AI kan förenkla sekretessbedömningar av allmänna handlingar

Tillsammans med Lidingö stad och Atea (Atea Sverige) har IMY analyserat rättsliga förutsättningar och tagit fram förslag på säkerhetsåtgärder för användning av AI-baserade verktyg i kommuner. Fokus har varit dataskyddsrättsliga frågor kring hantering av personuppgifter vid utlämnande av allmänna handlingar. 

– Arbetssättet i vår regulatoriska sandlåda passar väldigt bra när man ska tillämpa juridik på ny teknik. Det är också inspirerande och lärorikt. Samarbetet med Lidingö stad och Atea är ännu ett gott exempel på detta. Med vår regulatoriska sandlåda kan vi bidra till att skapa bättre förutsättningar för integritetsvänlig innovation, säger Pontus Rosengren, jurist på IMY:s innovationshubb.

Initialt omfattade projektet en helhetslösning som skulle automatisera stora delar av processen för utlämnande av allmänna handlingar. Helhetslösningen visade sig dock innehålla både tekniska och juridiska hinder. Projektdeltagarna valde därför att fokusera på en mer avgränsad maskeringstjänst. Tjänsten ska identifiera och ge förslag på uppgifter som ska maskeras i en allmän handling. Enligt Lidingö stad kan tjänsten, som bygger på AI-drivna språkmodeller, medföra stora effektivitetsvinster då sekretessbedömningen görs helt manuellt idag. 

– Det här samarbetet har varit otroligt värdeskapande för oss och skapat mervärden på flera sätt. Både kunskapshöjande, men även förtroende för att när vi tar fram nya lösningar med ny teknik så vill vi bottna i och utmana juridiken, säger Therese Perner, informationssäkerhet- och dataskyddssamordnare samt portföljansvarig för digitaliseringsinitiativ i Lidingö stad.

IMY konstaterar i sin rapport att maskeringstjänsten kan vara förenlig med GDPR och kraven på nödvändighet och proportionalitet. För att säkerställa dataskyddet rekommenderar IMY att AI-tjänsten föregås av en konsekvensbedömning och att särskilda säkerhetsåtgärder införs. Exempel på relevanta säkerhetsåtgärder i det här sammanhanget är autentisering, kryptering, loggning samt regelbunden övervakning för att förhindra obehörig åtkomst och felaktig databehandling. 

I rapporten betonar IMY särskilt vikten av mänsklig kontroll (human-in-the-loop) vid användningen av AI-tjänster. Det innebär bland annat att ansvarig handläggare behöver förstå hur tjänsten fungerar, att man inte har en övertro till tjänsten och säkerställer att sekretessmaskeringen är korrekt innan en allmän handling lämnas ut.

– Jag kan rekommendera alla som har möjlighet att medverka i IMY:s regulatoriska sandlåda, det här är bra på riktigt, säger Therese Perner. 

Ta del av slutrapporten "Utlämnande av allmänna handlingar med hjälp av AI" (pdf, 3 MB)

Läs mer om tidigare projekt och vårt innovationsarbete på innovationsportalen