KOMMENTAR | Arild Haraldsen:
Hvorfor skal Nkom få ansvaret for KI?
DFØ foreslår å legge tilsynsmyndigheten med KI til Nkom, og å endre Datatilsynets rolle slik at personvern veies opp mot viktige samfunnsoppgaver. Forslagene vil ha stor betydning for digitaliseringen av Norge.
Hvorfor foreslår ikke DFØ, (Direktoratet for forvaltningsutvikling og økonomistyring), at tilsynsmyndigheten legges til Datatilsynet eller til Digdir, som i andre land? Konklusjonen er overraskende, men analysen er god og argumentasjonen overbevisende. Rapporten er vel verdt å lese.
Tilsynsmyndighet med KI
EU har laget en KI-forordning (AI Act) for å regulere markedet for utvikling og bruk av KI. Det er nå opp til medlemslandene, herunder EØS-landene, å finne en hensiktsmessig organisering av håndhevingen av denne forordningen. Den skal balansere innovasjon og mulige gevinster mot risikoer og ulemper på grunnleggende rettigheter.
«Regulering av KI» er et sammensatt problem. Det består på den ene side av produktgodkjenning og markedsovervåkning. På den annen side av rettighetstilsyn ved at bruk av KI ikke skal bryte rettighetene til brukerne. Et tilsyn må ha en sammensatt kompetanse om KI, personvern, cybersikkerhet, forståelse av relevante standarder og av rettslige krav.
Det er derfor en krevende oppgave å skulle være tilsynsmyndighet. Samtidig må rollen utvikles over tid. DFØ sier at en må være forberedt på en prøveordning i 3-5 år.
Opprinnelig ønsket EU at det skulle etableres en ny tilsynsenhet i hvert medlemsland (og i EØS-landene). Dette er senere endret slik at oppgaven kan tildeles eksisterende tilsyn. De landene som har innført dette til nå, har benyttet seg av ulike måter å organisere forvaltningsansvaret på.
DFØs forslag er altså å legge den nasjonale tilsynsmyndighet med KI til Nasjonal kommunikasjonsmyndighet (Nkom), tidligere Post- og teletilsynet som hadde ansvaret for regulering av telemarkedet.
Hva anbefaler DFØ?
DFØ anbefaler ikke at det etableres et eget, nytt organ for denne oppgaven, selv om det på mange måter vil være det mest formålseffektive. Det vil kreve for lang tid, medføre store kostnader og samtidig innebære usikkerhet knyttet til oppgavesammensetning og -omfang. Og hvor skal organet ligge geografisk? Slike beslutninger vil ofte være politisk styrt og ha en lang beslutningsprosess.
Digitaliseringsstyrelsen i Danmark er tildelt rollen som tilsynsorgan for KI. Hvorfor kunne da ikke Digdir ha en tilsvarende rolle her hjemme?
Digdir er i dag ikke noe tilsynsorgan i motsetning til sin danske motpart. Digdirs rolle som leverandør av felleskomponenter, og som pådriver for digitalisering og innovasjon innen offentlig sektor, vil komme i konflikt med rollen som et troverdig tilsynsorgan.
Riktignok har Digitaliseringsstyrelsen i Danmark oppgaver som ligner på de Digdir har, som fellesløsninger og en pådriverrolle overfor myndighetene. Men når KI etter hvert vil spille en lang større rolle i digitaliseringen, vil Digdirs pådriverrolle komme i konflikt med rollen som tilsynsorgan, mener DFØ. Digdirs rolle er begrenset til forvaltningen, og omfatter ikke det private marked hvor regulering av KI vil ha enda større betydning.
Jeg ville ha trodd at Datatilsynet var det rette organet, særlig siden flere andre land legger tilsynsordningen til de nasjonale datatilsyn. Men DFØ argumenterer annerledes.
Datatilsynet er tilsynsorgan i dag, har bred kompetanse innen sitt område, men er primært et rettighetstilsyn. De har begrenset erfaring med markedsovervåkning og tilsyn av produktsikkerhet.
Riktignok har de utviklet en «sandkasse» for utprøving av KI-løsninger, men den er først og fremst innrettet mot juridiske aspekter ved bruk av KI. Datatilsynet har begrenset teknologisk kompetanse innen KI, og må i så fall tilføres denne kompetansen for å kunne gi et mer helhetlig perspektiv på bruken av KI.
Det er blitt stilt spørsmål, særlig fra representanter fra næringslivs- og leverandørsiden, men også fra helsesiden og andre deler av offentlig sektor, om Datatilsynets tydelige og synlige rolle som rettighetstilsyn på personvernområdet, vil være forenlig med en produkttilsynsrolle på KI-området. (Dette utdypes i en annen rapport fra DFØ; se nedenfor).
Nkom har i dag ansvaret for tilsyn av produktsikkerheten for digitale kommunikasjons- og internettløsninger.
De deltar i EU og internasjonalt arbeid i forbindelse med regelverksutvikling og standardiseringsarbeid. De har også erfaring med ulike reaksjonsmidler ved brudd på krav. De har i sin tilsynsvirksomhet løpende måttet forholde seg til å balansere mellom innovasjon, markedssvikt og sikkerhet i kritisk infrastruktur.
Nkom har nylig fått ansvar for tilsynet med datalagre og datalagring i Norge, og er aktuell som koordineringsorgan for EUs digitale tjenesteforordning (DSA). Dette vil bidra til at ulike deler av datalagring og -deling kan ses i sammenheng. De har noe erfaring med sandkassemetodikk gjennom et utviklingsprosjekt i samarbeid med ekom-myndighetene i andre nordiske land og en privat aktør.
Nkom har – i motsetning til Digdir og Datatilsynet - mulighet til å bli operative som KI-tilsyn relativt rask ved å utnytte eksisterende kapasitet og kompetanse.
Svakheten er liten erfaring med veiledning. De må få tilført slik kompetanse slik at kunnskap om KI-forordningen kan formidles til forvaltningen og samfunnet.
DFØ anbefaler at Nkom får det overordnede ansvaret for tilsynet med KI. De får også ansvaret for koordinering med øvrige sektorspesifikke tilsynsmyndigheter som Finanstilsynet og Datatilsynet, samt veiledning og informasjon til KI-leverandører, -brukere og allmennheten for øvrig.
Personvern er ikke bare juss, men også politikk
I en annen rapport evaluerer DFØ Datatilsynets rolle.
Datatilsynet har siden Georg Aspenes tid (1989 til 2010) hatt rollen som Ombud. Det har vært en rolle som sterkt og tydelig har fremmet personvernet som en sentral verdi i samfunnet. Rollen har blitt spilt på grensen til å være en interessepolitisk aktør. Denne rollen er endret med årene hvor man nå veier ulike hensyn opp mot hverandre. Datatilsynet omtaler seg derfor ikke selv som Ombud lenger.
Men det er et faktum at omgivelsene oppfatter at Datatilsynet er for lite opptatt av å synliggjøre og utforske handlingsrommet i regelverket. De peker på at Datatilsynet i for liten grad bidrar til å finne løsninger på viktige samfunnsproblemer der hensynet til personvern hindrer deling av data.
DFØ mener at Datatilsynet bør etterstrebe en mer dialogbasert arbeidsform med brukerne. Dette krever mer ressurser, men stiller også nye krav til rollebevissthet hos ledere og medarbeidere.
Datatilsynet på sin side mener at samfunnsoppdraget er å ivareta hensynet til personvernet. Dersom dette kommer i konflikt med andre viktige hensyn, må dette løftes opp til politisk ledelse om hva som skal tillegges største vekt.
Det er nettopp en slik endring DFØ mener er nødvendig. De sier:
- Det er behov for å løfte spørsmål om personvern til en offentlig og politisk diskusjon. Selv om Datatilsynet har et hovedansvar med å fremme et godt personvern, må det ikke bli slik at Datatilsynet «eier» personverndiskusjonen. Med den raske teknologiske utviklingen vil det oppstå behov for deling av data på stadig nye områder og med nye formål. Når det oppstår et behov for deling av personopplysninger på kritiske områder, trenger vi en balansert og opplyst debatt om hvordan personvern som verdi skal avveies og balanseres mot det som eventuelt går tapt hvis man ikke får mulighet til å dele data.
DFØ foreslår at Ombudsrollen bør fjernes fra instruksen til Datatilsynet. I stedet bør de vektlegge rollen som premissgiver overfor departementene og rådgiver for brukerne. De ansvarlige departementene bør invitere til en offentlig og politisk diskusjon om personvernets bidrag til å løse store samfunnsutfordringer. Rollen som konstruktiv og løsningsorientert veileder overfor målgruppene, bør forsterkes.
Dette er gode forslag som digitaliseringsminister Karianne Tung ikke bør ha noen problemer med å slutte seg til.