Utlämnande av allmänna handlingar med hjälp av AI
Tillsammans med Lidingö stad och Atea (Atea Sverige) har IMY analyserat rättsliga förutsättningar och tagit fram förslag på säkerhetsåtgärder för användning av AI-baserade verktyg i kommuner. Fokus har varit dataskyddsrättsliga frågor kring hantering av personuppgifter vid utlämnande av allmänna handlingar.
Initialt omfattade projektet en helhetslösning som skulle automatisera stora delar av processen för utlämnande av allmänna handlingar. Under projektets gång visade det sig att lösningen hade både tekniska och juridiska hinder. Projektdeltagarna valde därför att gå vidare med en avgränsad AI-maskeringstjänst. Maskeringstjänsten ska identifiera och ge förslag på uppgifter som ska maskeras i en allmän handling. Ansvarig handläggare gör därefter den slutgiltiga sekretessbedömningen.
IMY konstaterar i sin rapport att maskeringstjänsten kan vara förenlig med GDPR och kraven på nödvändighet och proportionalitet. För att säkerställa dataskyddet rekommenderar IMY att tjänsten föregås av en noggrann konsekvensbedömning och att särskilda säkerhetsåtgärder införs. Exempel på säkerhetsåtgärder är autentisering, kryptering, loggning samt regelbunden övervakning för att förhindra obehörig åtkomst och felaktig databehandling.
I rapporten betonar IMY särskilt vikten av mänsklig kontroll (human-in-the-loop) vid användningen av AI-tjänster. Det innebär bland annat att ansvarig handläggare behöver förstå hur tjänsten fungerar, att man inte har en övertro till tjänsten och säkerställer att sekretessmaskeringen är korrekt innan en allmän handling lämnas ut.
Projektet genomfördes under våren 2024.
