Algoritmene må temmes

Å kjenne igjen en venn tar kun et millisekund. Å resonnere seg fram til at en kvinne med hvit frakk og stetoskop rundt halsen er lege, kanskje ørlite gang lenger. I trafikken tar vi beslutninger som bestemmer liv og død på under ett sekund.

For at maskiner skal ta slike intelligente beslutninger om oss, krever det selvsagt tilgang til store mengder personopplysninger. Skal en bil kjøre selv, må den sitte med store mengder data om trafikken, sjåføren og omgivelsen rundt, og skal datamaskinen skille en ulv fra en husky, må den se mange bilder av både ulv og husky.

I begeistringen over at ny teknologi kan skape et mer effektivt samfunn, gi oss et enklere liv og avdekke kriminalitet, er det lett å glemme at det også for algoritmer og kunstig intelligens, finnes lover og regler som må følges. Vi må styre teknologien i riktig retning og ikke la teknologien styre oss.

Algoritmer som avdekker kriminelle handlinger

Allerede i dag ser vi at datamaskinene treffer rettslige beslutninger som tidligere ble tatt av mennesker, for eksempel innvilgelse av studielån. I USA treffer datamaskiner beslutninger om lengden på fengselsstraff og hvorvidt en fange skal prøveløslates. Da brukes såkalte prediktive algoritmer, som kan «se» inn i framtiden.

Her hjemme har Skatteetaten utviklet en prediktiv analyse for velge ut hvilke selvangivelser som bør kontrolleres for å oppdage feil eller juks. Det kan være opplysninger om skattyternes demografi tilhørighet, hendelser i livet, bruk av fradragsposter i år og i fjor, alder, økonomiske forhold som inntekt og formue.

Lånekassen har tatt i bruk kunstig intelligens for å avdekke svindel med borteboerstipend. 24. januar kunne vi lese i Aftenposten at Tollvesenet har inngått en avtale med det CIA-støttede selskapet Palantir, som bruker kunstig intelligens for å avdekke smugling. I følge avisen ligger det også i Tolletatens bestilling at det er behov for teknologi som kan «klassifisere et forum, sosiale medier eller flere nettsteder for å sortere den informasjonen vi er interessert i. Det samme gjelder for ustrukturerte data som bilde og lyd ved hjelp av teknikker som bilde- og talegjenkjenning».

Strengere regler fra mai

Den 25. mai trer den nye personopplysningsloven i kraft. Her fastslås flere viktige prinsipper for behandling av data, blant annet at data skal samles inn til et bestemt formål, og at man ikke skal samle inn mer data enn nødvendig (dataminimalisering). Når man tar i bruk kunstig intelligens, er det ofte fristende å ta i bruk data til nye formål. Algoritmen skal finne sammenhenger og mønstre den menneskelige hjerne ikke kan finne. Og mengden skal maksimaliseres, slik at vi får mest mulig data å øse fra.

Den nye loven stiller også strengere krav til å ha kontroll på data virksomheten bruker. Dette betyr at en virksomhet, som for eksempel treffer beslutninger om tildeling av en stønad, må ha full oversikt over de datakildene som brukes for å treffe beslutningen. Offentlig sektor er også underlagt forvaltningsloven som blant annet krever at enkeltvedtak skal begrunnes så godt at jeg forstår hvorfor avgjørelsen ble som den ble. Borgeren har også rett på informasjon om hvilke regler og faktiske forhold vedtaket bygger på, samt hvilke hovedhensyn som har vært avgjørende. 

Retten til en forklaring

Den som gjenstand for en automatisk beslutning, har en rett til å få en forklaring på logikken bak beslutningen. Ta forsikring som eksempel: Selv i dag er det å beregne pris på en bilforsikring krevende, og mange opplysninger inngår i beslutningen; alder, bosted, barn under 25 år som kjører bilen, kjørelengde, om man har garasje eller parkerer på gata. Med en svart boks i bilen, vil når jeg bremser, hvor fort jeg kjører, bruk av blinklys osv også inngå i prisvurderingen.

Datatilsynet har ikke svaret på hvordan slik forklaring skal gis, men vi ser at dette i mange tilfelle vil være krevende. Jeg skal med rimelig grad av sikkerhet vite hva utfallet av en sak skal bli, basert på lignende avgjørelser. Dessuten skal jeg kunne etterprøve at beslutningen er rettferdig, at det ikke er trukket inn utenforliggende hensyn eller at det er fordommer i algoritmen.

Regulering, politikk og tilsyn

Vi må utvikle en metodikk for hvordan algoritmer skal forklares, og hvordan lovverket skal tilpasses en ny teknologisk hverdag. Vi kan også komme i en situasjon der et resultat ikke kan forklares: Maskinen avslår søknaden om stønad, men vi vet egentlig ikke hvorfor. Vi kan ende i en situasjon der en algoritme ikke kan brukes, fordi vi ikke kan forklare beslutningene den har truffet.

Det vil også stilles krav til lovhjemlene som skal brukes for eksempel i svindelsaker. Dersom det for eksempel lykkes å utvikle en algoritme som flagger trygdesvindlere, må det være en egen lovprosess for å få på plass en hjemmel før algoritmen kan slippes løs på virkelige saker. Dersom Tolletaten skal starte søk i åpne datakilder for å fange smuglere, vil det kreve en meget grundig utredning, klare lovhjemler og ikke minst vurdering i forhold til Den europeiske Menneskerettskonvensjon.

Datatilsynet må også utvikle en tilsynsmetodikk for algoritmer. Vi vil sjekke det samme som i dag, for eksempel internkontroll og behandlingsgrunnlag, og ikke minst oversikt over hvilke datakilder som brukes. Hvilke kilder bruker egentlig Tolletaten dersom de tar i bruk søk i åpne kilder? Og hvilken lovhjemmel har de? Hvis en virksomhet bruker et system basert på kunstig intelligens, kan det være relevant å sjekke om virksomheten tester resultatene og reviderer systemet for å sikre at det ikke bruker personopplysninger på en diskriminerende måte. Det vil også være relevant å undersøke om systemet er utviklet basert på prinsippene for innebygd personvern.

Vi må ikke sveve i den villfarelsen at vi skal gjøre alt som er teknisk mulig. Jeg er teknologi-optimist, men tror fortsatt at lover og regler vil, og skal, sette ramme for bruk av teknologi.

 

Denne kronikken sto på trykk i Aftenposten 30.01. 2018.

2 kommentarer

  1. I en artikkel i Lokalavisen om Tollvesenets nye datasatsning fremgikk det bl.a. at det er et samarbeide med Infotorg, som ifølge artikkelen har 50 databaser. Det lyder voldsomt, så jeg kontaktet dem (e-mail), for å høre hva de har registrert om meg. Det virker som det går tregt med å få svar fra dem. Er det ikke slik at vi borgere har krav på å få vite hva som er registrert om oss i slike databaser?
    Mvh. Fred Thiesen

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.