Rapport från en sandlåda
Under våren pågick under ett antal veckor ingående diskussioner rörande möjligheterna att förena svårkombinerade företeelser som AI-modellering och känsliga personuppgifter. Knowit deltog inom denna så kallade regulatorisk sandlåda och fick utöver möjligheten att diskutera dataskyddsrättsliga perspektiv även förstahandserfarenhet om vad som sker inom denna omtalade samarbetsmodell.
Regulatorisk sandlåda som begrepp har lika delar lekfulla som experimentella implikationer vilket öppnar upp för kreativa föreställningar om dess faktiska innebörd. Det används något olika beroende på sammanhang och kan innefatta skillnader i omfång och utförande. Vissa faktorer är däremot gemensamma oavsett i vilken kontext begreppet förekommer. Först och främst handlar det om samarbeten mellan myndigheter och andra verksamheter – privata som offentliga – där olika juridiskt diffusa frågeställningar systematiskt ska analyseras. I bästa fall finner man vägar framåt inom ramen för det specifika projektet, som därmed även fungerar som vägledande exempel för andra verksamheter som vill utforska liknande områden. En lyckad sandlåda har därmed potential att öppna dörrar för nya innovationer och verksamhetsområden.
Integritetsskyddsmyndigheten (IMY) har sedan ett par år initierat regelbundna sandlådeprojekt där frågeställningar om teknik och dataskydd har genomlysts inom områden som sjukvård, bankväsende och kommunal verksamhet. Under våren fick Knowit möjlighet att medverka i den senaste upplagan av sandlåda i egenskap av dataskyddsrättslig rådgivare. Uppdragsgivare var våra lika samhällsorienterade som framtidsblickande vänner på Familjens Jurist.
Här kommer vår rapport från en dataskyddsrättslig regulatorisk sandlåda.
Familjära jurister med AI-ambitioner
Projektets utgångspunkt var specifikt inriktad på området vårdnadsärenden, där målsättningen är en AI-modell med kapacitet att exempelvis kunna stödja praktiserande juridiska ombud och förhindra att onödig administration adderar lidande för barn och vuxna som befinner sig i ett turbulent undantagstillstånd i privatlivet. Detta genom att använda verksamhetens samlade ärendehistorik som kunskapsunderlag och genom modellering och finjustering utveckla ett verktyg som med hög statistisk träffsäkerhet kan ge användbara insikter och praktiskt stöd. Ett slutresultat med önskvärt utfall skulle därmed även innebära ett tacksamt hjälpmedel för forskare, ideella verksamheter, lagstiftare och andra institutioner med akademiskt eller praktiskt intresse av områden som barnrätt, socioekonomi och offentlig förvaltning.
Samarbetet inom sandlådan
För klargörandets skull bör den första kärnfrågan att ta sig förbi gällande regulatoriska sandlådor vara vad det egentligen är och hur det skiljer det sig från andra former av projekt? För att stävja högtflygande fantasier om vad som försiggår inom initiativets ramar kan vi konstatera att det i all enkelhet handlar om de två klassiska samverkansformerna workshop och dialog. Närmare bestämt så ska rättsfrågor identifieras, processer presenteras, tekniska begrepp förklaras och olika perspektiv lyftas och jämföras. Efter ett antal sammankomster kommer man oundvikligen fram till den emotionella ökenvandring som den långa väntan på en slutrapport innebär.
Trots den i alla avseenden ordinära verklighet som gömmer sig bakom den symboliskt lekfulla benämningen kan vi ändå påstå att ”regulatorisk sandlåda” är en rättvis beskrivning. Regulatorisk är den i allra högsta grad då det är djupdykningen i rättsfrågor som står i centrum och liknelsen av en sandlåda blir relevant om man jämför den öppna, frågvisa och prestigelösa dialog som förts med hur man i vanliga fall förhåller sig vid kontakt med den myndighet som utövar tillsyn över sitt eget verksamhetsområde. Att få möjlighet att under ett antal månader provtänka högt om dataskyddets relation till framtidens teknikutveckling med IMY:s representanter bör för vissa av oss räknas som den direkta vuxenmotsvarigheten till att med hink och spade experimentera sig fram till den mest hållfasta konstruktionen av ett sandslott.
Känsliga uppgifter och syntetisering
Som vi varit inne på utgick sandlådeprojektet från den hypotetiska tanken ifall det finns möjlighet att med beaktande av dataskyddsregleringen kunna utvinna kunskap från det historiska vårdnadsärendematerialet genom att träna en AI-modell?
Som många säkert uppfattat kretsade de kärnfrågorna kring utmaningarna som följer av att använda sig av personuppgifter av känsligare karaktär. Vårdnadsärenden är av sin natur integritetsmässigt högkänsligt. För att på djupet förstå mekanismerna som styr de juridiska processerna och utgången av dessa ärenden går det därför inte att bortse från även de mest intima uppgifterna som utgör en oskiljaktig del av underlaget. Bakgrundsinformation som familjemedlemmars hälsotillstånd, religiösa övertygelser och brottshistorik är mer än bara bisatser i ärendehanteringen, det är tvärtom ofta de grundläggande utgångspunkterna som är avgörande för de inblandades livssituation, ställningstaganden och drivkrafter.
En förutsättning redan inför projektet var därför att någon integritetsfrämjande åtgärd behöver finnas med i beräkningen redan vid tiden för ansökan till sandlådan. Av de olika tekniker som finns att tillgå var det framför allt möjligheten att syntetisera ärendedata som utpekades som mest lämpad för projektet. Detta innebär att man, med utgångspunkt i verklig information skapar fiktiva data som återspeglar de verkliga statistiska sambanden mellan olika variabler. I relation till vårdnadsärenden skulle man alltså ta alla relevanta datapunkter från ärendena såsom inkomstnivåer, utbildningsgrad, ålder, geografisk hemvist etc. och genom syntetisering omvandla detta till beräkningar om hur de olika faktorerna relaterar till varandra.
Rättsfrågor i fokus
I konkreta termer kokade rättsfrågorna ner till vilka rättsliga grunder som potentiellt skulle kunna vara tillämpliga för syntetisering av dessa uppgifter och om denna behandling skulle kunna innefattas i den begränsade rätten att vidarebehandla personuppgifter för andra ändamål än det ursprungliga.1 Det faktum att det finns ytterligare begräsning utöver tillämpande av rättslig grund för känsliga uppgifter och uppgifter om lagöverträdelser innebar att analysen av de olika uppgiftskategorierna fick delas upp inom olika workshoptillfällen för att analyseras separat.
Som det så ofta blir insåg vi snabbt att varje djupdykning ner i ett område ofrånkomligt leder till att nya problem formuleras och ställs i vägen för de ursprungliga frågorna. För egen del var det framför allt två frågor vars slutgiltiga tolkning uppfattades som avgörande för utvecklingen av tekniska lösningar som genererar kunskap från sammanhang där känsliga personuppgifter är en oundviklig komponent.
Frågan om syntetisering och statistiska ändamål
Den första frågan var om syntetisering av personuppgifter kan likställas med ”statistiskt ändamål” och därmed innefattas inom det som i förordningen anges som vidarebehandling för ändamål som inte anses ”vara oförenlig med de ursprungliga ändamålen”. Det skulle i sådana fall kunna innebära att behandlingen inte hindras av principen om ändamålsbegränsning enligt formuleringen i artikel 5.1 (b) andra meningen.2
Som vi varit inne på används personuppgifter vid syntetisering tillfälligt för att identifiera och extrahera statistiska samband mellan olika variabler. I praktiken innebär det att personuppgifter inte vidarebehandlas för nya ändamål i traditionell bemärkelse, utan de har funktionen av ett ingångsvärde i syfte att utvinna strukturella relationer. Det är alltså inte individerna som är av intresse, utan de statistiska egenskaper som förekommer i materialet.
Detta ligger i linje med förordningens beskrivning av vad som avses med statistiskt ändamål, där det uttryckligen anges att resultatet inte ska kunna kopplas till enskilda personer och att det får användas för bredare syften så länge individens integritet skyddas.3 Frågan som det utmynnar i är därmed om en generalisering av icke identifierbar representation av verkliga mönster, vilket är kärnan i syntetisering, kan anses innebära ett sådant statistiskt ändamål som gör vidarebehandling av personuppgifter tillåtet?
Anonymiseringens dubbla egenskaper
Den andra följdfrågan av avgörande intresse handlar om anonymisering. Först och främst, kan man kalla syntetisering för en anonymiseringsprocess? Om ja, innebär anonymiseringen en personuppgiftsbehandling i sig som aktiverar kraven på rättslig grund, tillämpning av undantagsbestämmelse om förbud att behandla känsliga uppgifter och för uppgift om brott att någon av de snävt avgränsade förhållandena för att behandla dessa föreligger?
Detta var i sig inte en omdebatterad rättsfråga, då definitionen av personuppgiftsbehandling är så oerhört bred. Att anonymisering skulle falla utanför definitionen när närliggande begrepp som ”bearbetning”, ”ändring och justering” samt ”radering” av personuppgifter uttryckligen nämns som exempel på behandlingar är svårt att argumentera för. Däremot leder denna utgångpunkt till många komplexa frågeställningar om vad individer och samhället vinner på en ordning som ställer svåröverkomliga hinder i vägen för att utföra en åtgärd vars huvudsakliga syfte är att skydda personuppgifter.
Om anonymisering av ärendeunderlag som innehåller känsliga uppgifter och uppgifter om brott i praktiken skulle omöjliggöras av regelverkets utformning så finns det en överhängande risk att värdefulla insikter och kunskap inom många fält förblir inlåsta i arkivskåp i stället för att komma allmänheten till nytta. Det är självklart i sin ordning så länge det i den andra vågskålen finns starka integritetsmässiga skäl för att hålla uppgifterna fredade, men i relation till den beskriva kontexten ställde vi oss frågan vems intressen det är som skyddas? För om vi utgår från att syntetiseringen genomförs på ett korrekt och säkert sätt, där statistiska samband från ärenden beräknas och transformeras till simulerade relationer, så finns det till synes inga integritetsintressen att värna om. Exempelvis varken sparas uppgifterna eller används som underlag för någon form av annan vidarebehandling. Tvärtom raderas all persondata som använts inom själva syntetiseringen så att det enda som återstår är icke-identifierbar syntetiserad data.
Det går att tänka många varv kring detta och beröra frågor om hur anonymisering i egenskap av både en säkerhetsåtgärd och behandling riskerar att hamna i ett dataskyddsrättsligt moment 22, samt problematikens betydelse för lagstiftningens ändamål och politiska målställningar om AI-innovation.
I slutändan står vi här med förhoppningar om en väg framåt som öppnar för möjligheter att utvinna värdefull kunskap även från underlag som innehåller en bred variation av känsliga uppgifter under förutsättning att det finns tekniska lösningar och robusta processer som säkerställer att berörda individers fri- och rättigheter förblir okränkta.
Slutkommentarer från en sandlåda
I skrivande stund befinner oss alltså under pågående författande av slutrapport hos IMY. Av frågorna som berörts ovan vet vi ännu inte åt vilket håll slutsatserna lutar. Med anledning av potentialen för stora konsekvenser beroende på utfallen är det med en spänd förväntan som vi räknar ner dagarna till det preliminära slutdatumet i oktober.
Oavsett var resonemangen om syntetiseringens status som integritetsfrämjande teknik, anonymiseringens självmotsägande natur i dataskyddssammanhang och definitionen av statistiskt ändamål mynnar ut i slutändan har medverkandet i den regulatoriska sandlådan varit ett lärorikt nöje. Denna rapport avslutas därmed med ett stort tack till alla inblandade som bidragit till ny förståelse för bredden och djupet av komplexitet som allas vår dataskyddsförordning kan bjuda på när man gräver tillräckligt ihärdigt. Vi ser fram emot att så småningom ta all denna erfarenhet ut från den lilla sandlådans skyddade miljö för praktisk tillämpning i den stora och något mer bångstyriga verkligheten.
[1] I artikel 6.4 GDPR framkommer villkoren som öppnar upp för vidarebehandling av personuppgifter under vissa omständigheter.
[2] Artikelns andra mening lyder: ”Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen”.
[3] I beaktalsskäl 162 GDPR anges detaljerade villkor för att statistiskt ändamål ska anses föreligga i förordningens betydelse.
