Flere vurderingspunkter i skjæringspunktet mellom digitalisering og regelverk

Etisk digitalisering

Selv om intensjonene bak digitaliseringen kan være gode, kan man risikere å gå for langt i det godes tjeneste. Derfor er det viktig å reflektere over hvilke konsekvenser endringer vil ha for samfunnet og individet på kort og lang sikt. Etisk digitalisering handler om å forstå hvordan digital teknologi faktisk fungerer, slik at man kan diskutere mulige konsekvenser av digitale løsninger og, basert på dette, finne tekniske og juridiske løsninger som er etisk sett forsvarlige.

Automatisering og komplekse algoritmer kan gjøre det vanskelig å identifisere hvorfor en avgjørelse tas eller hvor eventuelle skjevheter som kan forårsake diskriminering kan ligge. Det kan være vanskelig å få innsyn i algoritmene som bidrar med beslutningsgrunnlag, og prosesser kan bli vanskelig etterprøvbare. Bruk av kunstig intelligens som beslutningsstøtte i hel- eller delautomatiserte prosesser reiser blant annet spørsmål om hvem som fatter beslutningene og hvem er ansvarlig for utfallet.

Et annet spørsmål er muligheten for å få innsyn i programkoden dersom man mener at en feil i programmet kan ha ført til en gal avgjørelse. Om man klager på et vedtak som er fattet gjennom automatiserte prosesser vil det ikke være tilstrekkelig at de samme dataene kjøres gjennom det samme systemet, det vil bare gi samme utfall på nytt. Det er derfor viktig å tenke på hvordan man kan gi innsyn og sikre at klager følges opp på en betryggende måte.

Les mer:

• Plesner, Ursula og Justesen, Lise (2021): The double darkness of digitalization: Shaping digital-ready legislation to reshape the conditions for public-sector digitalization. Science, Technology and Human Values. Sage.
• Bergsjø, L. O. og Bergsjø, H. (2019): Digital etikk. Big data, algoritmer og kunstig intelligens. Universitetsforlaget.

Makfordelingsprinsippet

Vårt demokrati bygger på en grunnleggende fordeling av makt mellom den lovgivende, den utøvende og den dømmende makt. Stortinget vedtar lover, regjeringen gjennomfører dem og domstolene avsier dommer basert på tolkning av regelverket. I prosessen med å gjennomføre lovverket skjer det i praksis også tolkning av det i forvaltningen.

En utfordring med regelverk som skrives for automatisering, er at man i ytterste konsekvens kan ende opp med at programmerere i praksis blir regelverksutviklere. Når regelverket skal «oversettes» til maskinlesbar kode gjøres en rekke detaljerte vurderinger, ofte av programmerere uten at jurister og andre involveres tett nok. Man risikerer at de som skriver regelverket, eller koder det for automatisering, i praksis også styrer hvordan regelverket både implementeres og tolkes. Det kan forskyve den grunnleggende maktbalansen mellom myndighetsorganene og hindre åpenhet om lovprosessene. Det er viktig å være bevisste på denne risikoen, og sikre en bred nok involvering i regelverksutviklingen og godt oversyn med forvaltningen av regelverket i praksis.

Dette er en av grunnene til at det er viktig at ulike faggrupper samarbeider i regelverksutviklingen. Det kan veie opp noe for gjensidig manglende kompetanse. Generelt er det begrenset hva jurister lærer om digitalisering og teknologi, og teknologer om juss, i sine utdanningsløp.

Les mer:

• Reinertsen, Marianne (2020): Når algoritmer erstatter statens jurister. Juridika, lest 25.10.2021.
• Schartum, Dag Wiese (2016): Law and algorithms in the public domaine. Etikk i praksis nr. 1 2016, Nordic journal of applied ethics.

Informasjonssikkerhet

Ivaretakelse av god informasjonssikkerhet er grunnleggende for å lykkes med digitalisering. Dersom informasjonssikkerhet ikke ivaretas på en tilstrekkelig måte, vil det kunne gå utover evnen til å levere tjenester, og (retts)sikkerheten til innbyggerne, på bekostning av tillitten til offentlige og private virksomheter som behandler informasjon.

I fremtiden bør vi unngå at sikkerhetskrav spres over flere regelverk. Generelle problemer bør være beskrevet en plass, og vi bør unngå å utforme sikkerhetstiltak på ulike nivåer, innenfor samme regelverk. Det er videre viktig med en enhetlig begrepsbruk, slik at sikkerhetsbegrep defineres likt, på tvers av lovverk.

Det er avgjørende at krav til informasjonssikkerhet utarbeides på en formålsbasert måte, slik at kravene kan tilpasses det risikobildet virksomheten befinner seg i. Regelverket må med andre ord si noe om hvilket sikkerhetsnivå som skal oppnås, mens det er opptil virksomhetene å avgjøre hvordan dette skal oppnås. På denne måten vil det også være enklere å utforme kravene på en teknologinøytral måte.

Effektivitet for offentlig sektor eller effektivitet for innbyggerne

Effektivitet for offentlig sektor i form av effektive arbeidsprosesser er ikke nødvendigvis det samme som effektive og gode tjenester for innbyggerne. Og brukervennlige tjenester er ikke nødvendigvis det samme som tjenester som ivaretar brukernes interesser.

Det er viktig å ha et gjennomtenkt forhold til hvorfor og for hvem man lager regelverk. Når offentlige prosesser effektiviseres bør det først og fremst være for at tjenestene til innbyggere og næringsliv skal bli bedre, selv om det også har en verdi i seg selv at offentlig sektor effektiviseres og kan oppnå mer med de samme ressursene.

For å levere gode tjenester til innbyggerne er det også viktig å huske at ikke alle er i stand til å bruke digitale løsninger. Gode, innbyggerrettede tjenester skal være universelt utformede og tilgjengelige for alle. Dette må regelverket legge til rette for.

Detaljregulering

Detaljregulering kan både hemme og legge til rette for digitalisering. I anbefalingene om detaljregulering og teknologinøytralitet i delen om digitaliseringsvennlig regelverk skriver vi at regelverk bør være teknologinøytralt og fleksibelt så vi kan ta i bruk fremtidens teknologi. Man bør regulere hva som skal oppnås med regelverket snarere enn hvordan det skal gjøres, og altså unngå detaljreguleringer. På den andre siden, som vi beskriver i delen om automatiseringsvennlig regelverk, hvis målet er automatisering trengs et høyt detaljnivå med presise og logiske regler.

Dette kan fremstå som en selvmotsigelse. Hvilket detaljnivå en skal legge seg på blir en vurderingssak, og vil avhenge av om dere skriver regelverk for automatisering, eller om regelverket ikke egner seg for automatisering men likevel skal være digitaliseringsvennlig.

I delen om automatiseringsvennlig regelverk skriver vi mer om fordelene ved automatiseringsvennlig regelverk og hva man taper med det. Disse avsnittene kan hjelpe dere i vurderingene av hvorvidt dere bør skrive automatiseringsvennlig regelverk som krever en høy grad av detaljering, eller om dere heller bør følge anbefalingene for et generelt digitaliseringsvennlig regelverk hvor det er som regel er nyttig å unngå detaljregulering og heller åpne for fleksibilitet.

Personvern og effektivitet

Reglene for innsamling, bruk, gjenbruk og deling av personopplysninger er, med rette, strenge. Samtidig som personvernet må ivaretas, er det viktig å legge til rette for at offentlig sektor kan dele og gjenbruke personopplysninger på en god og trygg måte der dette kan gi mest mulig effektive tjenester. Deling og gjenbruk kan bidra til at det blir enklere å levere sammenhengende tjenester og å skreddersy tiltak og tjenester. Og man ville kunne hente opplysninger fra eksisterende registre i stedet for å innhente dem fra den enkelte personen opplysningene gjelder.

I arbeidet med nytt regelverk må man alltid se hen til de rettslige rammene som allerede finnes. Når man regulerer innhenting og bruk av personopplysninger må man forholde seg til personvernforordningen, Grunnloven og den europeiske menneskerettskonvensjonen (EMK). Disse reglene gir imidlertid stort handlingsrom. Lovgiver må hele tiden balansere viktige hensyn, og tilstrebe reguleringer der flere ulike, og av og til motstridende, hensyn ivaretas på en god måte.

EU-regelverk

Mye av regelverket i Norge stammer fra EU. På digitaliseringsfeltet gjelder det blant annet personvernforordningen, direktivet om åpne data og den kommende datastyringsforordningen. Dette er regelverk Norge i begrenset grad kan påvirke, men som gjennomføres i norsk rett i tråd med EØS-avtalen.

På digitaliseringsfeltet er det store fordeler ved å ta del i EUs indre marked og sikre lik regulering på tvers av EU og EØS-området. Samtidig gjør dette at vi i liten grad selv kan sikre at regelverket blir digitaliseringsvennlig. For eksempel betyr det at vi også må se til EU-regelverk om vi vil sikre begrepsharmonisering. Hva som er digitaliseringsvennlig kan også være noe annet i en norsk kontekst enn i en EU-kontekst, og avhenger av den gjeldende digitaliseringspolitikken.

Forenklet eller for enkelt?

Enklere lovtekster med klart språk vil være lettere å forstå, og dermed lettere både å implementere og å etterleve. Samtidig må vi være bevisste på at forenklingene kan gå for langt. Vi kan risikere å miste viktige nyanser, som i ytterste konsekvens også kan føre til at man mister viktige rettigheter. Selv om hovedregelen er at regelverket skal være enkelt formulert med et klart språk, må det være rom for å forklare godt nok hvilke rettigheter og plikter som følger av regelverket, og hvilke rettigheter man har til å for eksempel påklage et vedtak eller bli omfattet av unntak fra hovedregelen.

Les mer:

• Seljeseth Ida (2021): Klart språk og retorisk medborgerskap. Institutt for lingvistiske og nordiske studier, Universitetet i Oslo.

Maskinlæring i forvaltningen

Maskinlæring kan være et nyttig og effektiviserende verktøy, også i offentlig sektor. Men det reiser likevel en rekke problemstillinger. Blant annet vil maskinlæringen alltid basere seg på tidligere avgjørelser og historiske data. Det betyr at den kan videreføre diskriminering og være lite egnet til å fange opp samfunnsendringer og nye retninger forvaltningen og samfunnet som sådan ønsker å bevege seg i.

Nasjonal strategi om kunstig intelligens drøfter blant annet bruk av kunstig intelligens og maskinlæring i forvaltningen og etiske prinsipper for bruk av kunstig intelligens.

Les mer:

• Reutter, Lisa Marie og Broomfield, Heather (2019): Kunstig intelligens/data science: En kartlegging av status, utfordringer og behov i norsk offentlig sektor - første resultater. Institutt for sosiologi og statsvitenskap, NTNU.

Risiko og sårbarheter

Det er viktig med en god forståelse for og håndtering av risiko og sårbarheter som følger digitalisering og automatisering av regelverk. En risikovurdering kan være et viktig sted å fange opp, vurdere og håndtere mulige skjevheter, utilsiktet diskriminering og andre etiske utfordringer knyttet til digitalisering. I tråd med utredningsinstruksen bør regelverket utredes grundig. I tillegg til å vurdere risiko for utilsiktet diskriminering bør konsekvensanalysen ta for seg etiske refleksjoner og mulige konsekvenser på kort og lang sikt for forvaltningen, innbyggere og samfunnet.

Teknologinøytralitet passer ikke alltid

I noen tilfeller vil det ikke være hensiktsmessig med teknologinøytral utforming. Forskrift om IT-standarder i offentlig forvaltning er et eksempel på regulering der formålet med reguleringen er standardisering av spesifikke krav og prosesser. Formålet om standardisering gjør at lovgiver kan ha et behov for å fastsette hvilken teknologi som skal benyttes.

I noen tilfeller vil det være nødvendig med et påbud eller et forbud om å benytte en viss fremgangsmåte. I vergemålsloven § 81 stilles det formkrav til fremtidsfullmakter som gjør at de ikke kan inngås digitalt. Blant annet kreves det at «En fremtidsfullmakt skal gjøres skriftlig med to vitner som fullmaktsgiveren har godtatt, og som er til stede sammen og vet at dokumentet skal være en fremtidsfullmakt. Mens vitnene er til stede, skal fullmaktsgiveren skrive under dokumentet eller vedkjenne seg sin underskrift. Vitnene skal underskrive dokumentet mens fullmaktsgiveren er til stede, og etter hans eller hennes ønske». I dette tilfellet er fremgangsmåte ved påbudt tilstedeværelse begrunnet i vitnefunksjonen og ønsket om at personer skal kunne bekrefte at fullmaktsgiver gir fullmakt frivillig og er klar over hva hun gjør.

Andre relevante dokumenter

Dersom dere ønsker å lese mer om problemstillingene over og andre tilknyttede temaer, kan litteraturlisten nedenfor være nyttig:

• Bjørkdahl, K. (2021). Digitale skyggesider. Nytt Norsk Tidsskrift 2021(01-02), 124-138.
• Citron, D. K., & Pasquale, F. (2014). The scored society: Due process for automated predictions. Wash. L. Rev., 89, 1.
• Dencik L, Hintz A, Redden J, Warne H (2018). Data Scores as Governance: Investigating Uses of Citizen Scoring in Public Services [Project Report]. Open Society Foundations, Cardiff University. Available from URL: http://orca.cf.ac.uk/117517/.
• Dencik, L., Redden, J., Hintz, A., & Warne, H. (2019). The ‘golden view’: Data-driven governance in the scoring society. Internet Policy Review, 8(2).
• Katzenbach C, Ulbricht L (2019). Algorithmic Governance. Internet Policy Review 8(4), 1–18.
• Langford, M. (2020). Taming the digital Leviathan: Automated-decision making and international human rights. American Journal of International Law 2020(114), s. 141 doi.org/10.1017/aju.2020.31
• Pasquale, F. (2015). The black box society. Harvard University Press.
• Schartum, D. W. (2021). Jus og digitalisering. Lov og rett, 2021(2), 92-109.
• Veale M, Brass I (2019). Administration by Algorithm? Public Management Meets Public Sector Machine Learning. In: K Yeung, M Lodge (eds) Algorithmic Regulation, pp. 121–150. Oxford University Press, Oxford.
• Yeung, K. (2018). Algorithmic regulation: a critical interrogation. Regulation & Governance, 12(4), 505-523.
• Yeung K (2019). Why Worry About Decision-Making by Machine? In: K Yeung, M Lodge (eds) Algorithmic Regulation, pp. 21–48. Oxford University Press, Oxford.