Der mangler et fælles hjemmelsgrundlag for brug af AI til behandling af personoplysninger i forvaltningen.
Sådan lyder det fra vikarierende digitaliseringsminister Christina Egelund, der via Digitaliseringsstyrelsen i sidste uge sendte et nyt lovforslag i høring. Lovforslaget skal gøre op med den nuværende praksis i kommunerne, hvor hjemmelsgrundlaget er fragmenteret, og hvor det er op til den enkelte kommune selv at definere rammerne for brugen af kunstig intelligens i forhold til behandling af personoplysninger.
Lovforslaget ligger op til, at forvaltningen som helhed skal have lov til at udvikle og anvende AI til behandling af personoplysninger i sagsbehandling over for en borger. Med den nye hjemmel følger en mulighed for den offentlige forvaltning til at anvende AI-systemer til blandt andet beslutningsstøtte og evaluering af bestemte personlige forhold vedrørende en borger, lyder det i lovforslaget.
Men forslaget får en blandet modtagelse hos nogle af landets førende eksperter på området. For mens intentionen bag lovforslaget er god, så er der stadig en del uklarheder og bekymringer forbundet med den nuværende ordlyd af forslaget, lyder det.
Ifølge professor Henrik Palmer Olsen fra Det Juridiske Fakultet på Københavns Universitet efterlader det nye lovforslag en del tilbage at ønske. Ifølge Henrik Palmer Olsen, der blandt andet forsker i datalogisk retslære, er der nemlig ikke defineret i lovforslaget, hvad det konkret er for områder og opgaver, som man giver hjemmelsgrundlag til at løse. På den måde er det stadig op til den enkelte kommune og forvaltning at definere, hvor det giver mening, påpeger han.
”Det er med det her forslag lagt ud til de enkelte kommuner, og det kan man argumentere for er fornuftigt nok, at det er de enkelte steder, hvor man sagsbehandler de enkelte sager, at man definerer, hvordan det bliver brugt bedst. Men det er en hurtig løsning, hvor man ikke løser problemet om, hvordan det så skal konkret skal bruges,” siger han og tilføjer:
”Hvor gennemarbejdet det her forslag er, det ved jeg nu ikke,” siger han.
Allerede I januar måned udgav Henirk Palmer Olsen en kronik i Berlingske sammen med en kollega, hvor han agiterede for, at: ”Danmark mangler et mere generelt gennemarbejdet hjemmelsgrundlag, en egentlig lov om kunstig intelligens, der kan sikre en klar, ensartet og ansvarlig udrulning af AI i den offentlige sektor.”
Trods de mangler han ser i lovforslaget, så er han derfor generelt positivt stemt over, at der så kort tid efter sit eget opråb kommer et forslag til en ny lov, der søger at ændre det, han selv efterlyser.
”På en måde er vi blevet overhalet lidt af den politiske virkelighed. Jeg er overrasket over, at der så hurtigt kommer et udspil – altså at man bare giver hjemmel til alt, når det kommer til kunstig intelligens. Den udfordring jeg så vi havde tidligere, den ser umiddelbart ud til at blive løst med det her forslag. Jeg synes derfor, det er en god og generel løsning,” siger han til K-NEWS.
Et værktøj uden brugsvejledning
Bekymringer over for lovforsalget finder man også hos Thomas Hildebrandt. Han er til dagligt professor på Datalogisk Institut på Københavns Universitet og har det sidste årti arbejdet med digitalisering af processer i den offentlige forvaltning.
Han ser store risici forbundet med lovforslaget, der i hans øjne er formuleret på en måde, der kan opfattes som en decideret blankocheck til alle sagsbehandlere om fri brug af kunstig intelligens i deres daglige arbejde.
”Min bekymring er jo, at der har været en vis ivrighed i at lave de prædiktive modeller, der kan hjælpe med at træffe automatiske beslutninger om alt fra tildeling af førtidspension til screening af borgere, der er risikogruppen for at havne i fleksjob.
Bekymringen er, at det nu med det her forslag bliver opfattet som et signal til, at det nu er nemmere at tage de her modeller i brug. Men der er bare så mange eksempler på at de her modeller er svære at tage i brug, og de er svære at teste,” siger han til K-NEWS.
Det her bygger (...) på en oppustet tro på, hvad man kan bruge de her systemer til
Citat: Thomas Hildebrandt
Ifølge Hildebrandt er det problematisk, når sagsbehandlere, der jo ikke er AI-eksperter eller uddannet inden for softwareudvikling skal træffe forvaltningsretilge beslutninger på baggrund af systemer, der ikke har mulighed for at forstå.
”Det giver jo medarbejderne et ansvar til at stå inde for afgørelser truffet på et grundlag, som de ikke forstår. Når en del af beslutningsgrundlaget kommer fra et system, man ikke forstår, så kan man jo ikke give en god forklaring på, hvorfor man reagerer på afgørelsen fra forvaltningens side,” siger han.
Han efterlyser, ligesom Henrik Palmer Olsen, at lovforslaget i højere grad sætter en retning for, hvilke konkrete opgaver, man tænker, AI skal være med til at løse. For alt for ofte kan myndigheder blive forblændede af, at AI kan løse alt.
”Det her bygger også på en oppustet tro på, hvad man kan bruge de her systemer til. Og det er bekymrende. Hvis man har brugt en million på at udvikle et værktøj, så er der jo også en vis insisteren på at tage det i brug.”
Hen henviser til et eksempel fra udlandet, hvor en præmatur brug af AI har haft store konsekvenser. Så sent som i 2021, hvor den hollandske premierminister Mark Rutte måtte træde tilbage efter en skandale om automatiseret udbetaling af børnepenge.
Her lavede myndighederne et system, der skulle fange snyd med børnepenge, men systemet ramte forkert så mange gange, at mange enlige forsørgere endte med at opleve et massivt psykisk og økonomisk pres. Og det endte med at regeringen måtte gå af.
GDPR og aftaler med tredjepart
I lovforslaget står der desuden anført, at:
”Det vil (…) være mulighed for ressortministrene at gøre helt eller delvist undtagelse til en række af den registreredes rettigheder i databeskyttelsesforordningen under nærmere bestemte betingelser.” Det skyldes ifølge styrelsen, at den tekniske opbygning af AI-systemer kan gøre det svært at tilgodese den registreredes rettigheder i alle tifælde.
Den undtagelse flugter med ordlyden i GDPR’s artikel 23, uddyber Henrik Palmer Olsen.
”Der kan være situationer, hvor der kan opstå undtagelser fra reglerne. Selve definitionen af hvad der er personoplysninger, og også hvad der er behandling, er meget bred. Nogle gange behøver man måske ikke nidkært at beskytte de her oplysninger, hvis de behandles på den rette måde,” siger han og uddyber:
”Det her en måde at sige, at man kan godt lave en anden vægtning, hvor man i et vist omfang nedprioriterer beskyttelsen af hensynet til at beskytte personoplysninger over for hensynet til at myndigheden kan lave effektiv sagsbehandling med hjælp fra kunstig intelligens. Det kan for eksempel være vanskeligt at slette personoplysninger ved brug af AI, da de her oplysninger bliver indlejret i et system. Men hvis oplysningerne ikke er vigtige, og risikoen for misbrug ikke er stor, så kan vi godt tilsidesætte behovet for at få det slettet.”
Men det perspektiv deler Thomas Hildebrandt ikke. For med øget brug af AI følger også øget deling af oplysninger med tredjepart, altså det specifikke firma, der står bag det AI-værktøj, som den enkelte forvaltning benytter sig af. Og det kommer altid med en risiko, siger han.
”Jeg mener at kunne læse, at styrelsen bemærker, at man ikke må behandle personoplysninger til tredjepart, men min generelle bekymring er nok nærmere, at man stoler for meget på de her kontrakter, som de her firmaer laver. Det er jo et faktum, at i alle it-systemer kan der ske et læk, og når der ligger mange personoplysninger på eksterne server, så vil der være den risiko,” siger Thomas Hildebrandt.
Høringsperioden på lovforslaget udløber 2. marts 2026.