Datatilsynet og finanstilsynet får sine egne sandkasser
Kommunal- og moderniseringsdepartementet lanserte nylig en nasjonal strategi for kunstig intelligens (KI). Her foreslår Regjeringen å ta i bruk såkalte regulatoriske sandkasser. Hva er så dette?
I den nye nasjonale KI-strategien fremhever Regjeringen hvilke store muligheter KI representerer, både for enkeltmennesket og for samfunnet som helhet. Regjeringen ønsker seg nye og mer effektive forretningsmodeller i næringslivet, og vil at vi skal satse på KI på områder der Norge har særskilte fortrinn – som helse, hav, offentlig forvaltning, energi og mobilitet.
Samtidig er det en kjent sak at lovgivning rundt teknologi som er i en tidlig fase ofte er ute av takt med utviklingen. I tillegg kommer at restriksjoner rundt bruk av personopplysninger kan utgjøre et ekstra «hinder» for innovasjon. For å imøtekomme behovet for utvikling, samtidig som man ivaretar personvernhensyn, foreslår Regjeringen at det opprettes en regulatorisk sandkasse for personvern under Datatilsynets myndighetsområde.
En regulatorisk sandkasse henter sitt navn fra såkalte «sandboxes» innen IT. En «sandbox» er en beskrivelse på et virtuelt miljø der man kan kjøre et program uten at det kan ha uheldige påvirkninger på systemer i drift. På samme måte vil en regulatorisk sandkasse legge til rette for et sikkert miljø for virksomheter som vil prøve ut nye, innovative produkter, teknologier og tjenester under oppfølging av myndighetene. Ved bruk av den regulatoriske sandkassen vil begge parter få økt forståelse; virksomhetene får økt forståelse for de regulatoriske kravene som stilles til virksomheten, og myndighetene får økt forståelse for nye teknologiske løsninger slik at de lettere kan identifisere risiko og problemstillinger på et tidlig stadium.
Hittil har man sett initiativ for en regulatorisk sandkasse innen «FinTech» underlagt Finanstilsynet. Finanstilsynet understreker at FinTech-sandkassen ikke innebærer et regulatorisk frislipp med lavere grad av forbrukervern, investorbeskyttelse e.l., men at det heller er en «ny idé for nye idéer». Poenget er at virksomhetene kan teste ut nye teknologiske tjenester eller produkter, i en begrenset tidsperiode, overfor en begrenset gruppe reelle kunder – med veiledning og rådgivning fra Finanstilsynet. Den regulatoriske FinTech-sandkassen vil etter planen være satt i gang i løpet av siste halvår i 2020.
Det gjenstår å se hvordan den nye regulatoriske personvern-sandkassen vil bli utformet, og hva som blir vilkårene for deltakelse. Foreløpig har Datatilsynet på egne nettsider kun uttalt at de ser på Regjeringens forslag «med entusiasme». I KI-strategien viser imidlertid Regjeringen til hvordan en tilsvarende regulatorisk personvern-sandkasse blir benyttet i Storbritannia. Her har det britiske datatilsynet («ICO»), plukket ut ti virksomheter som får gratis rådgivning fra ICO-ansatte. ICO har også forbeholdt seg muligheten til å kunne gi dispensasjon fra håndhevingstiltak i test- og utviklingsfasen. Et av prosjektene som ble valgt ut er et prosjekt på Heathrow flyplass der man vurderer om ansiktsgjenkjenning kan brukes til innsjekk, i sikkerhetskontrollen, bagasjedropp, med videre, for å sikre de reisende en sømløs opplevelse.
Det som også er interessant, er at Regjeringen hinter om at Datatilsynets sandkasse trolig ikke blir den siste regulatoriske sandkassen til utvikling av KI. I strategien fremheves at Regjeringen er positiv til å utvikle flere regulatoriske sandkasser, der ansvaret plasseres i det miljøet som har best forutsetning for å teste ut nye løsninger – som fagmiljøer, eller lokale eller regionale myndigheter.
Etter vår mening er dette positive og spennende initiativ. Konseptet virker som et egnet virkemiddel til å fremme innovasjon, samtidig som man sikrer at utvikling av ny KI ivaretar personvernreglene og andre hensyn på en ansvarlig måte. Initiativet viser også at myndighetene er «på ballen» og ønsker å lære gjennom utprøving.
Torstein Arendt, Stian Oddbjørnsen og Mari K. Kristiansen i Kluge advokatfirma