforordningen artikkel 22. Redegjørelsen går ikke inn på hvordan andre sider av automatisering av forvaltningens saksbehandling er regulert i det enkelte landet. Etter departementets forståelse er utgangspunktet i svensk, dansk og finsk forvaltningsrett det samme som i norsk rett, det vil si at det er adgang til å automatisere saksbehandlingen så langt dette skjer innenfor de eksisterende rettslige rammene og oppfyller de kravene for saksbehandlingen som ellers gjelder.
8.2.2 Sverige
Den svenske förvaltningslagen og kommunallagen inneholder bestemmelser som gir generelle hjemler til å treffe automatiserte avgjørelser, jf. henholdsvis förvaltningslagen 28 § og kommunallagen 6 kap. 37 §.
Bestemmelsen i förvaltningslagen 28 § ble innført i 2018. Bestemmelsen omtaler ikke uttrykkelig forholdet til personvernforordningen artikkel 22, og forholdet til artikkel 22 er heller ikke omtalt i lovens forarbeider. Förvaltningslagen 28 § er likevel i alminnelighet ansett å utgjøre et generelt unntak fra forbudet mot automatiserte avgjørelser i personvernforordningen artikkel 22, se omtalen i Prop. 2021/22:125 side 34 flg., der det også fremgår at förvaltningslagens alminnelige regler om blant annet rett til innsyn og klage er ansett å oppfylle de rettssikkerhetsgarantiene som artikkel 22 krever.
Adgangen til å treffe automatiserte avgjørelser i kommunallagen fremgår av 6 kap. 37 §, der det er bestemt at
«En nämnd får delegera beslutanderätten till presidiet, ett utskott, en ledamot, en ersättare eller en automatiserad beslutsfunktion i ett visst ärende eller en viss grupp av ärenden. En nämnd får även uppdra åt en anställd att besluta enligt 7 kap. 5-8 §§.»
Hjemmelen i kommunallagen ble innført i 2022 og er utformet som en delegeringsbestemmelse. Hjemmelen var, slik departementet forstår det, nødvendig for å gi kommunale organer en adgang til å treffe automatiserte avgjørelser som de statlige organene har i medhold av förvaltningslagen 28 §.
I kommunallagen 6 kap. 38 § oppstilles det enkelte begrensninger i delegeringsadgangen. Blant annet er det bestemt i 6 kap. 38 § andre ledd at avgjørelsesmyndigheten ikke kan delegeres til en automatisert avgjørelsesfunksjon i saker der avgjørelser påklages for lovlighetskontroll og i saker der avgjørelsen i henhold til lov eller annen forskrift ikke kan påklages. Unntakene er nærmere omtalt i Prop. 2021/22:125 side 36 flg.
8.2.3 Danmark
Den danske forvaltningsloven inneholder ikke bestemmelser som spesifikt regulerer forvaltningens adgang til å treffe automatiserte avgjørelser, men det finnes i sektorlovgivningen spredte bestemmelser om adgangen til å treffe automatiserte avgjørelser.
I en betenkning utgitt av det danske Justitsministeriet i forbindelse med gjennomføringen av personvernforordningen i dansk rett, er det lagt til grunn at når det i personvernforordningen artikkel 22 nr. 2 bokstav b oppstilles et krav om at automatiserte avgjørelser må være tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, innebærer ikke det et krav om en spesifikk nasjonal lovhjemmel om at avgjørelsen kan treffes uten menneskelig behandling. Betenkningen legger til grunn at en avgjørelse derfor kan treffes automatisert så lenge dette for øvrig er i samsvar med nasjonal rett, se Justitsministeriets betænkning nr. 1565 fra 2017, «Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning» side 370 flg.
8.2.4 Finland
Den finske förvaltningslagen inneholder et eget kapittel som spesifikt regulerer automatiserte avgjørelser, jf. förvaltningslagen 8 b kap. om Automatiserat avgörande av ärenden. Kapittelet inneholder tre paragrafer som regulerer forvaltningens adgang til, og de nærmere vilkårene for, å treffe automatiserte avgjørelser, jf. 53 e § til 53 g §. Reglene ble vedtatt og satt i kraft i 2023 og har blant annet som formål å etablere et rettslig grunnlag for automatiserte avgjørelser i tråd med kravene i personvernforordningen artikkel 22, se lovproposisjon RP 145/2022. Reglene gjelder i en viss utstrekning også for automatiserte avgjørelser som forvaltningen treffer overfor juridiske personer.
I förvaltningslagen 53 e § angis de grunnleggende forutsetningene for å treffe automatiserte avgjørelser overfor fysiske og juridiske personer. Det er blant annet bestemt at en avgjørelse ikke kan automatiseres når avgjørelsen, eller deler av avgjørelsen, beror på en konkret vurdering («omständigheter som förutsätter prövning från fall till fall»). I slike tilfeller må avgjørelsen, eller den del av gjørelsen som forutsetter en konkret vurdering, underlegges menneskelig behandling. At det bare er avgjørelser som ikke forutsetter en konkret vurdering som etter loven kan automatiseres, innebærer imidlertid ikke et forbud mot å automatisere skjønnsmessige vilkår. Om dette fremgår følgende av lovens forarbeider:
«Också i ärenden där den lagstiftning som ligger till grund för besluten ger mycket rum för tolkning […] kan det gå att identifiera typfall där myndigheten […] i någon ärendegrupp har en etablerad avgörandepraxis, enligt vilken ärenden med vissa drag alltid avgörs på samma sätt. Ett typfall kan också grunda sig på granskning av gränsvärden t.ex. så att inkomster som överstiger ett visst eurobelopp i vissa situationer alltid anses uppfylla det kriterium som lagen kräver.»
Förvaltningslagen 53 f § fastslår at en fysisk person som er gjenstand for en automatisert avgjørelse skal ha rett til å begjære «omprövning» av avgjørelsen i tråd med reglene i 7 a kap. eller tilgang til et sammenlignbart rettsmiddel. Av bestemmelsen i 53 g § følger det at det skal fremgå av forvaltningens vedtak om saken har blitt avgjort ved automatisert behandling. Hvis det ikke fattes noe vedtak som parten får melding om etter andre regler, følger det videre av bestemmelsen at informasjon om den automatiserte avgjørelsen og hvilke opplysninger den bygger på skal meddeles parten på annen måte.
Bestemmelsene i förvaltningslagen suppleres av lag om informationshantering inom den offentliga förvaltningen som inneholder et eget kapittel om automatiske avgjørelser. Lovens kapittel 6 a om införande och användning av automatiserade beslutsföfaranden inneholder blant annet dokumentasjonsforpliktelser, krav til kvalitetssikring, kvalitetskontroll og håndtering av feil, regler om beslutning om å innføre automatiserte avgjørelser og plikt til å informere om at forvaltningsorganet benytter automatiserte avgjørelser.
8.3 Utvalgets forslag
8.3.1 Automatiserte avgjørelser
Forvaltningslovutvalget foreslår en bestemmelse som gir forvaltningsorganer adgang til å treffe automatiserte avgjørelser omfattet av personvernforordningen artikkel 22, men er delt i et flertall og et mindretall når det gjelder hvor vid hjemmelen skal være, se utredningen punkt 18.3.3.3.
Utvalgets flertall, lederen Backer og medlemmene Abeler, Fimreite, Halvorsen, Innjord og Selle, foreslår en hjemmel for forvaltningsorganer til å treffe automatiserte avgjørelser som er lite inngripende. I tillegg foreslår flertallet at det kan gis forskrift om adgangen til å treffe (mer enn lite inngripende) automatiserte avgjørelser på bestemte saksområder. Flertallets forslag er utformet på følgende måte:
«Kongen kan gi forskrift om at forvaltningsorganet på bestemte sakområder kan treffe avgjørelser ved helautomatisert saksbehandling. Avgjørelser som er lite inngripende overfor den enkelte, kan treffes ved helautomatisert behandling uten hjemmel i forskrift.»
Et mindretall, medlemmene Fagernæs, Hæreid, Kjørholt og Sollie, foreslår en generell hjemmel for forvaltningsorganer til å treffe automatiserte avgjørelser. Mindretallets forslag lyder:
«Forvaltningsorganet kan treffe helautomatiserte avgjørelser hvor personopplysninger inngår, når behandlingen er nødvendig for å utøve offentlig myndighet eller utføre lovfestede oppgaver. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.»
Utvalgets flertall viser til at hvor presis en hjemmel for automatiserte avgjørelser må være for å oppfylle kravene i personvernforordningen, trolig vil ha sammenheng med hvor inngripende den automatiserte behandlingen er. Videre viser flertallet til at å hjemle avgjørelsene i forskrift vil kunne gi større åpenhet om innføringen av helautomatisert saksbehandling og om systemets rettslige innhold.
Etter mindretallets oppfatning er en generell hjemmel for å treffe automatiserte avgjørelser tilstrekkelig til å oppfylle personvernforordningens krav.
Når det gjelder kravene i artikkel 22 nr. 2 bokstav b om egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, legger utvalget til grunn at de generelle reglene om kontradiksjon, begrunnelse og klageadgang trolig er tilstrekkelige for å ivareta forordningens krav. Mindretallet foreslår likevel å innta i hjemmelen en pedagogisk henvisning til at grunnleggende krav til forsvarlig saksbehandling må være oppfylt.
8.3.2 Dokumentasjon av automatiserte saksbehandlingssystemer
Utvalget foreslår i utredningen punkt 18.3.3.5 at forvaltningsorganet skal ha en plikt til å dokumentere det rettslige innholdet i automatiserte saksbehandlingssystemer.
Utvalget gir ingen definisjon av hva som skal anses å utgjøre «det rettslige innholdet» som forvaltningsorganet plikter å dokumentere. Det fremgår av utvalgets omtale av forslaget at dokumentasjonen skal være egnet til å gjengi og forklare systemets funksjoner og egenskaper som er rettslig relevante. I punkt 18.3.3.5 skriver utvalget følgende om dokumentasjonens innhold:
«Den skal vise til reglene som de ulike delene av pseudokoden er basert på. Den skal også gjøre rede for begrepsdefinisjonene som den automatiserte innhentingen av saksopplysninger er basert på, samt andre vesentlige fortolkningsspørsmål som er nedfelt i systemet. Dokumentasjonen bør være spesielt grundig når det gjelder beskrivelse av hvordan tolkningstvil er løst i systemet, hvordan skjønn eventuelt håndteres, og eventuelt hvordan eksisterende rettsregler er supplert i systemet.»
Det fremgår videre at dokumentasjonsplikten skal gjelde både for hel- og delautomatiserte beslutningssystemer, så lenge systemet inneholder representasjoner av rettsregler.
Utvalgets forslag sier ikke noe uttrykkelig om hvilken form dokumentasjonen skal ha. I merknadene til bestemmelsen skriver utvalget at utarbeiding av dokumentasjonen «kan ta utgangspunkt i en rettslig kravspesifikasjon for systemet, som ofte vil bli laget i forbindelse med systemutviklingen», se merknadene til § 12 i utredningens punkt 37 på side 573. Utvalget skriver at denne rettslige kravspesifikasjonen ofte vil være i form av «pseudokode», det vil si en uformell beskrivelse av et program eller en algoritme. Pseudokoden bør etter utvalgets oppfatning «suppleres av forklaring i naturlig språk på punkter der det er nødvendig for å legge til rette for kontroll eller god oppfyllelse av saksbehandlingsregler som forutsetter kunnskap om systeminnretningen».
Utvalget skriver videre at en «bekreftelse» av at systemet er realisert i samsvar med hvert punkt i spesifikasjonen, vil utgjøre «dokumentasjonen» av det rettslige innholdet.
Utvalget foreslår at det skal gjelde unntak fra plikten til å offentliggjøre dokumentasjonen av det rettslige innholdet dersom det følger av lov eller særlige hensyn taler mot offentliggjøring. Utvalget skriver at unntak for eksempel kan være aktuelt der dokumentasjonen inneholder forretningshemmeligheter som er underlagt taushetsplikt, eller der offentliggjøring av dokumentasjonen vil kunne svekke systemets effektivitet ved å gjøre det sårbart for angrep eller manipulering. Utvalget nevner tilfeller der offentliggjøring av dokumentasjonen vil muliggjøre at personer kan tilpasse seg systemet, for eksempel for å unngå å bli utsatt for kontroller, se utredningen punkt 18.3.3.6. Etter utvalgets forslag skal Kongen kunne gi forskrift om offentliggjøring.
Utvalget foreslår også at Kongen skal kunne gi forskrift om «krav til systemer». Utvalget skriver at forslaget viderefører deler av forskriftshjemmelen i den gjeldende forvaltningsloven § 15 a tredje ledd, se utredningen punkt 18.3.5.
8.4 Høringsinstansenes syn
8.4.1 Automatiserte avgjørelser
En rekke høringsinstanser uttaler seg om utvalgets forslag til en hjemmel for å treffe automatiserte avgjørelser. Høringsinstansene er generelt positive til utvalgets forslag om å innta en hjemmel om automatiserte avgjørelser i forvaltningsloven, men verken flertallets eller mindretallets forslag får entydig støtte blant høringsinstansene. Høringsinstansene har også en rekke innspill til det nærmere innholdet i flertallets og mindretallets forslag.
Blant høringsinstansene som støtter flertallets forslag, er Advokatforeningen, Akademikerne og Juristforbudet. Høringsinstansene som støtter flertallets forslag, begrunner dette særlig i rettssikkerhets- og demokratihensyn. Flere av høringsinstansene viser til at fastsettelse av spesifikke hjemler i forskrift vil kunne fremme demokratisk diskusjon rundt en form for saksbehandling som potensielt kan være inngripende i borgernes rettigheter, friheter og interesser. Juristforbundet skriver:
«Kravet om forskriftshjemmel innebærer at det må gjennomføres en høring før helautomatisering av saksbehandlingen kan skje, noe som vil føre til åpenhet og en diskusjon om innføringen av helautomatisert saksbehandling og om systemets rettslige innhold, samt sikre en statlig forhåndskontroll. Juristforbundet mener at dette vil sikre rettssikkerheten i større grad enn mindretallets forslag.»
Når det gjelder det nærmere innholdet i flertallets forslag, fremhever flere høringsinstanser at vilkåret om «lite inngripende» avgjørelser er vagt. Datatilsynet påpeker i denne forbindelse at grunnlaget for å gjøre unntak fra hovedregelen i artikkel 22 nr. 1 for mindre inngripende avgjørelser vil basere seg på formuleringen om at inngripende avgjørelser må hjemles i forskrift, noe som er lite presist. Datatilsynet fremholder:
«Det gjøres ikke rede for hvor dette skillet går og det er en svakhet ved forslaget. Når dette ikke er klart formulert, så kan det argumenteres med at lovgrunnlaget ikke er tilstrekkelig klart nok for å gjøre unntak fra rettighetene, som må ivaretas uansett hvor inngripende avgjørelsen er.»
JF-P Tech Forum mener at flertallets sondring mellom inngripende og lite inngripende avgjørelser er uhensiktsmessig:
«Ved å trekke et [slikt] skille […], mener vi at flertallets forslag skifter fokus fra fremgangsmåte til resultat av avgjørelsen, noe som ikke er forordningens hensikt. […] Poenget er derimot at risiko for personvernet er risiko for diskriminering, forskjellsbehandling, mangel på forutsigbarhet og transparens eller mangel på mulighet for etterprøvbarhet for den enkelte.»
NAV mener også at det er andre kriterier enn hvor inngripende avgjørelsen er som bør avgjøre forvaltningens adgang til å treffe helautomatiserte avgjørelser, og uttaler i den forbindelse:
«Enhver helautomatisert saksbehandling bør hvile på vurderinger av om saksbehandlingen er forsvarlig (blant annet med hensyn til veiledning, kontradiksjon, forklarbarhet, åpenhet, rett til manuell inngripen og klage – som i stort dekkes av saksbehandlingsreglene i forvaltningsloven), om det underliggende materielle regelverket er automatiserbart, samt om kravene og prinsippene etter personvernforordningen ivaretas i tilstrekkelig grad.
Hvorvidt det underliggende materielle regelverket er automatiserbart kan for eksempel avhenge av regelverkets kompleksitet, forvaltningens mulighet for å innhente nødvendige opplysninger maskinelt, opplysningers kvalitet og graden av skjønnsmessige vurderinger. Arbeids- og velferdsdirektoratet påpeker likevel at skjønn som er underlagt klare rammer kan være egnet for automatisering. For eksempel ved at en stor andel saker innenfor et saksområde kan behandles automatisk, og at den resterende andelen saker som må vurderes helt konkret, tas ut til manuell behandling. Skjønnsmessige vurderinger behøver derfor ikke innebære et hinder for automatisering. Det avgjørende er at skjønnet kan utøves i tråd med loven, at forvaltningen har kontroll med regeletterlevelsen i de automatiserte prosessene og at disse kan forklares, dokumenteres og overprøves.»
Enkelte høringsinstanser kritiserer flertallets forslag for å ikke nedfelle «egnede tiltak» som påkrevd etter artikkel 22 nr. 2 bokstav b. Juristforbundet trekker frem at ordlyden i personvernforordningen artikkel 22 tilsier at det bør «vurderes om de særskilte garantier som skal verne den registrertes rettigheter, bør fremgå direkte av hjemmelsbestemmelsen».
Datatilsynet gir uttrykk for at de generelle saksbehandlingsreglene ikke er tilstrekkelige for å oppfylle pliktene etter personvernforordningen. Datatilsynet skriver:
«Prosessuelle rettigheter overfor forvaltningen må anses som minimumsgarantier, og det må derfor måtte kreves andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling anses å medføre.»
Blant høringsinstansene som støtter mindretallets forslag, er Finansdepartementet, Skate, Skattedirektoratet, Statens pensjonskasse og JF-P Tech Forum. Disse høringsinstansene fremhever særlig effektivitetshensyn, og mener at en generell lovhjemmel i større grad vil fremme digitaliseringsarbeidet i forvaltningen. Statens pensjonskasse skriver:
«For [å] sikre opprettholdelse av effektiviteten, er det viktig at man løpende kan gjennomføre påkrevde endringer som er i samsvar med gjeldende rett, i stedet for å måtte gå veien om forskrifter og forskriftsendringer».
Fylkesmannen i Vestland begrunner sin støtte til mindretallet på følgende måte:
«Vi har det prinsipielle synet at lovverket bør gjere det så enkelt som råd for forvaltninga å innføre heilautomatisk sakshandsaming, og at ein generell heimel i forvaltningslova i utgangspunktet er mest tenleg. Vår erfaring er at det motverkar digitaliseringsarbeidet dersom forvaltningsorgan må gå vegen om lovendring eller forskriftsendring for å få til heilautomatisk sakshandsaming, i og med at dette både fører med seg meir ressursbruk og i verste fall opp til eit par års forseinking.»
Mindretallets forslag kritiseres for ikke å tilfredsstille kravene i artikkel 22 nr. 2 bokstav b om innføringen av egnede og særlige tiltak. Datatilsynet påpeker at mindretallets forslag om at behandlingen må skje i samsvar med kravene til forsvarlig forvaltning og retten til personopplysningsvern, ikke er tilstrekkelig. Datatilsynet skriver:
«Dette er en form for sirkelargumentasjon hvor mindretallets forslag til ny forvaltningslov § 11 peker tilbake på forvaltningsloven, og indirekte på personvernforordningen og de krav som følger av den. I og med at art. 22 nr. 2 krever at det skal fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, vil da forvaltningslovens tiltak være å henvise til personvernforordningen.»
8.4.2 Dokumentasjon av innholdet i automatiserte saksbehandlingssystemer
Høringsinstansene som uttaler seg om utvalgets forslag, er gjennomgående positive til innføring av en dokumentasjons- og offentliggjøringsplikt, men har en rekke merknader til det nærmere innholdet i forslaget.
Blant høringsinstansene som uttrykker støtte til forslaget er Forsvarsdepartementet, Kriminalomsorgsdirektoratet, Landbruksdirektoratet, NVE, NTNU, Oslo kommune, Norsk Presseforbund og Advokatforeningen.
NAV støtter også isolert sett utvalgets forslag, men kritiserer samtidig forslaget for å utgjøre en utilstrekkelig regulering av digitaliseringen av offentlig forvaltning. NAV uttaler:
«Forvaltningslovutvalgets forslag til å dokumentere det rettslige innholdet i automatiserte saksbehandlingssystemer synes […] lite konkret, og gir etter vår oppfatning ikke et tilstrekkelig rettslig grunnlag for å regulere forsvarlig digitalisering av offentlig forvaltning. Vi savner konkrete forslag til bestemmelser for å regulere den digitale utviklingsprosessen for å sikre at systemene treffer riktige avgjørelser, men også for at det i ettertid skal være mulig å føre tilsyn og kontroll med forvaltningens automatiserte systemer.»
Akademikerne gir også uttrykk for synspunkter i samme retning og skriver at det
«ikke er tilstrekkelig bare å dokumentere det rettslige innholdet i automatiserte saksbehandlingssystemer. Det er helt nødvendig at også de tekniske løsningene kan dokumenteres.»
Også Lånekassen stiller spørsmål ved om det er behov for å ha en bestemmelse i forvaltningsloven som er avgrenset til det rettslige innholdet, når dette kun er en del av en helhet.
Flere høringsinstanser, herunder NAV, UDI og NOKUT, gir uttrykk for at det er uklart hva som nærmere ligger i «det rettslige innholdet». Lånekassen gir uttrykk for at utvalgets uttalelser om hva som utgjør det rettslige innholdet i tilknytning til henholdsvis dokumentasjons- og offentliggjøringsplikten ikke synes å være konsistente. Lånekassen viser til at utvalget i tilknytning til plikten om offentliggjøring uttaler at offentliggjøring av det rettslige innholdet vil ha likhetstrekk med offentliggjøring av instrukser og skriver at utvalgets omtale på dette punktet innholdsmessig er noe ganske annet enn det som er omtalt som «det rettslige innholdet» under dokumentasjonskravet i første punktum.
Plikten til å dokumentere det rettslige innholdet skal etter utvalgets forslag gjelde for «automatiserte saksbehandlingssystemer». Enkelte høringsinstanser gir uttrykk for at bestemmelsen på dette punktet har et uklart virkeområde. Lånekassen skriver at det er uklart om bestemmelsen avgrenser mot systemer som ikke tar beslutninger, men som inneholder representasjon av rettsregler og stiller i forlengelsen av det følgende spørsmål:
«Vil for eksempel den innloggende selvbetjeningsløsningen til Lånekassen (Dine sider), som inneholder informasjon til kunden om kundeforholdet omfattes eller falle utenfor? Løsningen bygger på en tolkning (beslutning) av flere sett med regler for å tilfredsstille krav til forsvarlig saksbehandling, personvern og kvaliteten på dokumentasjonen som skal være grunnlaget for den maskinelle saksbehandlingen etter utdanningsstøtteloven med forskrifter. Lånekassen ber departementet klargjøre grensedragningen mot systemer som ikke tar beslutninger.»
Flere av høringsinstansene har innspill til forslaget om offentliggjøring av dokumentasjonen, herunder til formatet på dokumentasjonen. KS fremhever at det ikke eksisterer standarder for hvordan regelverksanvendelsen skal dokumenteres, og at dette er utfordrende i møte med kravet om å offentliggjøre systemdokumentasjon. KS viser også til at utvalgets forslag vil være utfordrende å imøtekomme for eksisterende systemer og at det derfor bør vurderes om kravet kun bør gjelde for nye systemer. Om utvalgets anbefalinger om å offentliggjøre dokumentasjonen i naturlig språk, skriver Lånekassen:
«Dersom pseudokoden skal forklares i naturlig språk, er dette et stort merarbeid som anses som lite hensiktsmessig bruk av offentlige ressurser. Dersom det er feil ved en sak, vil det ofte forutsette mer kunnskap om systemet enn om regeldokumentasjon, og det vil derfor ikke ha noen egenverdi å forklare pseudokoden i naturlig språk. Lånekassen mener derfor at utvalget undervurderer omfanget av ressursbruk for en slik oppgave, uten at det nødvendigvis vil gi bedre rettsikkerhet eller annen nytte for internt ansatte, kundene eller andre.»
Lånekassen har videre liten tro på at dokumentasjonen, også om den omskrives til naturlig språk, vil være brukervennlig eller tilstrekkelig for den enkelte eller allmenneheten til å føre kontroll med forvaltningen. Lånekassen viser til at kunder som ønsker å kontrollere saksbehandlingen har rett til fullt innsyn i egen sak, jf. personvernforordningen artikkel 15 og reglene om partsinnsyn i forvaltningsretten, mens andre vil ha rett på innsyn i den rettslige kravspesifikasjonen gjennom innsynskrav. Lånekassen skriver videre:
«Omfanget og kompleksiteten i den rettslige kravspesifikasjonen, som er grunnlaget for den maskinelle saksbehandlingen, tilsier at dette ikke er egnet å bruke for kontroll for utenforstående.
Lånekassen mener at et publiseringskrav ikke står i forhold til kost/nytte, og ber om at regelen fjernes i endelig forslag til ny forvaltningslov.»
Selv om Datatilsynet støtter forslaget og anser det som helt nødvendig for å kunne ivareta borgernes rettssikkerhet, uttaler tilsynet at det vil være en stor utfordring å gjøre det rettslige innholdet i denne type systemer tilgjengelig på en måte som gjør at borgere kan nyttiggjøre seg det. Også Kartverket uttrykker bekymring for at dokumentasjonen kan bli for komplisert:
«En beskrivelse av det rettslige innholdet som ligger bak et system, og hvordan dette er ivaretatt ved programmeringen, vil i mindre grad gi innsenderne økt mulighet til å ivareta sine interesser i saken utover det som allerede skal følge av begrunnelsen for vedtaket. Dette fordi beskrivelsene ofte vil ende opp med å bli kompliserte og vanskelige å forstå fullt ut, selv om man holder rent programmeringsspråk og terminologi utenfor, og forsøker å gjøre informasjonen lett tilgjengelig.»
Enkelte høringsinstanser, blant annet Landbruksdirektoratet, NOKUT og Advokatforeningen, bemerker at utvalget ikke drøfter hvilke konsekvenser brudd på pliktene skal ha. Advokatforeningen skriver:
«En mulig innfallsvinkel er at dokumentasjonskravet er en forutsetning for at den helautomatiserte saksbehandlingen skal være tillatt, enten etter hjemmelen i § 11 (1) andre setning eller forskrift gitt med hjemmel i § 11 (1) første setning. Alternativet er å anse dette som en slags ordensforskrift, som er uten betydning for gyldigheten av saksbehandlingssystemet. Mangelfull dokumentasjon må i så fall bedømmes som ‘andre feil’ etter forslaget § 74 (2), og som kan føre til at vedtak truffet etter en helautomatisert saksbehandling blir ugyldig dersom det kan ha påvirket vedtakets innhold.»
Enkelte høringsinstanser påpeker også at dokumentasjonsplikten kan utløse et samordningsbehov. Landbruksdirektoratet viser til at det i utredningen ikke er sagt noe om hvem som skal vurdere om det som eventuelt blir offentliggjort er god nok dokumentasjon. Kommunal- og moderniseringsdepartementet skriver i den forbindelse:
«Erfaringene KMD har høstet med digitalisering av planprosessene og automatisering av byggesaksbehandling på bakgrunn av digitale arealplaner, tilsier at det er behov for å ha et eget organ som skal tilse at det foreligger tilstrekkelig dokumentasjon av det rettslige innholdet i hel- eller delautomatiserte beslutningssystemer. Et slikt organ bør utarbeide dokumentasjonen i samarbeid med myndigheten som har det overordnede ansvar for det aktuelle regelverket. Etter KMDs oppfatning kan en slik oppgave legges til Digitaliseringsdirektoratet.»
Kun et fåtall høringsinstanser kommenterer utvalgets forslag til unntak fra plikten til offentliggjøring. Politidirektoratet støtter forslaget og skriver at det er viktig at bestemmelsen tar hensyn til at offentliggjøring av dokumentasjon kan gjøre systemer mer sårbare for angrep og manipulering. Kripos skriver at behovet for unntak vil kunne aktualisere seg for langt flere tilfeller enn det utvalgets synes å legge til grunn og viser til at dokumentasjonen ikke må kunne gi den enkelte mulighet til å dedusere seg frem til om vedkommende er registrert i de sentrale politiregistrene, i tilfeller der det aktuelle systemet benytter opplysninger fra disse registrene.
Oslo kommune gir på sin side uttrykk for at adgangen til å gjøre unntak fra plikten til offentliggjøring synes å kunne blir for vidtrekkende, og skriver følgende:
«Utvalget legger opp til at det kan gjøres unntak fra offentliggjøringen dersom dette tilsies av ‘særlige hensyn’. I kommentarene til bestemmelsen vises det til ‘sikkerhetshensyn’. Det er for kommunen vanskelig å se hvordan sikkerhetshensyn kan tilsi at det som i realiteten er instrukser om rettsanvendelsen skal kunne unntas offentliggjøring. I utvalgets redegjørelse på s. 266 er det vist til risikoen for tilpasninger. Denne vil imidlertid være tilstede overfor enhver regel og kan vanskelig begrunne innskrenkninger i offentligheten.
Etter kommunens oppfatning bør unntaket begrunnet i særlige hensyn utredes nærmere, og da særlig i lys av at interne instrukser normalt er offentlige dokumenter etter offentleglovas regler.»
8.5 Departementets vurderinger
8.5.1 Generelt om forvaltningens adgang til å automatisere saksbehandlingen
Etter departementets vurdering bør forvaltningsloven reflektere at en betydelig del av forvaltningens saksbehandling er automatisert, at graden av automatisering må antas å øke i tiden fremover, og at automatisering som utgangspunkt er en ønsket utvikling.
Departementet foreslår at det i forvaltningsloven gis en bestemmelse som fastslår at forvaltningsorganer kan automatisere saksbehandlingen, herunder treffe automatiserte avgjørelser. Bestemmelsen er ment å gi uttrykk for gjeldende rett og innebærer ikke en utvidelse av adgangen til å automatisere saksbehandlingen. Etter departementets syn er det likevel av pedagogisk verdi at det rettslige utgangspunktet om forvaltningens adgang til å automatisere saksbehandlingen, herunder treffe automatiserte avgjørelser, kommer tydelig til uttrykk i loven.
Etter departementets vurdering bør også de grunnleggende rettslige rammene for automatisering komme til uttrykk i en generell bestemmelse om forvaltningens adgang til å automatisere saksbehandlingen. En forutsetning for at forvaltningsorganer kan automatisere saksbehandlingen, er at det kan skje innenfor de rammene lovgivningen ellers oppstiller. Som nærmere omtalt i punkt 8.1.1 vil både forvaltningsloven og lovgivningen ellers på forskjellige måter sette rammer for, stille krav til, begrense eller på andre måter innvirke på forvaltningsorganets adgang og muligheter til å automatisere saksbehandlingen. Selv om det etter departementets syn må anses klart at automatisering av saksbehandlingen ikke gir grunnlag for å fravike kravene til saksbehandlingen som ellers gjelder, har det en pedagogisk verdi å fremheve dette uttrykkelig.
I tillegg mener departementet at det bør fremgå uttrykkelig av forvaltningsloven at en avgjørelse ikke kan treffes automatisert hvis det rettslige grunnlaget for avgjørelsen er til hinder for det. Dette vil være tilfellet dersom loven eller forskriften som hjemler avgjørelsen, selv uttrykkelig foreskriver eller forutsetter at den aktuelle avgjørelsen bare skal kunne treffes etter en konkret menneskelig, faglig vurdering. En avgjørelse etter en lov- eller forskriftsbestemmelse vil heller ikke kunne automatiseres dersom bestemmelsen gir anvisning på en skjønnsmessig vurdering som ikke lar seg automatisere på en måte som er i samsvar med rettskildene.
Et spørsmål departementet har vurdert i denne sammenheng, er om det, i tillegg til det som er nevnt foran, bør inntas en særskilt regulering i forvaltningsloven av adgangen til å automatisere skjønnsmessige vurderinger. De fleste særlovene som gir hjemmel til å treffe automatiserte avgjørelser, åpner bare for å automatisere skjønnsmessige vilkår hvis «avgjørelsen er utvilsom», se nærmere omtale i punkt 8.1.3.
En slik formulering kan tilsynelatende være enklere å forstå og forholde seg til enn en formulering om at det rettslige grunnlaget ikke må være til hinder for automatiseringen. Departementet mener imidlertid at et krav om at avgjørelsen må være «utvilsom» også vil kunne skape uklarhet. Hvorvidt et skjønnsmessig vilkår eller en annen skjønnsmessig vurdering som inngår i en avgjørelse, kan automatiseres, er etter departementets syn i utgangspunktet et spørsmål om skjønnet, dersom det automatiseres, kan utøves på en måte som er i tråd med loven og rettskildene for øvrig. Dette beror i prinsippet på en tolkning av den enkelte bestemmelsen som ligger til grunn for avgjørelsen og rettskildene for øvrig. I praksis vil dette ofte kunne lede til at bare visse skjønnsmessige vilkår kan automatiseres, eller at bare deler av en skjønnsmessig vurdering kan automatiseres. Departementet viser i denne forbindelse til det NAV skriver i sin høringsuttalelse om at skjønn som er underlagt klare rammer, kan være egnet for automatisering, og at det i slike tilfeller kan tenkes at en stor del av sakene innenfor et saksområde kan behandles automatisk, og at den resterende andelen av saker som må vurderes helt konkret, tas ut til manuell behandling.
Et annet spørsmål er om det i forvaltningsloven bør gis bestemmelser som regulerer bruk av kunstig intelligens eller andre former for teknologi ved automatisert saksbehandling. Departementet viser til at Forvaltningslovutvalget i liten grad utredet forvaltningens bruk av kunstig intelligens, og utvalget bemerket at bruk av kunstig intelligens ennå ikke var vanlig i forvaltningens saksbehandlingssystemer, se NOU 2019: 5 punkt 18.3.3.9. Selv om bruk av kunstig intelligens var mindre vanlig på tidspunktet for utvalgets utredning enn det er nå, viste en rekke høringsinstanser til at det gjør seg gjeldende særskilte utfordringer ved bruk av kunstig intelligens i forvaltningens saksbehandling. Høringsinstansene pekte blant annet på utfordringer knyttet til risiko for diskriminering og til manglende etterprøvbarhet og forklarbarhet ved bruk av visse former for kunstig intelligens. Det samme er påpekt av en rekke høringsinstanser blant annet i forbindelse med lovforberedelsen av hjemlene i særlovgivningen som er gjennomgått i punkt 8.1.3, og i høringen av Personvernkommisjonens utredning NOU 2022: 11 Ditt personvern – vårt felles ansvar.
Departementet har ved utformingen av reglene i lovforslaget, herunder reglene om automatisert saksbehandling og automatiserte avgjørelser, tatt utgangspunkt i at reglene bør utformes teknologinøytralt, og at forvaltningsloven ikke bør forby eller utelukke anvendelsen av bestemte teknologier. Den teknologinøytrale utformingen innebærer imidlertid at hvilken teknologi som kan benyttes, og hvordan den kan benyttes, vil avhenge av om forvaltningslovens saksbehandlingsregler og reglene i lovverket for øvrig kan følges. Dersom egenskaper ved teknologien eller måten teknologien benyttes på gjør at saksbehandlingsreglene ikke er mulig å oppfylle, for eksempel fordi den aktuelle teknologien ikke gjør det mulig å gi en tilstrekkelig forklaring av eller begrunnelse for en avgjørelse, og det ikke er grunnlag i regelverket for å gjøre unntak, kan teknologien ikke anvendes på den aktuelle måten.
Departementet vil i denne sammenhengen også bemerke at bruk av kunstig intelligens må ivareta kravene i EUs forordning (EU) 2024/1689 om kunstig intelligens, forutsatt at denne innlemmes i EØS-avtalen og gjennomføres i norsk rett. Forordningen ble vedtatt i juni 2024 og vil trinnvis tre i kraft i EU frem til 2027. En nærmere vurdering av forpliktelsene etter forordningen vil inngå i arbeidet med gjennomføring i norsk rett. Departementet vil likevel påpeke at dersom et forvaltningsorgan som ledd i automatisert saksbehandling tar i bruk kunstig intelligens på en slik måte at systemet klassifiseres som «høy risiko» etter forordningen artikkel 6, vil det stilles ytterligere krav til utviklingen og bruken av systemet enn det som foreslås i denne proposisjonen. Kunstig intelligens med «høy risiko» kan eksempelvis være KI-systemer som brukes av forvaltningen til å vurdere opptak til studier, til å treffe avgjørelser i ansettelsesforhold og til å avgjøre enkeltpersoners tilgang til grunnleggende velferdsytelser og -tjenester, jf. forordningen vedlegg III nr. 3 bokstav a, nr. 4 og nr. 5 bokstav a. Kravene som stilles til slike «høyrisiko-systemer», følger av artikkel 8 til 27 og omfatter blant annet krav til dokumentasjon, loggføring, risikohåndtering, menneskelig tilsyn, konsekvensanalyse knyttet til menneskerettigheter, nøyaktighet, robusthet og sikkerhet.
Flere høringsinstanser har vist til at det er et behov for å regulere forvaltningens bruk av automatiserte saksbehandlingssystemer mer generelt, også utover de særskilte reguleringsbehovene som kan gjøre seg gjeldende ved bruk av bestemte former for teknologier som kunstig intelligens. Utvalgets forslag om en plikt til å dokumentere det rettslige innholdet i automatiserte beslutningssystemer er etter departementets syn viktig for å legge til rette for kontroll med forvaltningens bruk av automatisert saksbehandling. Departementet foreslår å følge opp dette forslaget, se den nærmere omtalen i punkt 8.5.4. Etter departementets vurdering kan det også være behov for ytterligere regler om forvaltningens bruk av automatiserte avgjørelser og om utviklingen av, innholdet i og bruken av automatiserte saksbehandlingssystemer. Dette er imidlertid regler som må utredes og høres. Forvaltningslovutvalgets utredning gir etter departementets syn ikke et tilstrekkelig grunnlag for å foreslå slike regler i proposisjonen her. Disse reglene er også av en slik karakter at det kan være naturlig at de gis i forskrift. Departementet foreslår på denne bakgrunnen en hjemmel for Kongen til å gi forskrift om automatiserte avgjørelser og om utvikling og bruk av systemer til automatisert saksbehandling, og om innholdet i slike systemer.
Se lovforslaget § 11 første, andre og fjerde ledd og merknadene til bestemmelsene i punkt 30.
8.5.2 Adgangen til å treffe automatiserte avgjørelser som omfattes av personvernforordningen artikkel 22
Departementet har vurdert om det i forvaltningsloven bør gis en hjemmel for forvaltningen til å treffe automatiserte avgjørelser som omfattes av personvernforordningen artikkel 22, det vil si avgjørelser som er basert på automatisert behandling og har rettsvirkning for eller i betydelig grad påvirker en person. Slike avgjørelser er i utgangspunktet forbudt, jf. omtalen av gjeldende rett i punkt 8.1.2.
Om dette spørsmålet var utvalget delt i et flertall og et mindretall, se den nærmere redegjørelsen for utvalgets forslag i punkt 8.3.1. Høringsinstansene var også delt i synet på om det bør gis en slik hjemmel i forvaltningsloven og hvilken utstrekning den i så fall bør ha. Departementet foreslår å gi en hjemmel til å gi forskrifter om adgangen til å treffe automatiserte avgjørelser omfattet av personvernforordningen artikkel 22 på nærmere bestemte saksområder. Forslaget er en delvis oppfølging av forslaget til utvalgets flertall, som også foreslo en forskriftshjemmel. Departementet følger imidlertid ikke opp flertallets forslag om en selvstendig hjemmel i forvaltningsloven for å treffe automatiserte avgjørelser som er lite inngripende for den enkelte.
Departementet har ved vurderingen lagt vekt på at behovet for en selvstendig hjemmel i forvaltningsloven for å treffe avgjørelser som omfattes av personvernforordningen artikkel 22, synes å være mindre i dag enn da Forvaltningslovutvalget avga sin utredning i 2019. Departementet viser til at det i tiden etter utredningen har blitt gitt en rekke lov- og forskriftsbestemmelser som inneholder hjemler for å treffe slike avgjørelser, se redegjørelsen i punkt 8.1.3. Departementet har også lagt vekt på, slik en rekke høringsinstanser har påpekt, at en forskriftshjemmel vil sikre at nye hjemler for automatiserte avgjørelser omfattet av personvernforordningen artikkel 22 vil bli utredet og hørt. Dermed ivaretas demokratiske hensyn til involvering og forankring.
Departementet viser videre til at det er uklarheter og usikkerheter ved både flertallet og mindretallets forslag til selvstendige hjemler. Flertallets forslag om en selvstendig hjemmel for å treffe automatiserte avgjørelser som er «lite inngripende» vil, som flere høringsinstanser også har påpekt, kunne innby til tvil i det enkelte tilfellet om hjemmelen kan benyttes. Mindretallets forslag om en generell, selvstendig hjemmel vil på sin side etter ordlyden gi hjemmel for alle typer automatiserte avgjørelser, uavhengig av hvor inngripende avgjørelsen er. Departementet viser til at enkelte former for automatiserte avgjørelser kan være særskilt inngripende, og det kan være tvilsomt om en helt generell hjemmel for disse avgjørelsene vil utgjøre et tilstrekkelig rettslig grunnlag etter forordningen. Hvor inngripende den automatiserte avgjørelsen er, vil også kunne være styrende for hvilke supplerende rettssikkerhetstiltak som må settes i verk, og som må fastsettes direkte i lov eller forskrift for å oppfylle kravene i personvernforordningen, jf. redegjørelsen for gjeldende rett i punkt 8.1.2. Selv med en selvstendig, generell hjemmel ville det derfor kunne oppstå behov for å gi supplerende saksbehandlingsregler og rettssikkerhetsgarantier på det enkelte området.
Departementets forslag om en hjemmel for forskrifter om automatiserte avgjørelser omfattet av personvernforordningen artikkel 22, innebærer at den lovgivnings- og forskriftspraksisen som har utviklet seg i tiden etter at utvalget avga sin utredning, kan videreføres. Samtidig oppnås den klare forenkling at nye hjemler for automatiserte avgjørelser på nærmere bestemte saksområder vil kunne gis i forskrift. Bestemmelsene i særlovgivningen som gir hjemmel for å treffe slike automatiserte avgjørelser, er i hovedsak generelt utformet, i den forstand at de ikke er avgrenset til nærmere angitte sakstyper eller kategorier av vedtak innenfor sitt virkeområde, og de åpner dermed for typer av automatiserte avgjørelser som ikke nødvendigvis var aktuelle ved vedtakelse av den aktuelle hjemmelen. En slik praksis vil kunne videreføres ved bruk av forskriftshjemmelen som departementet foreslår.
Se lovforslaget § 11 tredje ledd og fjerde ledd andre punktum og merknadene til bestemmelsene i punkt 30.
8.5.3 Rettigheter og plikter ved automatiserte avgjørelser omfattet av personvernforordningen artikkel 22
8.5.3.1 Innledning
Når forvaltningen automatiserer avgjørelser, kan dette utfordre de grunnleggende rettssikkerhetshensynene som forvaltningslovens saksbehandlingsregler er ment å ivareta. Feil og svakheter i det rettslige innholdet i systemet eller i de faktiske opplysningene som systemet bygger på, kan lede til uriktige avgjørelser eller til avgjørelser som av andre grunner er uheldige eller uønsket. Dersom feilene skyldes forhold ved systemet og feilene ikke oppdages, vil mange uriktige avgjørelser kunne bli truffet over tid. Uavhengig av om de automatiserte avgjørelsene oppfyller saksbehandlingskravene og materielt sett er korrekte, vil fraværet av et menneskelig element i avgjørelsesprosessen i seg selv kunne utfordre tillitsforholdet mellom innbyggerne og forvaltningen.
Det er på bakgrunn av blant annet disse hensynene at personvernforordningen artikkel 22 nr. 1 i utgangspunktet fastsetter et forbud mot å treffe avgjørelser som utelukkende er basert på automatisert behandling, og som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker fysiske personer. Det kan i nasjonal rett åpnes for slike automatiserte avgjørelser, men personvernforordningen artikkel 22 nr. 2 bokstav b krever da at det må fastsettes «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». Departementet legger til grunn at personvernforordningen artikkel 22 nr. 2 bokstav b som et minimum krever at det i nasjonal rett fastsettes at den avgjørelsen gjelder, har rett til menneskelig inngripen, til å uttrykke sine synspunkter og til å bestride avgjørelsen. I lys av EU-domstolens avgjørelse C-203/22 Dun & Bradstreet Austria legger departementet til grunn at artikkel 15 gir den registrerte en rett til en etterfølgende forklaring av avgjørelsen. Det er derimot uavklart om artikkel 22 sett i lys av fortalepunkt 71 krever at det må oppstilles en mer vidtrekkende rett til forklaring enn det som følger av artikkel 15, og eventuelt også en rett til «spesifikk informasjon», når det åpnes for automatiserte avgjørelser i nasjonal rett etter artikkel 22 nr. 2 bokstav b, se redegjørelsen for gjeldende rett i punkt 8.1.2. Videre forstår departementet EU-domstolens avgjørelse i C-634/21 SCHUFA Holding slik at når det i nasjonal rett åpnes for automatiserte avgjørelser, må det i tillegg til de nevnte rettighetene også fastsettes visse forpliktelser for forvaltningsorganet, blant annet for å sikre at avgjørelsene ikke diskriminerer.
Departementet foreslår ikke en selvstendig hjemmel for forvaltningen til å treffe automatiserte avgjørelser omfattet av personvernforordningen artikkel 22, men en forskriftshjemmel som kan brukes til å åpne for slike avgjørelser. Etter departementets vurdering bør forvaltningsloven likevel fastsette noen grunnleggende rettigheter for den registrerte, og noen grunnleggende forpliktelser for forvaltningsorganet, som vil gjelde i tilfeller der forvaltningen treffer automatiserte avgjørelser som er omfattet av personvernforordningen artikkel 22. Etter departementets syn bør disse rettighetene og pliktene fremkomme av forvaltningsloven og ikke fullt ut overlates til særlovgivningen eller regulering i forskrift.
Departementet foreslår at det fastsettes i forvaltningsloven at den enkelte skal ha rett til å få en forklaring og rett til å kreve manuell kontroll av automatiserte avgjørelser som er omfattet av personvernforordningen artikkel 22. Retten til forklaring vil gi den enkelte rett til informasjon om den automatiserte avgjørelsen som forvaltningsorganet har truffet og utgjør dermed et egnet tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, jf. artikkel 22 nr. 2 bokstav b og omtalen av retten til forklaring i fortalepunkt 71. Til forskjell fra forklaringen som kan kreves etter artikkel 15, skal forvaltningsorganet gi forklaringen på eget initiativ. Retten til manuell kontroll utgjør også et egnet tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, jf. artikkel 22 nr. 2 bokstav b. Retten til manuell kontroll sikrer også en rett for den registrerte til å uttrykke sine synspunkter på avgjørelsen som har blitt truffet, til å bestride avgjørelsen og til menneskelig inngripen, jf. artikkel 22 nr. 3. Ved at forvaltningsorganet sammen med forklaringen opplyser den registrerte om retten til å kreve manuell kontroll, legger departementet til grunn at den registrerte også sikres «spesifikk informasjon», se omtalen i punkt 8.1.2.
Den registrertes rett til forklaring og manuell kontroll må oppfylles i samsvar med de alminnelige reglene som følger av forvaltningsloven, men også i samsvar med reglene som følger av personvernforordningen artikkel 12, se punkt 8.1.2. Artikkel 12 stiller blant annet krav til innholdet i informasjonen som gis til den registrerte, og fastsetter frister for å besvare anmodninger fra den registrerte.
Departementet foreslår i tillegg at et forvaltningsorgan som treffer avgjørelser omfattet av personvernforordningen artikkel 22, skal gjennomføre tiltak for å sikre at personopplysningene behandles på en sikker måte, at feil ved opplysningene forebygges og rettes opp, at avgjørelsene ikke diskriminerer og at det brukes egnede matematiske og statistiske fremgangsmåter. Forslagene beskrives nærmere i de følgende punktene.
8.5.3.2 Plikter for forvaltningsorganet
Etter personvernforordningen artikkel 22 må hjemler som åpner for automatiserte avgjørelser, i tillegg til å sikre rettigheter for den enkelte, også inneholde plikter for den behandlingsansvarlige for å verne den registrertes rettigheter og friheter og berettigede interesser. Det nærmere innholdet i forpliktelsene er ikke fullt ut avklart, men EU-domstolen har gitt veiledning i avgjørelsen i sak C-634/21 SCHUFA Holding avsnitt 66, se punkt 8.1.2 foran om gjeldende rett.
Departementet foreslår en bestemmelse i forvaltningsloven om at forvaltningsorganer som treffer automatiserte avgjørelser omfattet av personvernforordningen artikkel 22, skal gjennomføre tiltak for å sikre at personopplysningene behandles på en sikker måte, at feil ved opplysningene forebygges og rettes opp, at avgjørelsene ikke diskriminerer og at det brukes egnede matematiske og statistiske fremgangsmåter, særlig dersom avgjørelsene gjelder profilering. Ved å lovfeste disse pliktene oppfylles de innholdsmessige kravene som EU-domstolens praksis har stilt til nasjonal lovgivning som åpner for automatiserte avgjørelser etter artikkel 22 nr. 2 bokstav b.
Det enkelte forvaltningsorganet må vurdere hvordan pliktene mest hensiktsmessig skal gjennomføres for de automatiserte avgjørelsene organet treffer. Forvaltningsorganet må i lys av de generelle forpliktelsene i personvernforordningen, herunder prinsippene i artikkel 5, også vurdere om det er behov for ytterligere rettsikkerhetstiltak. Det kan blant annet være aktuelt å gjennomføre tiltak som fremgår av retningslinjene for automatiserte avgjørelser og profilering utgitt av Artikkel 29-gruppen, EUs tidligere rådgivende organ i personvernspørsmål, som nå er avløst av Det europeiske personvernråd (EDPB), se Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679.
Se lovforslaget § 12 første ledd og merknadene til bestemmelsen i punkt 30.
8.5.3.3 Rett til forklaring av avgjørelsen
Departementet foreslår at den registrerte skal ha rett til å få en forklaring av automatiserte avgjørelser forvaltningen treffer som er omfattet av personvernforordningen artikkel 22. Formålet med retten til forklaring er å sette den enkelte i stand til å forstå grunnlaget for og innholdet i avgjørelsen, herunder til å utøve retten til manuell kontroll, jf. nærmere om denne rettigheten i punkt 8.5.3.4. Retten til forklaring vil ivareta hensynene til rettsikkerhet og tillit og vil oppfylle kravet til forklaring som følger av personvernforordningen artikkel 22, lest i lys av fortalepunkt 71. Retten til forklaring vil samtidig utgjøre et «tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser» etter forordningen artikkel 22 nr. 2 bokstav b.
Departementet foreslår at forvaltningsorganet som utgangspunkt skal ha plikt til å gi forklaringen på eget initiativ, det vil si uten at den enkelte behøver å be om det. Departementet ser en rett til forklaring som en sentral rettsikkerhetsgaranti for den registrerte. En rett til forklaring utgjør også en forutsetning for at den registrerte skal kunne utøve retten til manuell kontroll på et informert grunnlag.
Forklaringen skal etter departementets forslag gis så snart som mulig etter at avgjørelsen er truffet, og i saker om enkeltvedtak senest i meldingen om vedtaket. Samtidig er det ikke gitt at disse utgangspunktene skal gjelde for alle automatiserte avgjørelser. Særlig for automatiserte avgjørelser som inngår i en sak om enkeltvedtak, vil det blant annet kunne være aktuelt å vurdere om unntakene i lovforslaget § 56 andre ledd fra retten til å få samtidig begrunnelse skal gjelde tilsvarende for retten til forklaring. Videre vil det variere for ulike avgjørelsestyper hvor omfattende forklaring det er behov for. Disse og andre forhold må reguleres nærmere, men etter departementet syn er det mest hensiktsmessig å fastsette slik regulering i forskrift, se punkt 8.5.3.5 nedenfor.
Forklaringspliktens nærmere innhold må fastlegges i lys av formålet med forklaringen. Forklaringen skal, foruten å informere om selve avgjørelsen som er truffet, sette mottakeren i stand til å forstå hvordan og på hvilket grunnlag den automatiserte avgjørelsen har blitt truffet. EU-domstolen har i avgjørelsen C-203/22 Dun & Bradstreet Austria gitt føringer for hva en forklaring etter artikkel 15 nr. 1 bokstav h skal inneholde, se omtalen av avgjørelsen i punkt 8.1.2. Forklaringen som skal gis etter departementets forslag må oppfylle de samme innholdsmessige kravene. Departementet antar at det ved avgjørelser som treffes automatisert, kan være praktisk at forklaringen helt eller delvis genereres automatisert. I tilfeller der den automatiserte avgjørelsen er et enkeltvedtak, vil kravene til forklaringens innhold i stor grad overlappe med kravene til begrunnelse for vedtaket etter lovforslaget § 57. Nærmere regler om forholdet mellom kravene til begrunnelsen etter lovforslaget § 57 og forklaringen etter lovforslaget § 12 kan gis i forskrift, se nærmere i punkt 8.5.3.5 nedenfor
Opplysninger som etter lovforslaget § 57 tredje ledd kan unntas fra begrunnelsen for et enkeltvedtak, skal også kunne unntas fra forklaring. Dette gjelder blant annet opplysninger som det er påkrevd å unnta fordi innsyn vil lette gjennomføringen av straffbare handlinger. Som omtalt i punkt 8.1.2 er det uklart om rettspraksis fra EU-domstolen skal forstås slik at det ved innføring av nasjonale hjemler for automatiserte avgjørelser etter artikkel 22 nr. 2 bokstav b oppstilles en mer vidtgående rett til forklaring enn det som følger direkte av forordningens regler. Av samme grunn er det også uklart om artikkel 23 setter begrensninger for hvilke opplysninger som kan unntas fra forklaringen. Etter departementets vurdering vil det uansett ligge innenfor rammene av artikkel 23 å unnta opplysninger fra forklaringen i tråd med det som er nevnt over.
Se lovforslaget § 12 andre ledd og merknadene til bestemmelsen i punkt 30.
8.5.3.4 Rett til manuell kontroll av avgjørelsen
Departementet foreslår å fastsette i forvaltningsloven at den enkelte har rett til en manuell kontroll av automatiserte avgjørelser som er omfattet av personvernforordningen artikkel 22. Retten til manuell kontroll skal ivareta den enkeltes rettssikkerhet, sikre riktige avgjørelser og fremme tillit til forvaltningen. Retten til manuell kontroll skal også sikre rettighetene som følger av personvernforordningen artikkel 22 nr. 3.
Retten til manuell kontroll innebærer at den registrerte skal ha rett til å kreve at den automatiserte avgjørelsen vurderes av et menneske hos forvaltningsorganet, jf. kravet i artikkel 22 nr. 3 om at den registrerte skal ha rett til menneskelig inngripen. Personen som utfører den manuelle kontrollen, i praksis en saksbehandler hos det aktuelle forvaltningsorganet, må ha tilstrekkelig faglig kunnskap og kompetanse til at den menneskelige kontrollen med den automatiserte avgjørelsen blir reell. Retten til manuell kontroll innebærer ikke at saksbehandleren i ethvert tilfelle må treffe avgjørelsen på nytt etter en manuell behandling, men en ny avgjørelse med et annet innhold må være et mulig utfall av kontrollen, jf. kravet i artikkel 22 nr. 3 om at den registrerte skal ha rett til å bestride avgjørelsen. Ved den manuelle kontrollen har forvaltningsorganet en plikt til å ta i betraktning eventuelle synspunkter fra den registrerte som fremkommer i kravet om manuell kontroll, jf. kravet i artikkel 22 nr. 3 om at den registrerte skal ha rett til å uttrykke sine synspunkter. Dersom den registrerte for eksempel gir uttrykk for at forvaltningsorganet har bygget den automatiserte avgjørelsen på faktiske opplysninger som er uriktige eller ufullstendige, må forvaltningsorganet gjøre nærmere undersøkelser. Retten til manuell kontroll innebærer derimot ikke at forvaltningsorganet i den enkelte sak må foreta en nærmere undersøkelse eller vurdering av selve systemet som har produsert den automatiserte avgjørelsen. Hvis den manuelle kontrollen viser at feil ved avgjørelsen skyldes forhold ved systemet som sådant, må imidlertid forvaltningsorganet rette feilene før systemet kan brukes til å treffe avgjørelsen på nytt.
Hvis det i forbindelse med den manuelle kontrollen avdekkes systemfeil som også har påvirket andre avgjørelser, vil forvaltningsorganet etter omstendighetene også ha en plikt til å omgjøre disse. De generelle utgangspunktene for når et forvaltningsorgan som oppdager at et enkeltvedtak er ugyldig, også har en plikt til å gjennomgå andre saker som kan være berørt av samme feil, er behandlet i punkt 23.5.4.2. Som det fremgår der, vil et sentralt moment være hvor enkelt eller krevende det vil være for organet å finne frem til de sakene som kan være berørt. For vedtak som er fattet automatisert vil det ofte kunne være enklere å finne tidligere berørte vedtak enn der vedtakene er fattet manuelt. Det kan tale for at forvaltningsorganet også vil ha en plikt til å finne dem frem og omgjøre vedtakene. Departementet vil som nevnt i punkt 8.5.1 i tillegg vurdere behovet for nærmere regler i forskrift om forvaltningens bruk av automatiserte saksbehandlingssystemer. Det kan i denne forbindelse være aktuelt å gi regler blant annet om tiltak for å avdekke og rette feil.
I tilfeller der automatiserte avgjørelser er eller inngår i en sak om et enkeltvedtak, vil det være en viss grad av overlapp mellom retten til manuell kontroll og reglene om klage over vedtaket. Hva som nærmere ligger i retten til manuell kontroll, og forholdet mellom retten til manuell kontroll og reglene om klage over enkeltvedtak, må fastsettes nærmere. Etter departementets syn er det hensiktsmessig at dette gjøres i forskrift, se punkt 8.5.3.5.
Se lovforslaget § 12 andre ledd og merknadene til bestemmelsen i punkt 30.
8.5.3.5 Behovet for ytterligere regulering og forskriftshjemmel
Departementets forslag til ny forvaltningslov skiller i likhet med den gjeldende loven mellom enkeltvedtak og andre typer avgjørelser. For enkeltvedtak gir både den gjeldende loven og lovforslaget særlig betryggende saksbehandlingsregler, blant annet rett til informasjon, begrunnelse og klage. Departementet antar at de automatiserte avgjørelsene forvaltningen treffer som omfattes av personvernforordningen artikkel 22, i praksis ofte vil være enkeltvedtak. I disse tilfellene vil det dermed både etter gjeldende lov og lovforslaget gjelde regler om blant annet begrunnelse og klage som et stykke på vei svarer til og overlapper med departementets forslag om retten til forklaring og manuell kontroll. Innholdet i artikkel 22 må imidlertid i prinsippet fastlegges etter en tolkning av personvernforordningen, uavhengig av forvaltningslovens enkeltvedtaksbegrep. Departementet legger til grunn at artikkel 22 også vil kunne omfatte avgjørelser som ikke er enkeltvedtak.
Retten til å få melding om og begrunnelse for enkeltvedtak, og retten til å klage over vedtaket, gjelder etter de generelle reglene i forvaltningsloven for den som er «part» i saken. Som part regnes den som en avgjørelse retter seg mot, eller som saken ellers direkte gjelder, jf. lovforslaget § 7 tredje ledd. Rettighetene som følger av personvernforordningen gjelder på sin side for «den registrerte». Med den registrerte menes den fysiske personen som personopplysningene gjelder, jf. artikkel 4 nr. 1. For automatiserte avgjørelser omfattet av artikkel 22 gis det særlige rettigheter for registrerte som avgjørelsen har rettsvirkninger for eller på tilsvarende måte i betydelige grad påvirker. Etter departementets forslag er det denne gruppen av registrerte som skal ha rett til å få forklaring og kreve manuell kontroll. Departementet legger til grunn at det ofte vil være sammenfall mellom hvem som er den registrerte, og hvem som er part i en sak om enkeltvedtak. Det kan imidlertid tenkes å forekomme tilfeller der den registrerte ikke kan anses som part eller at spørsmålet kan være tvilsomt.
Departementets forslag om rett til forklaring og manuell kontroll innebærer dermed at rettighetene vil kunne gjelde ved andre typer avgjørelser enn enkeltvedtak og overfor andre personer enn de som er parter i saken. Omfanget av og innholdet i rettighetene, og hvilke avgjørelser som skal anses å være omfattet av artikkel 22, vil videre kunne påvirkes av utviklingen i særlig EU- og EFTA-domstolens rettspraksis. Det videre anvendelsesområdet for reglene i lovforslaget § 12 om automatiserte avgjørelser gjør at det kan være behov for å utfylle og presisere lovforslagets regler om retten til forklaring og til å få en manuell kontroll av automatiserte avgjørelser. Det kan for eksempel være naturlig å vurdere om det ved enkelte typer automatiserte avgjørelser er tilstrekkelig og mest praktisk at den registrerte kan be om en forklaring, og at forvaltningsorganet ikke skal ha en plikt til å gi forklaring av eget tiltak.
For de automatiserte avgjørelsene som også er enkeltvedtak etter definisjonen i lovforslaget § 7, vil det være behov for å regulere nærmere forholdet mellom retten til forklaring og manuell kontroll og forvaltningslovens generelle regler om begrunnelse og klage. Det vil for eksempel kunne være naturlig å fastsette unntak fra forvaltningsorganets plikt til å gi forklaring av eget tiltak i de tilfellene der organet ikke har plikt til å gi begrunnelse av eget tiltak fordi det innvilger en søknad og det ikke er grunn til å tro at noen parter vil være misfornøyde med vedtaket, jf. lovforslaget § 56 andre ledd første punktum. Videre kan det være behov for nærmere regler om avbrytelse av klagefristen etter lovforslaget § 63 ved krav om forklaring eller manuell kontroll. Det må også vurderes om det er hensiktsmessig med ytterligere presiseringer for å sikre en hensiktsmessig samordning og behandling av krav om manuell kontroll og klage, slik at det legges til rette for en enkel og effektiv behandling både for forvaltningsorganet og den enkelte. Disse spørsmålene ble ikke behandlet av Forvaltningslovutvalget, og må utredes og høres på vanlig måte før det fastettes nærmere regler.
Det kan også være behov for å fastsette unntak fra retten til forklaring og manuell kontroll hvis tungtveiende grunner gjør det nødvendig. Adgangen til å gjøre fullstendig unntak fra rettighetene skal være snever. Det er etter departementets syn likevel behov for en slik hjemmel siden det er vanskelig fullt ut å overskue hvilke typer avgjørelser som omfattes av lovforslaget og hvilke konsekvenser reglene kan få. I den grad retten til forklaring eller manuell kontroll også følger av personvernforordningen, vil eventuelle unntak også måtte fastsettes innenfor rammene av unntaksadgangen i forordningen artikkel 23. Etter artikkel 23 kan det bare gjøres unntak dersom det er nødvendig og forholdsmessig for å ivareta nærmere angitte interesser, herunder den offentlige sikkerhet, forebygging og etterforskning av straffbare forhold og andre viktige mål av generell allmenn interesse.
Departementet foreslår en forskriftshjemmel som kan brukes til å gi forskrift om disse spørsmålene, og tar sikte på å høre og fastsette en slik forskrift før den nye loven trer i kraft.
Departementet antar at det bør gjøres en vurdering av om det er behov for å fastsette forskrift om andre rettigheter og plikter ved automatiserte avgjørelser enn de som følger direkte av lovforslaget § 12 første og andre ledd. Det kan være rettigheter og plikter som generelt skal gjelde ved særlig inngripende automatiserte avgjørelser, eller rettigheter og plikter som generelt skal gjelde ved automatiserte avgjørelser på bestemte saksområder der dette er fastsatt i medhold av lovforslaget § 11 fjerde ledd.
Se lovforslaget § 12 tredje ledd og fjerde ledd og merknadene til bestemmelsen i punkt 30.
8.5.3.6 Avgjørelser som ikke gjelder fysiske personer eller behandling av personopplysninger
Personvernforordningen artikkel 22 gjelder bare avgjørelser som involverer behandling av personopplysninger, og bare der avgjørelsen er rettet mot en fysisk person. Etter departementets vurdering kan imidlertid hensynene som artikkel 22 bygger på, også gjøre seg gjeldende i avgjørelser som er rettet mot juridiske personer.
Departementet har på denne bakgrunnen vurdert om rettighetene og pliktene i lovforslaget § 12 også bør gis anvendelse ved automatiserte avgjørelser som har rettsvirkning for eller i betydelig grad påvirker en juridisk person. Etter departementets vurdering bør en slik eventuell utvidelse av rettighetene og forpliktelsene i utgangspunktet avventes til man har samlet erfaringer med hvordan de nye reglene virker i praksis. Departementet foreslår derfor at Kongen kan gi forskrift om at reglene i § 12 skal gjelde i saker som ikke gjelder fysiske personer eller som ikke gjelder behandling av personopplysninger.
Se lovforslaget § 12 femte ledd og merknadene til bestemmelsen i punkt 30.
8.5.4 Dokumentasjon av innholdet i automatiserte saksbehandlingssystemer
Departementet er enig med utvalget i at forvaltningsorganer bør ha en plikt til å dokumentere det rettslige innholdet i automatiserte saksbehandlingssystemer. I likhet med utvalget foreslår departementet at dokumentasjonen skal offentliggjøres hvis ikke noe annet følger av lov eller særlige hensyn taler mot det. Tilsvarende plikter til dokumentasjon og offentliggjøring finnes ikke i den gjeldende forvaltningsloven. Departementet viser til at høringsinstansene gjennomgående var positive til en dokumentasjons- og offentliggjøringsplikt.
Formålet med plikten er å legge til rette for åpenhet og kontroll med den automatiserte rettsanvendelsen som ligger til grunn for forvaltningsorganets avgjørelser. Dokumentasjon av og åpenhet om forvaltningens automatiserte rettsanvendelse er sentralt for å kunne kontrollere og føre tilsyn med at avgjørelser som forvaltningsorganet treffer i enkeltsaker, er basert på en korrekt anvendelse av rettsreglene. Dette vil kunne styrke samfunnets tillit til digitaliseringen og automatiseringen av forvaltningen.
Departementet foreslår i likhet med utvalget at dokumentasjonsplikten skal omfatte det rettslige innholdet i automatiserte saksbehandlingssystemer, se lovforslaget § 13. Enkelte høringsinstanser har stilt spørsmål om «automatiserte saksbehandlingssystemer» også er ment å omfatte systemer som ikke tar beslutninger. Utvalget veksler mellom å omtale de aktuelle systemene som henholdsvis «automatiserte saksbehandlingssystemer» og «automatiserte beslutningssystemer», se blant annet utredningen punkt 18.3.3.5 og spesialmerknadene til bestemmelsen på side 573. Det kan være noe uklart hvilke systemer utvalget mener at skal omfattes av plikten til å dokumentere det rettslige innholdet. Departementet mener det bare er systemer som tar beslutninger som bør omfattes. Departementet viser i den forbindelse til at det overordnede formålet med forslaget er å sikre at systemene forvaltningen benytter for å treffe automatiserte avgjørelser, er innrettet slik at det anvender rettsreglene korrekt i enkeltsaker, slik også utvalget bygger på, jf. NOU 2019: 5 punkt 18.3.3.5.
Departementet vil i denne sammenhengen bemerke at verken automatiserte «saksbehandlingssystemer» eller «beslutningssystemer» er entydige uttrykk. En del av forvaltningens systemer vil ha et innhold som ikke nødvendigvis er særpreget for det aktuelle forvaltningsorganets offentlige myndighetsutøvelse, eksempelvis journalføringssystemer, kommunikasjonssystemer og informasjonssystemer. Også slike systemer vil til en viss grad vil kunne sies å ha et rettslig innhold, og vil også kunne sies å fatte beslutninger i vid forstand, men det rettslige innholdet i disse systemene vil i begrenset grad ha betydning for innholdet i avgjørelsene som forvaltningsorganet treffer i enkeltsaker.
Når det gjelder det nærmere innholdet i dokumentasjonsplikten, er departementet enig med de høringsinstansene som har påpekt at «det rettslige innholdet» i seg selv gir begrenset veiledning om hva som skal dokumenteres. Departementet antar at det nærmere omfanget av dokumentasjonsplikten ikke lar seg utlegge i detalj på generelt grunnlag, men i en viss utstrekning må fastlegges i det enkelte tilfellet i lys av bestemmelsens formål. For å kunne utøve kontroll med den automatiserte rettsanvendelsen vil dokumentasjonsplikten først og fremst omfatte informasjon om hvordan rettskildene som har betydning for innholdet i forvaltningsorganets avgjørelser, er operasjonalisert i systemet. Dette vil blant annet kunne omfatte de valgene som forvaltningsorganet har tatt ved utviklingen av systemet om hvordan tolkningsspørsmål og tolkningstvil skal løses, og hvordan skjønn, herunder fritt skjønn, skal håndteres. Departementet vil i denne sammenhengen også understreke at tolkninger, presiseringer og utfyllinger av regelverket som forvaltningsorganet gjør i forbindelse med systemutviklingen, vil kunne være forskrifter hvis de er ment å være rettslig bindende og er avgjørende for utfallet av en forvaltningssak. Forvaltningsorganet kan ikke i forbindelse med systemutviklingen treffe avgjørelser om tolkning og utfylling av regelverket som materielt sett er forskrifter uten at det har hjemmel for å gi slike forskrifter. I tillegg må reglene i lovforslaget kapittel 13 følges ved utredningen og vedtakelsen av forskriftene. Det vises til omtalen i punkt 28.1.
Enkelte høringsinstanser har vist til at plikten til å dokumentere det rettslige innholdet i automatiserte beslutningssystemer vil kunne innebære et betydelig dokumentasjonsarbeid, særlig for eksisterende systemer. Etter departementets syn tilsier formålet med bestemmelsen at den bør gjelde både for nye og eksisterende systemer. Departementet foreslår derfor ikke å avgrense dokumentasjonsplikten mot eksisterende systemer. I den grad det gjør seg gjeldende særskilte behov i tilknytning til eksisterende systemer, vil departementet vurdere om det bør gis overgangsregler om dette.
Flere høringsinstanser uttrykker tvil om offentliggjøring av dokumentasjonen i alle tilfeller er nødvendig for å oppnå formålet om å legge til rette for åpenhet og kontroll med forvaltningens bruk av automatisert saksbehandling. Departementet deler høringsinstansenes syn på at dokumentasjons- og offentliggjøringsplikten ikke bør strekke seg lenger enn nødvendig for å ivareta formålet med reglene. Departementet foreslår derfor en forskriftshjemmel som kan brukes til å presisere innholdet i pliktene, blant annet om hvilket nærmere innhold i systemet som skal dokumenteres og hvordan dokumentasjonen skal offentliggjøres.
Departementet er enig med utvalget i at et krav om aktiv publisering av dokumentasjonen vil kunne bidra til å styrke tilliten til forvaltningen og øke sannsynligheten for at feil oppdages. I likhet med utvalget foreslår derfor departementet at forvaltningsorganet skal ha plikt til å offentliggjøre dokumentasjonen med mindre særlige hensyn taler mot offentliggjøring. Ved behov vil det også kunne fastsettes unntak fra plikten til offentliggjøring i sektorlovgivningen, jf. lovforslaget § 2 fjerde ledd. Departementet foreslår i likhet med utvalget at Kongen kan gi forskrift om dokumentasjon og offentliggjøring av det rettslige innholdet i automatiserte beslutningssystemer.
Se lovforslaget § 13 og merknadene til bestemmelsen i punkt 30.