18 Digital saksbehandling og kommunikasjon
18.1 Eksisterende regulering av IKT i forvaltningen
Forvaltningsloven ble i år 2000 gjennomgått for å fjerne hindringer for bruk av IKT.1 Det ble blant annet gjort endringer i en rekke definisjoner, og loven er i dag ment å være teknologinøytral. Dokumentdefinisjonen er ikke knyttet til et bestemt medium, jf. fvl. § 2 første ledd bokstav f. Med «skriftlig» forstår loven elektronisk melding når informasjonen i denne er tilgjengelig også for ettertiden, jf. § 2 første ledd bokstav g. Termene «nedtegning», «nedskriving» og «protokollering» omfatter elektronisk nedtegning når dette oppfyller hensynene bak nedtegningen i like stor grad som nedtegning på papir, jf. § 2 første ledd bokstav h.
Etter forvaltningsloven § 15 a er utgangspunktet at et forvaltningsorgan kan benytte elektronisk kommunikasjon når det henvender seg til andre. Alle som henvender seg til et forvaltningsorgan, kan benytte elektronisk kommunikasjon dersom forvaltningsorganet har lagt til rette for dette, det skjer på den anviste måten og ikke annet følger av lov eller forskrift gitt i medhold av lov. Med hjemmel i fvl. § 15 a er det gitt forskrift om elektronisk kommunikasjon med og i offentlig forvaltning.2 Elektronisk kommunikasjon omfatter blant annet kommunikasjon via nettsider, digitale innloggingsløsninger, e-post, SMS, MMS, Skype mv. Forskriften gir regler om når digital kommunikasjon er tillatt, i hvilken grad borgere og virksomheter og det enkelte forvaltningsorgan kan kreve å kommunisere elektronisk, adgangen til å reservere seg mot slik kommunikasjon, og hvilke krav som må stilles til sikring av digital kommunikasjon i offentlig forvaltning. Et forvaltningsorgan som mottar henvendelser i elektronisk form, skal som hovedregel gi bekreftelse til avsenderen om at en henvendelse er mottatt (forskriften § 6). Forvaltningsorganer som benytter elektronisk kommunikasjon, skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten. Disse danner grunnlaget for forvaltningsorganets internkontroll på informasjonssikkerhetsområdet. Internkontrollen skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet (forskriften § 15). Internkontrollen skal integreres i virksomhetens helhetlige styringssystem, og omfanget og innretningen på kontrollen skal være tilpasset risikoen.
Lov om elektroniske tillitstjenester trådte i kraft i juni 2018 og gjennomfører europaparlaments- og rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen).3 Forordningen legger til rette for økt elektronisk samhandling mellom næringsdrivende, innbyggere og offentlige myndigheter på tvers av landegrensene i EU/EØS. Forordningen utvider området for reguleringen av elektroniske tillitstjenester sammenliknet med esignaturdirektivet. Et mål er at «sikker identifikasjon og autentisering [skal være] mulig når det gjelder tilgang til nettbaserte tjenester over landegrensene som tilbys av medlemsstatene».4 Lov om elektroniske tillitstjenester erstattet esignaturloven 15. juni 2001 nr. 81.
Etter gjeldende rett har en borger rett til å kommunisere digitalt med et forvaltningsorgan under forutsetning av at organet har tilrettelagt for det, og at kontakten skjer på den anviste måten.5 Siden 2014 har hovedregelen vært at forvaltingen kan sende digital post til borgerne. Det er etablert felles digital postkasse for hver enkelt innbygger.6 Privatpersoner og enheter som ikke er registrert i Enhetsregisteret, kan reservere seg mot å motta elektroniske meddelelser fra forvaltningen om enkeltvedtak, forhåndsvarsel og andre meldinger som har betydning for ens rettsstilling eller for behandlingen av saken, eller som det av andre grunner er av særlig betydning å sikre at vedkommende mottar (forvaltningsloven § 15 a og eForvaltningsforskriften § 9).
Forskrift om IT-standarder i offentlig forvaltning er også hjemlet i forvaltningsloven § 15 a og åpner for tekniske, semantiske og organisatoriske forvaltningsstandarder. Kravene i forskriften gjelder først og fremst pålegg om bruk av visse teknologiske standarder, for eksempel knyttet til utforming av tekstdokumenter, nettsider, skjemaer mv. I tillegg til forskriften vedlikeholder Difi en liste over anbefalte standarder.7 Statsforvaltningsorganer kan pålegges bruk av slike standarder gjennom instruks.8
Også andre lover og forskrifter har betydning for IKT-bruk i forvaltningen. Offentleglova § 10 og offentlegforskrifta §§ 6 og 7 har regler om tilgjengeliggjøring av journaler og dokumenter på internett.9 Organer i statsforvaltningen skal som hovedregel gjøre sin elektroniske journal tilgjengelig på internett (§ 6) og redegjøre for hvilke kriterier som ligger til grunn for utvalget av dokumenter (§ 7 tredje ledd). Tjenesten eInnsyn er en felles publiseringstjeneste for statlige virksomheter og Oslo kommune. Her publiseres postjournaler, som deretter samles i en felles søkbar database. I samme database publiserer også råd og utvalg i Oslo kommunes politiske saker og møter.10
Diskriminerings- og tilgjengelighetsloven med forskrifter stiller krav om universelt utformede IKT-systemer. IKT-standarder gis også i forskrift om IT-standarder i offentlig forvaltning,11 forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger12 og forskrift om IKT-standarder i helse- og omsorgstjenesten.13
Arkivlova skal sikre en helhetlig samfunnsdokumentasjon for ettertiden. Digitaliseringen har ledet til store endringer i hvordan offentlige og private aktører utveksler og lagrer informasjon. Mye av dagens dokumentasjon fanges ikke opp av de tradisjonelle arkivløsningene, og bruk av skytjenester reiser i seg selv en rekke problemstillinger.14 Ved kgl. res. 1. september 2017 ble det nedsatt et utvalg som skal vurdere arkivlova blant annet i lys av dette.
Digital behandling av personopplysninger i forvaltningen må oppfylle kravene i personvernforordningen.15 Som ledd i forvaltningens informasjonssystem må det blant annet etableres et rettslig grunnlag for behandlingen av personopplysninger (artikkel 6), fastsettes hva som er formålet med behandlingen (artikkel 5 (1) b), og vurderes hvilke informasjonssikkerhetstiltak som er nødvendige (artikkel 32), og om konsekvensanalyse må gjennomføres (artikkel 35). Artikkel 25 stiller blant annet krav om å bygge personvernløsninger inn i systemene.
18.2 Nordisk rett
18.2.1 Dansk rett
Den danske forvaltningsloven trådte i kraft i 1987, da saksbehandlingen for det meste var manuell. Det er gjort enkelte endringer i loven for å tilpasse den til økt digitalisering. I 2004 fikk loven en hjemmel for regler om rett til å henvende seg digitalt til forvaltningen (§ 32 a). Kravet om personlig underskrift ble i 2013 supplert med et teknologinøytralt krav om entydig identifikasjon av avsender og av at dokumentet er endelig (§ 32 b).16
Lov om Offentlig Digital Post ble vedtatt og trådte i kraft i 2012.17 Loven gir myndighetene rett til å sende meddelelser, dokumenter mv. digitalt til borgere og virksomheter. Det er i utgangspunktet obligatorisk å motta digital post for alle borgere over 15 år med fast bopel eller fast adresse i Danmark, og for alle virksomheter som er registerert i sentralt virksomhetsregister (§ 3). Det kan imidlertid innvilges fritak (§ 5).18 Eksempel på forhold som kan gi fritak for borgere er kognitiv eller fysisk funksjonshemming, manglende adgang til datamaskin i eget hjem eller oppholdssted, språklige barrierer eller praktiske vanskeligheter med å skaffe et NemID.
Lov om elektroniske signaturer (lov nr. 417 af 31/05/2000) gir regler om autentisering av digtal signatur.
Danmark har i en årrekke arbeidet med en felles elektronisk infrastruktur og har utviklet flere offentlige selvbetjeningsløsninger der borgerne kan søke om ytelser eller gi innberetninger til det offentlige.19 Danmark benytter seg av felleskomponenter som Digital post og NemID, en felles innloggingsløsning som kan brukes ved innlogging til både offentlige og private selvbetjeningstjenester. Et av målene i digitaliseringsstrategien 2016–2020 er at alle meddelelser fra det offentlige skal være digitale.20
Digitaliseringsstyrelsen leder digitaliseringen av Danmark og skal effektivisere offentlig sektor gjennom mer sammenhengende offentlige tjenester. Digitaliseringsstyrelsen har en rekke oppgaver innen arkitektur og data, styring og informasjonssikkerhet, regelforenkling og avbyråkratisering, IT-løsninger, bistand til borgere og digital velferd.
Det er nedsatt et stående utvalg som skal arbeide med tverrgående juridiske utfordringer ved digital forvaltning. Utvalget skal blant annet undersøke hvordan er rekke forvaltningsrettslige regler som for eksempel partshøring, saksutredning og veiledning kan tilgodeses i en digital verden.21
18.2.2 Svensk rett
Den svenske förvaltningslagen (SFS 2017:900) inneholder ingen særskilt regulering av digital saksbehandling og kommunikasjon.22 De enkelte forvaltningsorganene bestemmer hvordan kommunikasjon skal skje, jf. 7 § og 25 §. Loven tar sikte på å være teknologinøytral.
I 2016 besluttet den svenske regjeringen å utrede og gi forslag om effektiv styring, utvikling, innføring og forvaltning av nasjonale digitale tjenester.23 Senere samme år ble det lagt til et tilleggsoppdrag. Tilleggsoppdraget ble besvart i delutredningen SOU 2017:23 digtalforvaltning.nu, der det blant annet ble anbefalt at det samlede ansvaret for digitaliseringen bør være hos ett organ.24 I desember 2017 ble SOU 2017:114 reboot – omstart för den digitala förvaltningen avgitt. I utredningen foreslås en rekke lover og forskrifter, blant annet:
Lov om statlig elektronisk identitetshandling
Lov om infrastruktur for elektronisk identifisering
Lov og forskrift [förordning] om infrastruktur for digital post
Lov om valgfrihet om digital postkasse [valfrihet om digitale brevlådor]
Forskrift [förordning] med mål om de statlige myndighetenes digitaliseringsarbeid
Forslagene er til behandling i departementet.
I 2018 ble utredningen SOU 2018:25 Juridik som stöd för förvaltningens digitalisering avgitt. Utredningen kartlegger og analyserer i hvilken utstrekning lovgivning vanskeliggjør digital utvikling og samarbeid i forvaltningen, og foreslår endringer som skal tilrettelegge for fortsatt digitalisering. Blant endringene som foreslås, er en bestemmelse som skal sikre innsyn i forvaltningens virksomhet når avgjørelser treffes av automatiserte systemer (se også punkt 18.3.3). Det foreslås også regler om digital tilgjenglighet til forvaltningen og om digital kommunikasjon fra forvaltningen til den enkelte (se også punkt 18.3.4). Forslagene er for tiden til behandling i departementet.
18.2.3 Finsk rett
Den finske förvaltningslagen inneholder ingen særskilt regulering av digital saksbehandling og kommunikasjon. I 5 § vises det til at bestemmelser om elektronisk kommunikasjon «vid anhängiggörande och behandling av förvaltningsärenden samt vid delgivning av beslut» finnes i lag om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Etter loven er det hverken rett eller plikt til å tilby eller motta elektronisk kommunikasjon, men et forvaltningsorgan som har «behövlig teknisk, ekonomisk och övrig beredskap skall inom ramen för den erbjuda var och en möjlighet att i syfte att anhängiggöra ärenden eller för behandlingen av dem sända meddelanden till en elektronisk adress eller specificerad anordning angivna av myndigheten» (5 § 1. mom.). I slike tilfeller skal den enkelte også tilbys elektronisk innsending.
Lag om förvaltningens gemensamma stödtjänester för e-tjänster (lag 571/2016) skal forbedre tilgangen til og kvaliteten på offentlige tjenester, tjenestenes informasjonssikkerhet og interoperabilitet samt styringen av tjenestene, og fremme effektivitet og produktivitet innen den offentlige forvaltningens virksomhet. Loven gir regler om ansvarlige aktører og styringen av den felles digitale infrastrukturen og bestemmer at det er obligatorisk å anvende løsningene i den offentlige sektoren (med visse unntak). Med utgangspunkt i loven pågår det et arbeid for å utvikle seks felleskomponenter, blant annet innen e-identifikasjon og meldingstjenester.
I mai 2018 ble et forslag til lag om tillhandahållande av digitala tjänster (RP 60/2018) gitt til riksdagen. Lovutkastets annet kapittel inneholder bestemmelser om «tillhandahållandet av och tillgången till digitala tjänster samt identifieringen av tjänsteanvändarna». Kravene gjelder alle organer som utøver forvaltningsmyndighet og skal tre i kraft seks måneder etter at loven har trådt i kraft. Sentrale punkter i forslaget er at et forvaltningsorgan skal tilby den enkelte en mulighet til å sende inn «handlingar» digitalt og til å motta sikker digital post. De digitale tjenestene som tilbys, skal være tilgjengelige, slik at de når så mange personer som mulig og kan brukes så enkelt som mulig. Forvaltningsorganet skal kunne kreve elektronisk identifisering i nærmere bestemte tilfeller. Det stilles også krav til forvaltningsorganenes informasjonssikkerhet. Det nye lovforslaget vil blant annet ha betydning for serviceprinsippet i förvaltningslagen 7 § 1 mom., samt for kravet om saklig, klar og forståelig språkbruk i 9 § 1 mom. Forslaget vil bli behandlet i riksdagen i vårsesjonen 2019.
18.3 Tilpasning av forvaltningsloven til digital saksbehandling
18.3.1 Innledning
I dag brukes digitale beslutnings- eller beslutningsstøttesystemer av de fleste forvaltningsorganer. På flere måter har digitaliseringen endret utføringen av forvaltningsoppgavene. Dette gjelder for eksempel hvordan forvaltningen kommuniserer, saksbehandler og kontrollerer.
Digitale løsninger gir mulighet for sikker saksbehandling som er rask og upartisk. Digitaliseringen bringer imidlertid også med seg utfordringer knyttet til konfidensialitet, integritet og tilgjenglighet.
Ifølge mandatet skal forvaltningsloven legge til rette for hensiktsmessig bruk av informasjons- og kommunikasjonsteknologi i saksbehandlingen i individuelle og generelle saker. Lovens regler skal kunne fungere uavhengig av hvilke IKT-løsninger som brukes som hjelpemiddel for forvaltningens saksbehandling, og gjeldende forvaltningslov skal gjennomgås med sikte på å legge til rette for digitalisering av forvaltningen. Utvalget drøfter disse spørsmålene så langt de reiser seg ved de enkelte saksbehandlingsreglene, i de respektive kapitlene om disse spørsmålene.
Ifølge mandatet skal utvalget også vurdere hvilke særlige utfordringer bruken av moderne informasjons- og kommunikasjonsteknologi skaper for rettssikkerheten og personvernet, og hvordan disse utfordringene best kan løses. Om disse spørsmålene vises til kapittel 19. IKT-sikkerhetsuvalget leverte sin utredning 3. desember 2018 (NOU 2018: 14 IKT-sikkerhet i alle ledd – Organisering og regulering av nasjonal IKT-sikkerhet), og knytter i punkt 10.3 i sin utredning enkelte merknader til eForvaltningsforskriften.
I dette kapitlet drøftes tre hovedspørsmål som digitaliseringen medfører for forvaltningens alminnelige saksbehandling. Det første gjelder teknologinøytralitet, se punkt 18.3.2. Teknologinøytralitet er imidlertid først og fremst viktig ved utformingen av de enkelte lovbestemmelsene, og utvalgets konkrete vurderinger fremkommer av kapitlene der de konkrete reglene drøftes.
Det andre hovedspørsmålet har sammenheng med mandatets føring om at den nye loven skal legge til rette for bruk av automatiserte beslutningssystemer der dette er hensiktsmessig, og gjelder rettsregler ved utviklingen av slike løsninger, se punkt 18.3.3.
Et tredje hovedspørsmål gjelder digital kommunikasjon. Det er et spørsmål om borgerne bør ha rett eller plikt til å kommunisere digitalt med forvaltningen, se punkt 18.3.4.
18.3.2 Teknologinøytralitet
Det klare utgangspunktet er at lovens regler skal formuleres slik at oppfyllelsen av dem ikke forutsetter bruk av noen bestemt fremgangsmåte. Det er ønskelig å frigjøre loven fra konkrete måter å saksbehandle på. Reglene skal ikke implisitt bygge på en forutsetning om manuell saksbehandling, og skal ikke hindre bruk av fremtidige teknologiske løsninger. En konsekvens av dette er at reglene bør beskrive funksjoner, uten å ta stilling til hva slags hjelpemidler som skal brukes for å utføre dem.
Teknologinøytrale regler vil lette gjennomføringen av ny teknologi – både faktisk og rettslig. En ulempe ved teknologinøytrale formuleringer er at de kan være abstrakte, slik at de kan gi lite veiledning og skape behov for presisering i forskrift. Et eksempel er krav om bruk av «sikker autentiseringsmetode» eller «signatur», i stedet for «e-signatur» eller «fingeravtrykk». I noen tilfeller kan hensynet til forståelige regler innebære at det legges visse føringer for gjennomføringen. I de fleste tilfeller bør det være mulig å velge funksjonsbaserte teknologibegrep som gir en viss grad av konkretisering, samtidig som de ikke binder forvaltningen til bestemte løsninger.
Utvalget har en ambisjon om å utforme teknologinøytrale, funksjonsbaserte regler. Unntak fra et utgangspunkt om teknologinøytralitet kan med tiden fungere som et visst hinder for å ta i bruk nyere teknologi ved at det kreves lovendring før den nye teknologien tas i bruk. I noen sammenhenger vil det imidlertid oppstå spørsmål om loven bør fremskynde innføring av noen teknologier eller fremgangsmåter, for eksempel krav om at kommunikasjon skal skje i bestemte sikre kanaler, se punkt 18.3.4.2.
18.3.3 Automatiserte beslutningsprosesser
18.3.3.1 Innledning
Saksbehandlingen kan være mer eller mindre automatisert. Den kan være manuell med bruk av automatiserte hjelpemidler. Den kan være delvis automatisert, som der relevante data automatisk hentes fra databaser og deretter behandles manuelt, eller der profiler inngår i en ellers manuell saksbehandling. Saksbehandlingen kan være i stor grad automatisert, som der hele saksbehandlingsprosessen er automatisert med unntak av en manuell rutine for utøving av skjønn. Saksbehandlingen kan også være helautomatisert, slik at saker påbegynnes og sluttføres i systemet uten at noe menneske er involvert i behandlingen av hver sak.
Ved utviklingen av hel- og delautomatiserte beslutningssystemer må det utarbeides en rettslig kravspesifikasjon der det tas stilling til alle rettsspørsmålene som er relevante for systemet, som deretter realiseres av programutviklerne. Rettskildene tolkes til rettsregler, som deretter transformeres til algoritmer, som igjen transformeres til programkoder som styrer systemene.25
Flere forvaltningsorganer har innført automatiserte beslutningsprosesser. Det gjelder blant annet Lånekassen, NAV, Husbanken og Skatteetaten. Også opptak til videregående opplæring og til høyere utdanning skjer ved automatisert behandling.26 Det utvikles i dag saksbehandlingssystemer integrert med søknadsdialog som gir muligheter for å fatte automatiserte vedtak umiddelbart.
Automatisering av beslutningsprosesser kan gi store effektivitetsgevinster, særlig når saksmengden er stor. Automatisering kan også bidra til økt likebehandling, siden alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Automatisering gir konsistent gjennomføring av regelverk og kan blant annet forhindre ulik praksis på lokalkontorer.
Automatisert saksbehandling kan sikre at prosessuelle krav til saksbehandlingen blir fulgt og kan gi økt implementering av rettigheter og plikter.27 Systemet kan for eksempel automatisk treffe vedtak som innvilger ytelser når det har registrert at vilkårene for det er oppfylt. Dette kan særlig være til fordel for ressurssvake i samfunnet, som da ikke behøver å orientere seg om og følge opp det de har krav på. Mer konsekvent implementering av plikter kan lede til høyere regeletterlevelse og en oppfatning blant borgerne om at folk flest bidrar med sin andel, som igjen kan bidra til å bygge tillit, se kapittel 10.
Samtidig som automatisert saksbehandling kan realisere en rekke gevinster, kan det ha konsekvenser som lovgiver bør være oppmerksom på. I mange tilfeller er det hensiktsmessig med klare og forutsigbare regler. Noen ganger taler imidlertid behovet for politisk handlingsrom eller for å kunne ta hensyn til særpreget ved den enkelte sak, for at reglene inneholder vurderingspregede elementer. Et ønske om økt automatisering kan i seg selv motivere et ønske om skarpere avgrensete regler, slik at systemet som i utgangspunktet skulle være et virkemiddel for gjennomføringen, i seg selv blir førende for regelutformingen.
De fleste lovregler som i dag er nedfelt i automatiserte saksbehandlingssystemer, ble ikke utformet med dette for øye. Ved utforming og vedtakelse av ny lovgivning bør det vurderes hvordan reglene kan tilpasses hensiktsmessig teknologi, og hvordan eventuelle problemstillinger som teknologi måtte medføre, best kan løses.28 Det er et overordnet rettssikkerhetskrav at lovgiver fører demokratisk kontroll med forvaltningens myndighetsutøving, og hvis lite automatiseringsvennlige regler gjøres til gjenstand for automatiseringsprosesser, kan den faktiske gjennomføringen av reglene avvike fra forutsetningen ved vedtakelsen. Generelt kan det sies at lovgivning som er automatiseringsvennlig, inneholder klare og entydige kriterier basert på entydige opplysningstyper. Reglene bør ha en tydelig logisk oppbygning. Reglene bør harmoniseres med andre regler som de skal ses i sammenheng med. For effektivt å kunne dele opplysninger er det nødvendig med systematisk arbeid for å sikre stringente termer og behandlingsregler på tvers av lover.29
Automatiserte beslutningsprosesser i forvaltningen reiser særlige spørsmål. Noen av spørsmålene relaterer seg til bestemte sakbehandlingstrinn, se punkt 18.3.3.2. Andre spørsmål gjelder generelt for automatiseringsprosessen som sådan. Personvernforordningen stiller krav til grunnlag i nasjonal rett for å helautomatisere behandling av personopplysninger, se punkt 18.3.3.3. Forordningen gir også rett til informasjon om slike systemer, se punkt 18.3.3.4. Det er spørsmål om det bør stilles krav til dokumentasjon av et (hel)automatisert systems rettslige innhold, se punkt 18.3.3.5. I forlengelsen av dette er det spørsmål om slik informasjon aktivt bør offentliggjøres, se punkt 18.3.3.6.
Ved klage eller annen kontroll kan det oppdages feil som skyldes systemets innretning, og det oppstår dermed spørsmål om implikasjoner for systemet, se punkt 18.3.3.7.
I punkt 18.3.3.8 og 18.3.3.9 knytter utvalget noen korte bemerkninger til henholdsvis profilering og kunstig intelligens. Om plikt til å vurdere om nye forskrifter er egnet for digitalisering, se kapittel 31.
18.3.3.2 Automatisering av ulike saksbehandlingstrinn
Enkelte typer saksbehandlingsskritt er det lettere å automatisere enn andre, og det oppstår forskjellige spørsmål ved automatisering av ulike saksbehandlingstrinn.
Faktiske opplysninger av betydning for avgjørelsen kan innhentes automatisk, forutsatt at de foreligger i et standardisert, digitalt format innenfor systemets rekkevidde. De kan foreligge enten hos forvaltningsorganet selv, hos et annet forvaltningsorgan, hos en privat virksomhet eller i fellesregistre.30 Forvaltningsorganer kan inngå avtaler om utveksling av opplysninger. Organene bør avklare hvordan karakteristikker av faktiske forhold er avgrenset, og det kan være hensiktsmessig med økt standardisering av begreper. Regler om personvern og taushetsplikt kan sette skranker for deling av opplysninger, og det oppstår spørsmål om hvordan organet skal forsikre seg om at opplysningene er oppdaterte og dekkende, se kapittel 19. Forvaltningsorganet skal rette eventuelle feil når det blir oppmerksom på det, jf. personvernforordningen artikkel 16. Hvis den enkelte mener at en kategorisering er feil, kan han eller hun kreve å få registrert sine innsigelser eller sin mening om hva som er riktig.31 Eventuell klage over feil kategorisering må utstå til vedtak foreligger, hvis det ikke foreligger særlige holdepunkter for annet.
Veiledning kan i mange tilfeller skje ved bruk av digitale selvbetjeningsløsninger, se punkt 17.3.7. Relevante opplysninger kan forelegges parten automatisk, se punkt 22.3.5, og partsinnspill kan gis på standardisert måte som automatisk kan tas i betraktning. I noen saker vil det oppstå spørsmål om hvordan det skal sikres at partsuttalelser får den vekten som uttalelsens karakter og innhold tilsier.
Anvendelsen av rettsreglene på faktum kan skje automatisk. Klart avgrensede vilkår er godt egnet for automatisering, mens vurderings- og skjønnspregede ikke er det.32 I dag er det ikke utviklet gode metoder for å automatisere skjønn eller subsumsjon under svært vurderingspregede vilkår. Systemet kan i slike tilfeller skille ut vurderingene til manuell behandling. Systemet spør en saksbehandler om vilkår x foreligger, og fortsetter saksbehandlingen etter at en saksbehandler har tatt stilling til dette. Det kan også bygges inn kriterier for automatisk sortering i systemet, slik at det skiller ut ukurante saker til manuell behandling. Maskinlæring mv. kan gi nye muligheter for automatisering av vurderingspregede kriterier.
Vedtakets begrunnelse kan i mange tilfeller automatiseres hvis skjønnsutøvingen er eliminert, se punkt 23.2.5. Hvor langt underretning om vedtaket kan automatiseres, henger sammen med om mottakeren er åpen for eller plikter å motta digital underretning, jf. punkt 18.3.4. Også noen former for iverksetting av vedtak kan automatiseres, f.eks. utbetaling av pengeytelser.
Etter at vedtak er truffet, kan det bli spørsmål om klage. Klagen kan for eksempel gjelde det at det er lagt til grunn uriktige faktiske opplysninger, eller at de faktiske opplysningene er tolket og kategorisert feil. I så fall kan det faktiske beslutningsgrunnlaget rettes, og den automatiserte prosessen kjøres igjen. Hvis klagen bygger på at det er feil eller mangler i systemets rettsanvendelse eller subsumsjon, vil det være nødvendig med manuell behandling. Avdekking av feil i systemet kan bety at tidligere vedtak som er berørt av feilen, må omgjøres, se punkt 33.4.2.2. Det må også treffes tiltak for å sikre at feilen ikke blir gjentatt i senere saker, se punkt 18.3.3.7.
18.3.3.3 Rettsgrunnlag for å kunne behandle personopplysninger i et helautomatisert beslutningssystem
En forutsetning for lovlig å kunne helautomatisere saksbehandlingen må være at systemet kan representere rettsanvendelsen (og eventuell skjønnsutøvelse) på riktig måte. Hvis teknologien gir mulighet for det og lovgivningen er egnet til det, har utgangspunktet etter norsk rett vært at saksbehandlingen kan automatiseres uten at det foreligger særskilt hjemmel.
Personvernforordningen artikkel 22 stiller visse krav til hjemmel ved noen former for automatisert behandling av personopplysninger. Som utgangspunkt har den enkelte rett til at enkelte typer avgjørelser ikke skal treffes ved helautomatisert saksbehandling (artikkel 22 nr. 1), og bestemmelsen stiller opp vilkår for når det likevel kan skje (artikkel 22 nr. 2). Bakgrunnen for regelen er beskrevet i fortalen punkt 71.33 Den har til formål å gi den enkelte vern ved å kreve at behandlingen av personopplysninger blir uttrykkelig forankret i et rettsgrunnlag, og at det blir etablert nødvendige garantier, som bør omfatte spesifikk informasjon til den registrerte og rett til å få en menneskelig inngripen, og til å uttrykke synspunkter, få en forklaring på avgjørelser truffet etter automatisert behandling og klage over avgjørelsen.
Etter artikkel 22 nr. 1 har den registrerte «rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende». For at en automatisert avgjørelse skal omfattes av bestemmelsen, må det for det første skje en behandling av personopplysninger. Avgjørelser om personer vil omfattes, men ikke nødvendigvis avgjørelser om virksomheter. For det andre må avgjørelsen «utelukkende være basert» på automatisert behandling. Det betyr at delvis automatiserte saksbehandlingssystemer ikke omfattes. For det tredje må avgjørelsen ha «rettsvirkning» eller «på tilsvarende måte betydelig påvirke» vedkommende. Enkeltvedtak vil ha slik virkning for den enkelte.
Bestemmelsen gir den enkelte «rett» til at ens personopplysninger ikke behandles på helautomatisert måte. «Rett» kan forstås som noe den enkelte aktivt må påberope seg. «Rett» kan også innebære et forbud som virker uten at den enkelte trenger å foreta seg noe.
Utvalgets flertall – lederen Backer, medlemmene Abeler, Fimreite, Halvorsen, Innjord og Selle – legger til grunn at artikkel 22 nr. 1 innebærer et forbud. Fortalepunkt 71 viser til at helautomatiserte avgjørelser «bør imidlertid være tillatt» i nærmere angitte tilfeller, og bygger dermed på en forståelse om at artikkel 22 nr. 1 må forstås som et forbud. Artikkel 29-gruppen34 med tilslutning fra den sentrale europeiske tilsynsmyndigheten, European Data Protection Board (EDPB),35 har også lagt denne forståelsen til grunn. Bestemmelsen etablerer en «general prohibition for decision-making based solely on automated processing».36 Denne fortolkningen «reinforces the idea of the data subject having control over their personal data, which is in line with the fundamental principles of the GDPR».37 At artikkel 22 nr. 1 må forstås som et forbud, støttes av at den motsatte løsningen leder til at artikkel 22 nr. 2 bokstav c mister sin betydning. Hvis den enkelte må protestere mot helautomatisert saksbehandling, gir det liten mening at artikkel 22 fastsetter at den enkelte kan samtykke til helautomatisert behandling etter nr. 2 bokstav c.38
Flertallets forståelse betyr at den registrerte automatisk er beskyttet av artikkel 22, og at helautomatisert behandling forutsetter at vilkårene i artikkel 22 nr. 2 er oppfylt.
Utvalgets mindretall – medlemmene Fagernæs, Hæreid, Kjørholt og Sollie – er usikre på om bestemmelsen er et forbud eller en rettighet for den enkelte. Mindretallet anser det uansett hensiktsmessig å gi en hjemmel for helautomatisering etter artikkel 22 nr. 2.
Utvalget foreslår etter dette å ta inn i forvaltningsloven en bestemmelse som kan gi grunnlag for helautomatisert behandling og avgjørelse. I utvalget er det delte meninger om hvordan en slik bestemmelse bør være. Blant alternativene for unntak i artikkel 22 nr. 2 er bare bokstav b aktuell for helautomatisert behandling som innebærer offentlig myndighetsutøving. Etter bokstav b får regelen i nr. 1 ikke anvendelse hvis avgjørelsen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.
Hva gjelder regler for å ivareta partens interesser ved helautomatisert behandling, er reglene som utvalget foreslår om kontradiksjon, begrunnelse og klageadgang, trolig tilstrekkelige for å vareta forordningens krav.
Hva gjelder kravet til rettsgrunnlag, er ordlyden noe uklar. At «avgjørelsen» må ha rettsgrunnlag, kan tilsynelatende forstås som en henvisning til materiell hjemmel. «Avgjørelsen» må imidlertid trolig forstås i sammenheng med nr. 1, som gjelder «avgjørelse som utelukkende er basert på automatisert behandling». Fortalepunkt 71 tilsier at det er den helautomatiserte behandlingsmåten som må ha rettsgrunnlag:
«Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette […]»
Også artikkel 29-gruppens uttalelse som EDPB har sluttet seg til, viser til «[a]utomated decision-making including profiling could potentially take place under 22(2)(b) if Union or Member State law authorised its use».39
Det er usikkert hvor presist rettsgrunnlag som kreves. Ifølge fortalepunkt 71 vises det til at hjemmelen skal være «uttrykkelig». I fortalepunkt 41 uttales følgende:
«Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den berørte medlemsstat. Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol («Domstolen») og Den europeiske menneskerettighetsdomstol.»
Kravene vil trolig ha sammenheng med hvor inngripende den helautomatiserte behandlingen er. Bruk av avanserte profiler i helautomatiserte avgjørelser vil for eksempel kunne være en inngripende form for behandling som skjerper kravet til presis hjemmel.
Utvalgets flertall – lederen Backer, medlemmene Abeler, Fimreite, Halvorsen, Innjord og Selle – legger på denne bakgrunn til grunn at det for lite inngripende behandling vil være tilstrekkelig med en generell hjemmel i forvaltningsloven. I andre tilfeller kan det være nødvendig med et større presisjonsnivå. Å hjemle behandlingen i forskrift vil medføre større åpenhet om innføringen av helautomatisert saksbehandling og om systemets rettslige innhold. På bakgrunn av dette foreslår flertallet en hjemmel i forvaltningsloven for helautomatisert behandling som er lite inngripende for den enkelte, samt en hjemmel til å gi forskrift om helautomatisert behandling av personopplysninger på bestemte sakområder. Flertallet foreslår følgende bestemmelse i utk. § 11:
«Kongen kan gi forskrift om at forvaltningsorganet på bestemte sakområder kan treffe avgjørelser ved helautomatisert saksbehandling. Avgjørelser som er lite inngripende overfor den enkelte, kan treffes ved helautomatisert behandling uten hjemmel i forskrift.»
Mindretallet – medlemmene Fagernæs, Hæreid, Kjørholt og Sollie – anser det tilstrekkelig til å oppfylle personvernforordningens krav at loven gir en generell adgang til behandling av personopplysninger ved helautomatisering av saksbehandlingen. Mindretallet foreslår derfor en generell hjemmel i forvaltningsloven. Hjemmelen bør inneholde en pedagogisk henvisning til at grunnleggende krav til forsvarlig saksbehandling må være oppfylt, jf. artikkel 22 nr. 2 om at det må være fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Slike tiltak gjelder blant annet plikten til å innhente informasjon, veiledningsplikten, kontradiksjon, innsyn, begrunnelse og klage, samt regler om nødvendige personverngarantier. Det innebærer også at det ikke kan legges opplysninger til grunn for avgjørelsen uten at det foreligger tilstrekkelige kvalitetssikringsmekanismer for at de er riktige og dekkende. Hva som kreves, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov. Mindretallet foreslår følgende utforming av utk. § 11:
«Forvaltningsorganet kan treffe helautomatiserte avgjørelser hvor personopplysninger inngår, når behandlingen er nødvendig for å utøve offentlig myndighet eller utføre lovfestede oppgaver. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.»
18.3.3.4 Rett til informasjon om helautomatiserte beslutningssystemer
Personvernforordningen artikkel 13 annet ledd bokstav f gir rett til informasjon om innretningen til et helautomatisert system som skal behandle personopplysninger. Den gjelder uavhengig av om avgjørelsen ender med vedtak eller ikke. Informasjonen gjelder systemet i sin alminnelighet og er ikke knyttet til den enkelte sak. Bestemmelsen lyder:
«I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling: […]
f) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.»40
I SOU 2018:25 s. 165 vises det til at
«[m]eningsfull information om logiken som är involverad bör i de flesta fall innebära att den personuppgiftsansvarige tillhandahåller information om vilka kategorier av uppgifter som används i en profil, källan till de uppgiftsmängderna, hur profilen är uppbyggd (inklusive statistik som används i profilen), varför profilen är relevant för den automatiserade beslutsprocessen och hur den används för ett beslut som rör den enskilde.»41
Det uttales også at det normalt vil være mer relevant å gi informasjon om hvilke kategorier av informasjon som har blitt anvendt ved profileringen eller beslutningsprosessen, og hvorfor disse er brukt, enn å gi en kompleks matematisk forklaring om hvordan algoritmer eller maskinlæring fungerer. Samtidig bør det sistnevnte «också tillhandahållas om det är nödvändigt för att experter närmare ska kunna verifiera hur processen för beslutsfattande fungerar».42
Artikkel 13 oppstiller bare ett unntak fra informasjonsplikten, nemlig der den registrerte allerede har informasjonen, jf. artikkel 13 nr. 4.
Informasjonen som skal gis etter artikkel 13, gjelder helautomatiserte beslutningssystemers relevante rettslige innhold og logiske virkemåte. Ved utviklingen av helautomatiserte beslutningssystemer vil det normalt foreligge en rettslig kravspesifikasjon til systemets rettslige innhold, som skal testes før systemet tas i bruk. Utvalget anbefaler at det ved all utvikling av automatiserte systemer blir utarbeidet en slik spesifikasjon, og at den bekreftede spesifikasjonen skal utgjøre dokumentasjon av systemets rettslige innhold i form av pseudokode eller annet semiformelt uttrykk, se nærmere om krav til dokumentasjonen i punkt 18.3.3.5. Denne vil trolig fylle kravene til redegjørelser om systemets opplysningstyper og logiske struktur.
Om offentliggjøring av dokumentasjon for systemets rettslige innhold, se punkt 18.3.3.6.
Siden personvernforordningen artikkel 13 betyr at forvaltningen må informere om innholdet i programkodene på eget initiativ ved innsamling av personopplysninger fra den registrerte, vil det ikke være ressurskrevende å gjøre slik informasjon tilgjengelig på internett, til ettersyn for de som måtte være interesserte.
Beslektet med offentliggjøring av den underliggende logikken i systemene er simulering av vedtak på internett. Borgeren kan fylle inn sin informasjon og straks få kjennskap til sannsynlig utfall. Slike løsninger kan bidra til forutberegnelighet og kan formidle informasjon til personer som ikke har forutsetninger for å sette seg inn i eller å forstå regelverket.43
Ofte vil et forvaltningsorgan hente personopplysningene fra en eksisterende database. Ved innhenting av personopplysninger fra andre enn den registrerte kan det unnlates å gi informasjon i den grad «innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser», jf. personvernforordningen artikkel 14 nr. 5 bokstav c. Se kapittel 19 om dette.
18.3.3.5 Dokumentasjon av automatiserte beslutningssystemers rettslige innhold
Det er behov for å sikre at et automatisert beslutningssystem representerer de aktuelle rettsreglene på korrekt måte. Å utvikle automatiserte beslutningssystemer innebærer å innta forhåndsstandpunkter til fremtidige rettsspørsmål. Selv om systemutviklingen i seg selv ikke innebærer en rettslig bindende fastsetting av rettigheter eller plikter, vil den få direkte konsekvenser for avgjørelsene systemet senere treffer i enkeltsaker. Ved mer tradisjonell saksbehandling kan detaljerte instrukser bestemme hvordan saker skal avgjøres, og slike instrukser har flere likhetstrekk med et systems programkoder. En viktig forskjell er likevel at saksbehandlerens anvendelse av instruksen i den enkelte sak innebærer en viss kontroll med instruksens riktighet. Når slik menneskelig kontroll utgår, må feil oppdages på annen måte, for eksempel ved rutinemessig kontroll eller i forbindelse med klage eller omgjøring i enkeltsaker. Innen feil oppdages, kan systemet ha truffet en rekke vedtak som er påvirket av feilen.
Under utviklingen av et automatisert beslutningssystem blir rettsreglene på bakgrunn av en rettslig kravspesifikasjon transformert til algoritmer, som igjen transformeres til programkoder. For hver overgang til et mer formalisert uttrykk kan det skje endring i det materielle innholdet av den opprinnelige spesifikasjonen. Spørsmålet er om det som ble spesifisert av juristene, er det samme som ble realisert av programmererne. Hva som er teknologisk mulig, samt kostnadene knyttet til implementering av lovgivningen ved hjelp av systemet, vil også kunne påvirke de rettslige valgene som blir gjort.44 Arbeidet som gjøres, vil påvirkes av systemutviklerens modeller og metoder for systemutvikling.
Dokumentasjon av systemets rettslige innhold er nødvendig for at borgeren og tilsynsorganer skal kunne føre kontroll med systemet og avgjørelser i medhold av det. Dokumentasjon av systemets innretning er også viktig for å kunne oppfylle andre saksbehandlingsregler i loven. Automatiserte begrunnelser forutsetter at rettsreglene som er nedfelt i systemet, gis et uttrykk som er forståelig for parten, se utk. § 48. Saksbehandlere som utformer begrunnelse der vedtaket har vært gjenstand for delvis automatisert saksbehandling, vil måtte ha tilgang til dokumentasjon for å utforme en begrunnelse som møter lovens krav. Dokumentasjon for det rettslige innholdet i systemet kan også være en forutsetning for å oppfylle veiledningsplikten etter utk. § 14.
Dokumentasjon av systemets rettslige innhold er viktig for at forvaltningsorganet skal kunne gjennomføre legalitetskontroll av systemet, og for at det skal kunne vurdere systemimplikasjoner etter avdekking av feil gjennom klage, omgjøring eller annen kontroll. Dokumentasjon gjør det også enklere å endre systemet dersom det vedtas endringer i systemets regelgrunnlag.
Utvalget foreslår at et organ som utvikler et hel- eller delautomatisert beslutningssystem, skal sørge for tilstrekkelig dokumentasjon av dets rettslige innhold. Utarbeiding av dokumentasjonen kan ta utgangspunkt i den rettslige kravspesifikasjonen for systemet. Dette kan gjøres ved at teknologer eller andre med relevant kompetanse bekrefter at systemet er realisert i samsvar med hvert punkt i spesifikasjonen. Den bekreftede spesifikasjonen vil utgjøre dokumentasjon av det rettslige innholdet.
Den rettslige kravspesifikasjonen vil vise hvordan rettsanvendelsen skjer i systemet. Ofte vil kravspesifikasjonen være pseudokode45 eller ha lignende semiformelt uttrykk, og den bekreftede spesifikasjonen som utgjør dokumentasjonen, vil gjerne ha lignende karakter. Pseudokode er en formalisering av naturlig språk, særlig slik at vilkår og beregninger kommer klart frem. Den bruker strukturelle elementer fra programmeringsspråk og tydeliggjør logiske og aritmetiske handlinger, men er skrevet for å bli lest av mennesker.46 Pseudokoden gir altså et mer presist og dekkende bilde av systemets innhold enn naturlig språk gjør, samtidig som den er mer tilgjengelig enn systemets programkoder. I dokumentasjonen bør pseudokoden suppleres av forklaring i naturlig språk på punkter der det er nødvendig for å legge til rette for kontroll eller god oppfyllelse av saksbehandlingsregler som forutsetter kunnskap om systeminnretningen.
Dokumentasjonen skal være egnet til å gjengi og forklare systemets funksjoner og egenskaper som er rettslig relevante. Den skal vise til reglene som de ulike delene av pseudokoden er basert på. Den skal også gjøre rede for begrepsdefinisjonene som den automatiserte innhentingen av saksopplysninger er basert på, samt andre vesentlige fortolkningsspørsmål som er nedfelt i systemet. Dokumentasjonen bør være spesielt grundig når det gjelder beskrivelse av hvordan tolkningstvil er løst i systemet, hvordan skjønn eventuelt håndteres, og eventuelt hvordan eksisterende rettsregler er supplert i systemet.47 Utvalget foreslår etter dette å lovfeste at forvaltningsorganet skal dokumentere automatiserte saksbehandlingssystemers rettslige innhold, jf. utk. § 12 første punktum.
18.3.3.6 Offentlighet om systemets rettslige innhold
Etter personvernforordningen artikkel 13 skal den registrerte i noen tilfeller gis informasjon om et helautomatisert system, se artikkel 13 og punkt 18.3.3.4. Den registrerte har i alle tilfeller rett til innsyn i slike opplysninger etter artikkel 15. Også utover tilfellene som personvernforordningen regulerer, vil det kunne være behov for åpenhet om systemets innretning. Aktiv publisering av informasjon, slik at tilgjengeligheten ikke er betinget av innsynsbegjæringer mv., vil kunne bidra til tillit til systemet og øke sannsynligheten for at feil oppdages.
Dokumentasjonen av systemets rettslige innhold vil foreligge etter systemutviklingsfasen og kan være egnet for offentliggjøring. Den bekreftede spesifikasjonen vil være lesbar for personer uten særlig fagkompetanse og vil ofte holde et tilstrekkelig presisjonsnivå til å gi et riktig inntrykk av hva systemet gjør.48
Dokumentasjon basert på pseudokode vil ikke nødvendigvis gi et helt presist bilde av hvordan systemets algoritmer fungerer. Mer presis informasjon kan gi grunnlag for mer inngående kontroll. Det knytter seg imidlertid flere utfordringer til å offentliggjøre den algoritmiske representasjonen av systemets rettsregler. Kontroll vil for det første forutsette relevant fagkunnskap, slik at en generell offentliggjøring vil ha begrenset praktisk verdi. Utformingen av algoritmene kan også bygge på forretningshemmeligheter som i utgangspunktet er underlagt taushetsplikt eller på andre måter er beskyttet, slik at krav om offentliggjøring kan lede til at private ikke vil kontrahere med det offentlige. For det tredje vil en fullstendig kontroll av systemet ofte forutsette tilgang til både systemets algoritmiske oppbygning og underlagsmaterialet som algoritmene anvendes på, idet eventuelle skjevheter ofte først vil oppstå som funksjon av skjevheter i informasjonen som er tilgjengelig for systemet. For det fjerde vil offentliggjøring av algoritmene undertiden være betenkelig av sikkerhetshensyn, idet det vil kunne svekke effektiviteten til systemet.49
I SOU 2018:25 ble det vurdert hvordan en skal sikre tilstrekkelig åpenhet og innsyn i en automatisert forvaltning. Utvalget foreslo at «en myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut». Det er tilstrekkelig at forvaltningsorganet kan gi «övergripande redogörelser för hur de algoritmer med anknytande datorprogram som omfattas av den nya regleringen» anvendes. Der taushetsplikt innebærer at informasjon ikke kan gis, er det tilstrekkelig at «myndigheten innehar förmåga att lämna information för att kunna svara t.ex. tillsynsmyndigheter eller i samband med att myndigheten utövar egenkontroll avseende de aktuella algoritmerna eller datorprogrammen».50
Utvalget viser til at det så langt som mulig bør sikres åpenhet rundt systemers innretning, jf. utk. § 12. Dokumentasjonen av systemets rettslige innhold bør tilgjengeliggjøres offentlig, som i praksis vil bety at informasjonen gjøres tilgjengelig på forvaltningsorganets nettside. Slik offentliggjøring vil ha likhetstrekk med offentliggjøring av instrukser, som i dag er ganske vanlig.
Utvalget foreslår at organet ikke trenger å offentliggjøre informasjon om systemets innretning i den grad unntak følger av lov, eller hvis særlige hensyn taler mot offentliggjøring, f.eks. hensynet til sikkerhet. Systemet skal for eksempel føre kontroll med en gruppe borgere, og offentliggjøring av dokumentasjonen kan svekke systemets effektivitet ved å gjøre det sårbart for angrep eller manipulering.
18.3.3.7 Avvikshåndtering
Automatiserte systemer behandler saker konsekvent og likt. Når en part får medhold i at en sak er uriktig behandlet av systemet, vil feilen ha systematisk og generell virkning. Når forvaltningen har oppdaget en feil i forbindelse med omgjøring, klage eller annen kontroll, følger det av god forvaltningspraksis at forvaltningsorganet tar stilling til hvilke implikasjoner feilen har for systemet og hvordan en systemfeil i tilfelle skal avbøtes. Det kan enten gjøres endringer i systemet, eller det kan etableres faste manuelle rutiner som på tilstrekkelig sikker måte vil fange opp feilene som skyldes systemet. Det kan være praktisk med en periodisk testing av systemløsningenes rettslige innhold («systemrevisjon»). Ved en slik periodisk testing kan organet ta hensyn til eventuelle klager på brukervennlighet, tilgjengelighet mv. som ikke har resultert i klagesaksbehandling.
Om virkninger som feil får for den enkelte avgjørelse, se punkt 33.4.2.2.
18.3.3.8 Særlig om profilering
Med profilering menes «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser», se personvernforordningen artikkel 4 første ledd nr. 4. Profilering brukes her i en annen betyding enn den mer tradisjonelle betydningen og gjelder visse former for automatisert kategorisering. Slik profilering er ikke et nytt fenomen, men ved hjelp av avanserte algoritmer er det blitt mulig å analysere store datamengder og å oppdage subtile mønstre og sammenhenger. Slike mønstre kan det være vanskelig å komme frem til eller overprøve manuelt.
Profilering forutsetter ikke bruk av maskinlæring eller lignende, samtidig som slike teknologier åpner for inngående og treffsikre analyser. Etter hvert som teknologien blir mer sofistikert og tilgangen på informasjon blir bedre, vil treffsikkerheten øke.
Profiler kan inngå som del i helautomatisert saksbehandling. Det kan også inngå som del av en delvis manuell saksbehandling, for eksempel ved at profilene angir hvilke personer som er relevante for kontroll, eller ved at profilene klassifiserer fakta slik at de er relevante for rettsgrunnlaget som skal anvendes. Profiler kan også brukes i systemer med både helautomatiserte og delautomatiserte spor, for eksempel ved at kurante søknader automatisk innvilges, og at andre saker skilles ut til manuell behandling.
Profilering innebærer sammenstilling eller tolkning av informasjon og påfølgende kategorisering. Noen ganger vil profilering og vedtak skje i én og samme prosess. Andre ganger vil profileringen skje forut for et vedtak. Profilen kan danne grunnlag for et senere vedtak, enten ved å være faktisk beslutningsgrunnlag for det eller ved å peke ut kategorier som det skal rettes oppmerksomhet mot. Profilering i offentlig forvaltning kan særlig være aktuelt i kontrollrutiner, for eksempel for å skille ut grupper som er aktuelle eller ikke aktuelle for videre oppfølging.
Informasjonen som profiler dannes på bakgrunn av, kan være gitt fra borgeren til forvaltningen. Den kan også komme fra indirekte kilder. De fleste borgere etterlater seg omfattende digitale spor som kan fortelle mye om deres person. Informasjonen kan også komme fra tolking av biometri.
Når profilering ugjør eller inngår i en helautomatisert saksbehandlingsprosess, vil behandlingen av personopplysninger måtte fylle kravene i artikkel 22, se punkt 18.3.3.3.
18.3.3.9 Særlig om kunstig intelligens
Utviklingen av systemer med kunstig intelligens åpner nye muligheter og reiser samtidig problemstillinger knyttet til åpenhet og kontroll.51 Utviklingen kan også reise politiske og etiske spørsmål.
«Kunstig intelligens» er en samlebetegnelse på flere teknologier. I dag er maskinlæring den vanligste formen for kunstig intelligens,52 og brukes for eksempel ved internettsøk, navigering, oversettelse, filtrering av e-post og i virtuelle assistenter (for eksempel «chatbots»). Utviklingen har sammenheng med tilgang til store mengder data, kraftige og rimelige regneressurser, fremskritt i algoritmer og utviklingen av nevrale nett.53 Bruk av kunstig intelligens er ennå ikke vanlig i forvaltningens saksbehandlingssystemer. Lånekassen har imidlertid foretatt en konseptutredning av muligheter for effektivisering ved bruk av kunstig intelligens.54
Den svenske utredningen SOU 2018:24 konkluderer med at det er for tidlig å foreslå regulering av kunstig intelligens med maskinlærte algoritmer.55 Utredningen foreslår at regjeringen instruerer organer som bruker eller overveier å bruke systemer med kunstig intelligens, i samarbeid med andre svenske myndigheter, om å utarbeide «förslag på förfaranden som innebär att tredje part kan utöva revision, tillsyn, certifiering eller annan typ av kontroll avseende de algoritmer som kommer att användas».56 Forvaltningen bør søke samarbeid med privat næringsliv og forskningsmiljøer og holde seg oppdatert om den internasjonale utviklingen.
Utvalget nøyer seg med å vise til betraktningene gjengitt fra den svenske utredningen og understreker behovet for å være oppmerksomme på problemstillinger knyttet til kunstig intelligens i tiden som kommer.
18.3.4 Kommunikasjon i saksbehandlingen
18.3.4.1 Innledning
Flere av reglene i forvaltningsloven gjelder hva som skal kommuniseres mellom forvaltning og borger. Eksempler er reglene om forhåndsvarsling (kapittel 22), veiledning før og underveis i en sak (punkt 17.3), underretning om vedtak (punkt 23.3) og begrunnelse av vedtak (punkt 23.2). Andre regler gjelder hvordan kommunikasjonen skal skje. Eksempler er partens mulighet til å la seg bistå av fullmektig, regler om bruk av tolk (punkt 13.5.6), og regler om hvilke kanaler det skal kommuniseres i, se punkt 18.1 om gjeldende regulering i forvaltningsloven § 15 a og i eForvaltningsforskriften. Tidligere kunne forvaltningen kommunisere digitalt hvis borgeren samtykket til det. Etter fvl. § 15 a første ledd kan et forvaltningsorgan benytte elektronisk kommunikasjon når det henvender seg til andre, hvis ikke annet følger av lov eller forskrift. I dag er derfor regelen at forvaltningen kan sende digital post hvis borgeren ikke har reservert seg mot det. Store deler av kommunikasjonen som tidligere skjedde ved dokumentoverlevering i skranken eller ved forsendelse i posten, skjer i dag i digitale kanaler. Utviklingen reiser flere spørsmål.
For det første er det spørsmål om borgerne bør ha en ubetinget rett til å kommunisere digitalt med forvaltningen (punkt 18.3.4.2). Hvis de skal ha slik rett, må forvaltningen tilby passende løsninger og etablere slike hvis de ikke allerede finnes, og det er spørsmål om hvor fritt borgerne skal stå til å velge hvilken digital kommunikasjonsform de vil bruke.
Selv hvis borgeren ikke skulle ha en slik rett, vil en rekke forvaltningsorganer allerede ha utviklet digitale løsninger. Det oppstår spørsmål om borgerne bør kunne pålegges å bruke de digitale løsningene som forvaltningen har utviklet (punkt 18.3.4.3). To underspørsmål som er prinsipielt forskjellige, men som har nær sammenheng, er for det første om borgeren bør ha plikt til å motta digital post, og for det andre om borgeren selv bør ha plikt til å benytte digitale kanaler ved henvendelser til forvaltningen. Det kan også tenkes at borgeren bør ha rett til å svare digitalt dersom post mottas digitalt.
Endringen i kommunikasjonsformen mellom borger og forvaltning er del av en større endring i samfunnet, der mellommenneskelig kommunikasjon i større grad erstattes av forskjellige typer digitale selvbetjeningsløsninger. Dette innebærer effektivisering, men kan lede til utfordringer for sårbare grupper og til mindre direkte menneskelig kontakt. Det kan for eksempel være behov for samtale med en saksbehandler over telefonen eller i et møte, se punkt 17.3.7. Ved valg av kommunikasjonskanal må forvaltningen også ta behørig hensyn til sikkerhet og beskyttelse av opplysninger.
18.3.4.2 Bør borgerne ha rett til å kommunisere digitalt med forvaltningen?
Etter forvaltningsloven § 15 a annet ledd har en borger rett til å kommunisere digitalt med et forvaltningsorgan under forutsetning av at organet har tilrettelagt for det, og at kontakten skjer på den anviste måten.57 I den svenske utredningen SOU 2018:25 foreslås en regel som går noe lenger. Forvaltningen skal være tilgjengelig for kontakt med borgere og skal informere allmennheten om hvordan og når slik kontakt kan tas. Forvaltningen er også pliktig til å tilby en eller flere digitale mottaksfunksjoner, unntatt hvis det er «olämpligt av säkerhetsskäl eller av andra skäl».58 At myndigheten kan vise til en eller flere kanaler, innebærer at den kan avvise kommunikasjon i andre digitale kanaler.59 Det foreslås også at «en myndighets skriftliga underrättelser eller andra handlingar till enskilda skal förmedlas digitalt, om det inte är olämpligt av säkerhetsskäl eller av andra skäl». Utgangspunktet er altså at forvaltningsorganet skal sende digital post.
Det første spørsmålet er om borgeren bør ha en ubetinget rett til å velge digital kommunikasjon med forvaltningen, for eksempel slik at borgeren kan kreve at forvaltningen sender digital post, og at borgeren selv kan sende alle henvendelser og dokumenter mv. digitalt. Dette betyr at forvaltningen vil ha plikt til å tilby løsninger som tilfredsstiller visse krav til sikkerhet og til brukervennlighet. I dag tilbyr en rekke organer utsending av digital post, og de aller fleste har digitalt kontaktpunkt for alminnelige henvendelser.
Det er en økende forventning blant mange borgere om å kunne velge å kommunisere digitalt. Slike løsninger er også effektive for forvaltningen, og det er all grunn til å vente at utviklingen vil gå i retning av et stadig større tilbud om digital kommunikasjon. Samtidig er det ennå store forskjeller i forvaltningsorganenes digitaliseringsgrad og deres forutsetninger for å utvikle tilfredsstillende løsninger.
Utvalget mener at målet bør være at borgeren skal kunne velge å kommunisere med forvaltningen i sikre og brukervennlige digitale kanaler. Dette er imidlertid avhengig av tilrettelegging fra forvaltningens side, som må være på plass før en slik rett kan realiseres. En generell rettighet til å velge digital kommunikasjon vil måtte inkludere en unntakshjemmel blant annet for tilfellene der det ennå ikke er utviklet tilfredsstillende løsninger. At rettigheten innskrenkes av en slik vagt formulert unntaksbestemmelse, vil lede til at lovbestemmelsen først og fremst får symbolsk og politisk verdi.
Utvalget foreslår heller å ta inn i loven at forvaltningsorganet skal være tilgjengelig for at den enkelte kan ta kontakt med organet på en sikker og effektiv måte, jf. utk. § 13 første ledd. Bestemmelsen er teknologinøytral, men digital kommunikasjon vil ofte være en effektiv måte å kommunisere på. Forvaltningsorganet bør tilby borgeren slike løsninger så langt det er praktisk mulig. Utvalget understreker at det av hensyn til borgerne er ønskelig med brukervennlige fellesløsninger. Fellesløsninger har også den fordelen at mindre organer ikke trenger å utvikle egne løsninger, med de praktiske og økonomiske konsekvensene det innebærer.
At forvaltningsorganet skal være tilgjengelig for kontakt i sikre kanaler, innebærer at organet kan avvise kontakt i kanaler som vurderes som usikre. Forvaltningen kan imidlertid ikke kreve at borgeren benytter seg av digitale kanaler hvis det ikke følger av lov eller forskrift, se også punkt 18.3.4.3. Hvis borgeren henvender seg i feil kanal, skal forvaltningsorganet veilede.
18.3.4.3 Bør borgerne ha plikt til å kommunisere digitalt med forvaltningen?
Siden 2014 har hovedregelen vært at forvaltingen kan sende digital post til borgerne. Det er etablert felles digital postkasse til innbyggere. Det følger av forvaltningsloven § 15 a at forvaltningsorganet «kan» benytte elektronisk kommunikasjon. Det er altså en mulighet, men ikke plikt til å gjøre det. Hvis forvaltningsorganet velger å gjøre det, mottar borgerne posten digitalt hvis de ikke aktivt har reservert seg mot det. Privatpersoner og enheter som ikke er registrert i Enhetsregisteret, kan reservere seg mot å motta elektroniske meddelelser fra forvaltningen om enkeltvedtak, forhåndsvarsel, andre meldinger som har betydning for ens rettsstilling eller for behandlingen av saken, eller som det av andre grunner er av særlig betydning å sikre at vedkommende mottar, jf. forvaltningsloven § 15 a og eForvaltningsforskriften § 9.
Hovedregelen er ikke den samme for borgernes henvendelser til forvaltningen. Her står borgeren i utgangspunktet fritt: Selv om en mottar brev mv. i digital postkasse, kan borgeren velge å fortsette kontakten på mer tradisjonell måte.
Det kan reises spørsmål om borgeren skal pålegges å kommunisere digitalt med forvaltningen. En slik plikt kan for det første omfatte å motta digitale henvendelser fra forvaltningen, og for det andre en plikt til å selv benytte digitale kanaler ved henvendelser til forvaltingen. Hvis borgeren gis slike pålegg, vil forvaltningen kunne forholde seg til bare én kommunikasjonsmåte, og den vil kunne avvise henvendelser som rettes på annen måte. En plikt forutsetter at forvaltningsorganet tilbyr digitale løsninger som tilfredsstiller krav til sikkerhet og brukervennlighet.
Generelt er borgernes IKT-kompetanse og villighet til å bruke digital kommunikasjon høy og stadig stigende. For forvaltningen vil det være effektivt og praktisk å forholde seg til bare én kommunikasjonskanal og ikke måtte tilby alternativer for en stadig mindre gruppe. Selv om omstilling for mange vil være et spørsmål om å endre vaner, vil det likevel være igjen noen grupper som av ulike grunner vil ha utfordringer med å forholde seg til digital kommunikasjon. Dette gjelder blant annet eldre og personer i områder med dårlig internettilgang. I tillegg vil en plikt til å bruke digitale løsninger innebære at borgeren får risikoen for å ha tilgang til funksjonsdyktig teknologisk utstyr. De digitale løsningene er ofte også forskjellige selvbetjeningsløsninger, og for visse grupper vil selv løsninger som tilfredsstiller alminnelige krav til brukervennlighet, være vanskelig å forstå.
Reaksjonene da NAV høsten 2016 gikk over til å sende digitale meldinger om utbetalinger fra folketrygden, gir et bilde av hvor klare borgerne er for fullstendig omlegging. Meldinger om utbetalinger regnes ikke som enkeltvedtak etter forvaltningsloven, og det ble derfor lagt til grunn at de ikke var omfattet av reservasjonsretten etter eForvaltningsforskriften. At mottakere klaget over at de ikke fikk informasjon om utbetalingene, ledet til at Stortinget i vedtak 30. november 2017 ba regjeringen fra 1. juli 2018 gi alle som mottar pensjonsytelser, valgfri rett til å få utbetalingsinformasjon tilsendt i posten.60
Det kan være et alternativ å stille vilkår for at privatpersoner skal kunne fritas fra å motta digital post, for eksempel at borgeren må tilhøre en bestemt aldersgruppe eller bo i et område med dårlig internettilgang. Vilkår for fritak vil bidra til at flere raskere endrer vaner og går over i mer effektive, digitale kanaler. På den annen side vil en ordning med vilkår for fritak innebære at det må treffes beslutning i hvert enkelt unntakstilfelle. Det vil kreve ressurser å administrere en slik ordning. Vilkårene for unntak vil trolig måtte formuleres nokså vidt og bør inkludere personer over en angitt alder, personer med en fysisk eller psykisk funksjonsnedsettelse som hindrer bruk av digital post, personer med internettilgang under et angitt minstenivå mv. Det er grunn til å tro at mange av de som i dag velger å reservere seg, også vil omfattes av slike vilkår for fritak.
Selv om det i dag er fri adgang til å reservere seg, har relativt få valgt dette alternativet. Omtrent 135 000 personer har benyttet seg av reservasjonsadgangen. Rundt 240 000 personer blir i praksis behandlet som om de hadde reservert seg, idet de ikke har oppgitt elektronisk kontaktadresse som varsel om viktige meldinger kan sendes til. Blant Statens lånekasse for utdannings aktive kunder er under én prosent reservert. Dagens regler er relativt nye og har ikke har hatt betydelig negativ konsekvens for digitaliseringen.
Utvalget foreslår å videreføre gjeldende regler om digital post. Det innebærer et skille mellom privatpersoner og enheter som er registrert i Enhetsregisteret, og at det for privatpersoner fortsatt skal være mulig å reservere seg mot digital post. Næringsdrivende må forventes, slik de forventes i dag, å kunne forholde seg til digital post. Utvalget mener at reglene bør fremgå av lov, med hjemmel til å fastsette utfyllende regler i forskrift. Dette er også løsningen i dag. Dersom også privatpersoner skal pålegges å motta digital post, bør dette behandles i Stortinget. Det vil trolig være mest aktuelt å pålegge slikt på enkelte områder, slik at det kan skje ved regulering i særlovgivningen.
Spørsmålet om en generell plikt for borgeren til å måtte rette egne henvendelser til forvaltningen på digital måte, er prinsipielt forskjellig fra spørsmålet om plikt til å motta digitale henvendelser. Spørsmålene har likevel betydelige likhetstrekk. I dag finnes ingen slik plikt. Den svenske utredningen SOU 2018:25 har vurdert spørsmålet og konkluderer med at det ikke nå bør innføres «en förvaltningsgemensam reglering som ålägger privatpersoner och företag en generell skyldighet att använda de digitala tjänster som förvaltningen tillhandahåller».61
Utvalget er av samme oppfatning og foreslår ingen generell plikt til digital fremgangsmåte ved henvendelser til forvaltningen. Kvaliteten til forvaltningens tjenester varierer betydelig. Det gjør også ulike brukergruppers kompetanse. Det er i forvaltningsorganets interesse at de digitale tjenestene de tilbyr, blir brukt av så mange som mulig. Det viktigste tiltaket som bidrar til dette, er å sikre at tjenestene oppleves som nyttige og effektive. Utvalget foreslår imidlertid en forskriftshjemmel som vil gi adgang til å fastsette at bestemte fremgangsmåter skal brukes på bestemte forvaltningsområder eller i nærmere bestemte saksbehandlingsprosesser. Det bør først og fremst være aktuelt å gi forskrift om digital fremgangsmåte på områder med enhetlige og brukervennlige løsninger, samt på områder der brukergruppene har høy digital kompetanse. Et eksempel er krav om digital søknad om opptak til høyere utdanning.62 Forvaltningen må her, som ellers, veilede og bistå personer som av ulike årsaker faller utenfor, se kapittel 17 og utk. § 14.
18.3.5 Forskriftshjemmel
Forvaltningsloven § 15 a tredje ledd gir hjemmel til å fastsette forskrift om digital kommunikasjon mv. Den hjemler blant annet dagens eForvaltningsforskrift og forskrift om IT-standarder i offentlig forvaltning. Utvalget foreslår å videreføre hjemmelen i utk. § 13 annet ledd med en språklig forenkling. Hjemmelen til å gi forskrift om krav til systemer videreføres i utk. § 12 annet ledd.
Boks 18.1 Utvalgets forslag
Utvalget foreslår
en bestemmelse for helautomatisert behandling av personopplysninger
at forvaltningsorganet skal dokumentere automatiserte beslutningssystemers rettslige innhold
at forvaltningsorganet aktivt skal gjøre slik dokumentasjon offentlig tilgjengelig, hvis ikke annet følger av lov eller forskrift eller særlige hensyn taler mot det
at forvaltningsorganet skal være tilgjengelig for kontakt i effektive og sikre kanaler
å videreføre gjeldende regler om digital post
Fotnoter
«eRegelprosjektet», se Ot.prp. nr. 108 (2000–2001) Om lov om endringer i diverse lover.
Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften).
Lov 15. juni 2018 nr. 44 om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked, i kraft samme dag, jf. EØS-avtalen vedlegg XI nr. 5l (Europaparlaments- og rådsforordning (EU) nr. 910/2014 av 23. juli 2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og om oppheving av direktiv 1999/93/EF).
Forordningens fortale punkt 12.
Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 3.
Referansekatalogen, se https://www.difi.no/fagomrader-og-tjenester/digitalisering-og-samordning/standarder/referansekatalogen.
Schartum, Jansen og Tranvik, Digital forvaltning – en innføring, Oslo 2017 s. 72.
Forskrift 17. oktober 2008 nr. 1119. § 6 er foreløpig ikke i kraft, jf. § 12.
www.einnsyn.no. I eInnsyn kan en søke opp fulltekstdokumenter og be om innsyn i offentlige dokumenter som ikke er publisert. Når en ber om innsyn i et dokument som ikke er publisert, blir bestillingen sendt til den virksomheten som er ansvarlig for journaloppføringen. Bestillingen blir deretter behandlet av virksomheten som et innsynskrav, og svar gis direkte fra virksomheten.
Forskrift 5. april 2013 nr. 959.
Forskrift 21. juni 2013 nr. 732 om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger.
Forskrift 1. juli 2015 nr. 732 om IKT-standarder i helse- og omsorgstjenesten.
Se Kommunal- og moderniseringsdepartementet, Nasjonal strategi for bruk av skytenester, 14. april 2016.
EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679). Forordningens krav blir nærmere omtalt i kapittel 19.
Se henholdsvis lov nr. 215 av 22. april 2004 og lov nr. 1624 av 26. desember 2013.
Lov nr. 528 af 11. juni 2012 om Digital Post fra offentlige afsendere, nå lovbkg. nr. 801 av 13. juni 2016.
https://digst.dk/it-loesninger/digital-post/om-loesningen/fritagelse/.
«Enkle regler mindre bureaukrati – lovgivniing i en digital virkelighet», Finansministeriet, oktober 2017 s. 19.
Et stærkere og mere trygt digitalt samfund: Den fællesoffentlige digitaliseringsstrategi 2016–2020. Regjeringen/KL/Danske regioner s. 24.
«Enkle regler, mindre bureaukrati – lovgivning i en digital virkelighed», Finansministeriet, oktober 2017 s. 19.
Lag 2003:389 om elektronisk kommunikation kan sammenlignes med ekomloven 4. juli 2003 nr. 83.
Kommittédirektiv: Effektiv styring av nationella digitale tjänster i en samverkande förvaltning, dir. 2016:39.
Se SOU 2017:23 s. 14.
Dag Wiese Schartum, Arild Jansen og Tommy Tranvik, Digital forvaltning – en innføring, Oslo 2017 s. 67.
Samordna opptak og det såkalte Vigo-systemet.
Se f.eks. Erik Magnus Boe, Rettskildelære under debatt, Oslo 2012 s. 438–439.
Se Jon Bing, «Automatiseringsvennlig lovgivning», Tidsskrift for rettsvitenskap, 1997 s. 195–229. I Danmark er regjeringens ambisjon at all ny lovgivning fra 1. juli 2018 skal være «digitaliseringsklar». Se «Enkle regler, mindre bureaukrati – lovgivning i en digital virkelighed», Finansministeriet, oktober 2017 s. 17. Prinsippene finnes i Justisministeriets veiledning for lovkvalitet. Digitaliseringsstyrelsen har gitt uten en veileder om «Digitaliseringsklar lovgivning», se https://digst.dk/media/17750/vejledning-digitaliseringsklar-lovgivning-juli-2018_publikation-d-15-august-2018.pdf.
Det er opprettet et sekretariat for digitaliseringsklar lovgivning under Finansministeriet, som skal «følge op på, om konsekvenser af ny lovgivning bliver tilstrækkeligt belyst, og om digitalisering er tænkt ind i lovforslaget fra start». Sekretariatet skal blant annet se gjennom lovutkast og bistå departementene med veiledning. https://digst.dk/afbureaukratisering/digitaliseringsklar-lovgivning/sekretariat-for-digitaliseringsklar-lovgivning/.
I SOU 2018:25 s. 216 vises det til at ved «övergång från ett manuellt till ett automatiserat förfarande behöver det … alltid övervägas om det är möjligt och lämpligt att en myndighet omsätter bedömningsutrymmen i gällande rätt till algoritmer med anknytande datorprogram, eller om förfarandet kan automatiseras endast under förutsättning att lagstiftningen anpassas».
Se Dag Wiese Schartum, Digitalisering av offentlig forvaltning – fra lovtekst til programkode, Bergen 2018 s. 326.
Dag Wiese Schartum, Arild Jansen og Tommy Tranvik, Digital forvaltning – en innføring, Oslo 2017 s. 46.
Åse Marie Bergseng Skullerud m.fl., Personvernforordningen (GDPR). Kommentarutgave, Oslo 2018 s. 140.
Se Dag Wiese Schartum, Den elektroniske forvaltningen og loven, Oslo 2015 s. 167 flg. og Erik Magnus Boe, «Lovgivningsutvikling og IKT», i: Hans Christian Bugge mfl. (red.), Lov, liv og lære. Festskrift til Inge Lorange Backer, Oslo 2016 s. 98–110.
Fortalepunkt 71 lyder: «Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling, og som har rettsvirkning for vedkommende eller på lignende måte i betydelig grad påvirker vedkommende, f.eks. et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen. En slik behandling omfatter « profilering», som består av enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjørelsen. Nevnte tiltak bør ikke gjelde barn.»
Artikkel 29-gruppen er EUs tidligere rådgivende organ i personvernspørsmål, etablert med hjemmel i Directive 95/46/EC artikkel 29.
Endorsement 1/2018. EDPB er hjemlet i forordningens artikkel 68, og består av representanter fra nasjonale tilsynsmyndigheter. Organet har i oppgave å utstede retningslinjer om anvendelsen av personvernforordningen og underliggende regelverk, gi uttalelser til Kommisjonen om forslag til nytt regelverk, samt informere om dommer og uttalelser som angår forordningen. EDPB har også ha kompetanse til å avgjøre tvister mellom nasjonale tilsynsmyndigheter med bindende virkning og skal gi uttalelser om visse typer nasjonalt regelverk.
Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, Adopted on 3 October 2017, as last Revised and Adopted on 6 February 2018 (EDPB Endorsement 1/2018), WP251rev.01, s. 19.
Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, Adopted on 3 October 2017, as last Revised and Adopted on 6 February 2018 (EDPB Endorsement 1/2018), WP251rev.01. s.19–20. Selv om EDPBs uttalelser om forståelsen av personvernforordningens innhold ikke er direkte bindende for Norge, vil uttalelsene ha vekt ved fortolkningen av forordningens bestemmelser.
Isak Mendoza og Lee A. Bygrave, «The Right Not to Be Subject to Automated Decisions Based on Profiling», i: Tatiani Synodinou, mfl. (red.), EU Internet Law: Regulation and Enforcement (Springer 2017 Forthcoming); University of Oslo Faculty of Law Research Paper No. 2017–20, se s. 10.
Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, Adopted on 3 October 2017, as last Revised and Adopted on 6 February 2018 (EDPB Endorsement 1/2018), WP251rev.01 s. 24
Forordningen innebærer noen endringer sammenlignet med personopplysningsloven av 2000 § 22, som fastslår at dersom en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte som avgjørelsen retter seg mot, «kreve» at den behandlingsansvarlige gjør rede for regelinnholdet i systemene som ligger til grunn for avgjørelsen. Etter de nye reglene skal informasjonen gis av eget tiltak på tidspunktet det samles inn opplysninger fra den registrerte.
SOU 2018:25 Juridik som stöd för förvaltningens digitalisering s. 165.
SOU 2018:25 Juridik som stöd för förvaltningens digitalisering s. 165.
Simulering av vedtak vil gjøre direkte bruk av arbeidet som allerede er gjort i automatiseringsprosessene. Reglene som ligger i programmet, vil være tilgjengelige med et tastetrykk, og resultatet en får, vil i stor grad være pålitelig. Dag Wiese Schartum, Arild Jansen og Tommy Tranvik, Digital forvaltning – en innføring, Oslo 2017 s. 103.
Dag Wiese Schartum, «Forvaltningsloven og elektronisk forvaltning», Lov og Rett 2017 s. 45–62.
En pseudokode er uformell beskrivelse av et dataprogram eller en algoritme. Hovedformålet er å beskrive metoder på en slik måte at de kan realiseres i mange ulike programmeringsspråk og er enkle å forstå. Se: https://snl.no/pseudokode.
Dag Wiese Schartum, Digitalsiering av offentlig forvaltning – fra lovtekst til programkode, Bergen 2018 s. 284.
Se Dag Wiese Schartum, Digitalisering av offentlig forvaltning – fra lovtekst til programkode, Bergen 2018 s. 283 med videre internhenvisninger for informasjon om hvordan dette kan gjøres.
Offentliggjøring av dokumentasjonen vil dermed legge til rette for kontroll av tidligere og fremtidig rettsanvendelse fra systemets side. Slik offentliggjøring vil derfor ha både en reparerende og en preventiv funksjon. Dag Wiese Schartum, Digitalisering av offentlig forvaltning – fra lovtekst til programkode, Bergen 2018 s. 280.
Det vil kunne gi økt risiko for manipulering og redusere virkningen av systemet. Hvis for mange detaljer offentliggjøres, vil for eksempel personer som skal kontrolleres eller testes av et system, kunne tilpasse seg for å oppnå ønsket vurdering. Et eksempel er verktøy for å vurdere tilbakefallsrisiko for straffedømte. Slike kan basere sine antakelser på personens svar på påstander som «En sulten person har rett til å stjele» og «Du kan snakke deg ut av et problem», jf. Robert Brauneis & Ellen P. Goodman, Algorithmic Transparency for the Smart City, YALE J. L. & TECH. vol. 20, 2018 s. 103–176 (på s. 160).
SOU 2018:25 s. 197.
Det kan for eksempel være vanskelig å forstå og beskrive funksjonaliteten til selvlærende systemer ved at det kan være vanskelig å gi en fullgod forklaring på hvordan systemet har kommet frem til et bestemt resultat. Se NOU 2018: 14 IKT-sikkerhet i alle ledd – Organisering og regulering av nasjonal IKT-sikkerhet punkt 4.1 om sikkerhetsutfordringer.
Kunstig intelligens er drevet frem av et ønske om å gjøre maskiner i stand til å løse både fysiske og kognitive oppgaver som tidligere var forbeholdt mennesker, og oppgaver som mennesker ikke er i stand til å løse eller utføre.
Se NOU 2018: 14 punkt 4.1.
Lånekassen, Sluttrapport 27. november 2017, se https://www.lanekassen.no/Global/Om%20organisasjonen/Sluttrapport%20konseptutredning%20kunstig%20intelligens%20L%c3%a5nekassen%202017.pdf.
SOU 2018:25 s. 207 flg.
SOU 2018:25 s. 210.
Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 3.
SOU 2018:25 s. 253.
Det foreslås at informasjon som er sendt digitalt, anses for å ha kommet frem til forvaltningsorganet når den tas imot der, se SOU 2018:25 s. 255.
Vedtak 33, 30. november 2017. Se også Dokument 8:11 S (2017–2018) og Innst. 36 S (2017–2018).
SOU 2018:25 s. 240.
I dag er det ikke anledning å søke opptak til høyere utdanning på papir. CERES (nasjonalt senter for felles systemer og tjenester for forskning og studier, underlagt Kunnskapsdepartementet), som tidligere forvaltet ordningen, opplyser at bare 10–50 personer blant 135 000 årlige søkere ikke har mulighet til å søke elektronisk. Disse blir hjulpet slik at de likevel får søkt. CERES vurderer at dette fungerer bra, og ser ikke behov for å regulere området nærmere. Fra 2018 er adgangen til å rapportere til a-ordningen på papir fjernet. Erfaringen har vist at andelen av de opplysningspliktige som leverte a-melding på papir i 2015, utgjorde 1,2 prosent av det totale antallet. I 2016 var andelen redusert til 0,8 prosent, og det antas at andelen vil være enda lavere ved utgangen av 2017.