Husk oplysningspligten i arbejdet med kunstig intelligens

Hvad skal borgerne have at vide om forvaltningens brug af kunstig intelligens i form af algoritmer?

Det er ikke et problem, der er enkelt at besvare – både fordi der er meget stor forskel på, hvad den kunstige intelligens bruges til, og fordi det kan være svært (grænsende til det umulige) at forklare hvordan algoritmerne fungerer.

Jeg vil dog gøre et forsøg her på at ridse nogle grundlinjer op, som forhåbentlig kan gøre det nemmere at navigere.

Forskel på afgørelser

Først og fremmest er det vigtigt at skelne imellem fuldautomatiserede afgørelser og afgørelser, hvor beregninger foretaget af kunstig intelligens indgår som et element af mange.

Når der er tale om fuldautomatiserede afgørelser ved vi, at der skal oplyses om brugen heraf allerede ved indsamlingen af oplysninger. Det følger nemlig af GDPRs artikel 13/14.

GDPR fastsætter også, at borgeren skal have ”som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.”

Brugen af ”black box”-teknologier, hvor ingen reelt ved, hvordan en algoritme har nået sit resultat, er altså reelt ikke tilladt når der er tale om fuldautomatiserede afgørelser.

Der er ikke noget krav om, at borgeren skal have adgang til den fulde kode, men derimod et krav om, at forvaltningen kan forklare hvordan den kunstige intelligens er nået frem til sin afgørelse, og hvilke konsekvenser denne afgørelse kan have for borgeren. Forklaringen skal være lettilgængelig og letforståelig, jf. GDPRs artikel 12.

Der bruges mig bekendt ikke mange fuldautomatiserede afgørelser i forvaltningen på nuværende tidspunkt, og dem, der er, er i høj grad direkte reguleret i lovgivningen.

Af langt større relevans er derfor de tilfælde, hvor den kunstige intelligens indgår som et delelement i afgørelsen.

Eksempelvis afprøves netop nu, om det giver mening at den kunstige intelligens laver en risikovurdering af indkomne underretninger på børn, for at hjælpe sagsbehandleren med at vurdere, om der er grundlag for at reagere.

Denne type af kunstig intelligens er ikke direkte reguleret i GDPR, men der er andre regler, der fortæller noget om hvad borgeren skal have at vide.

Forvaltningslovens krav om begrundelse

Først og fremmest gælder forvaltningslovens §§ 22-24. Forvaltningen skal således altid kunne forklare og begrunde en afgørelse, hvis den ikke giver borgeren fuldt medhold.

En af de ting, der skal forklares, er hvilke hensyn, forvaltningen har inddraget. Hvis et af de elementer, der er blevet lagt vægt på, er en beregning foretaget af en algoritme, skal borgeren altså have dette at vide.

Hvor meget borgeren skal have at vide om algoritmens beregninger fremgår ikke direkte af forvaltningsloven, og vi har ikke (endnu) helt klare retningslinjer for dette.

Hvis man ser på baggrunden for indførelsen af begrundelsespligten, kan man imidlertid komme det noget nærmere.

Begrundelserne blev nemlig i sin tid indført på trods af forvaltningens protester om at det ville medføre længere sagsbehandlingstider og øgede omkostninger, fordi man fra politisk side vurderede, at andre hensyn vægtede tungere.

Begrundelsespligten højner således både tilliden til forvaltningen, og borgerens retssikkerhed.

Begge dele er essentielle elementer i en retsstat, hvor forvaltningen jo skal følge lovgivningen, og borgeren skal kunne kontrollere, at dette faktisk sker.

Samtidig skal borgeren også have mulighed for at vurdere, om en afgørelse er korrekt. Måske er der ikke blevet inddraget et relevant hensyn, eller der kan være blevet lagt vægt på et irrelevant (og dermed ulovligt) hensyn, og hvis det er tilfældet, vil der være god grund til at klage.

Hvis afgørelsen derimod har taget hensyn til alle de relevante elementer, vil der ikke være nær så god grund til at klage, og borgeren vil derfor (sandsynligvis) være mindre tilbøjelig til at klage.

Sådan begrunder du algoritmernes resultater

Overfører man disse overvejelser til nutidens brug af kunstig intelligens må det samme hensyn stadig gøre sig gældende.

Skal borgerne bevare tilliden til forvaltningen skal de stadig kunne forstå, hvordan afgørelserne er blevet truffet. Derfor skal de også vide, hvilken betydning den kunstige intelligens har haft for vedkommendes konkrete afgørelse.

Og hvis de skal have en realistisk chance for at vurdere, om det giver mening at klage, skal de også forstå, hvordan den kunstige intelligens nåede frem til sit resultat.

Dermed ikke sagt, at de skal have adgang til den konkrete kode – det ville sandsynligvis overhovedet ikke hjælpe langt størstedelen af borgerne.

Derimod skal de sandsynligvis vide, hvad den kunstige intelligens har lagt vægt på, så de kan vurdere, om der er sket fejl. Hvis ikke dette kan oplyses vil borgerens retssikkerhed alt andet lige være forringet.

Dermed kan der muligvis også være et brud på den Europæiske Menneskerettighedskonventions artikel 13, som siger at borgeren skal have en mulighed for at få prøvet en afgørelse.

Hvis ikke borgeren har nok viden til at kunne afgøre, om der er grund til at klage, vil en sådan mulighed ikke være reel, selvom den måtte eksistere på papiret.

EU’s forslag til regulering af AI

For nylig udkom EU's forslag til en regulering af kunstig intelligens.

Den indeholder fire kategorier: Uacceptabel, høj risiko, begrænset risiko og minimal risiko.

De algoritmer, der bruges som en del af sagsbehandlingen, vil typisk blive kategoriseret som høj risiko. Det medfører blandt andet, at der fremover vil være en lang række krav til dokumentation, herunder at forvaltningen kan tolke en algoritmes resultater korrekt, med alt hvad dertil hører af medfølgende usikkerheder og indbyggede bias.

Hvis den enkelte sagsbehandler skal have en chance for det, skal vedkommende også kunne gennemskue hvordan algoritmen har nået sit resultat. Det vil alt andet lige betyde, at en decideret ”black box” teknologi ikke kan accepteres, hvis den skal indgå som en del af en afgørelse, mens den sandsynligvis sagtens kan bruges til eksempelvis at sortere post.

Jo større betydning en konkret algoritme har for forvaltningens afgørelser, desto større krav vil der nemlig også blive stillet til dets dokumentation.

Vi ved ikke, hvornår EU’s AI-regulering træder i kraft, eller hvor mange ændringer den vil undergå inden da.

Hvis man lytter på vandrørene, kan man fornemme, at de grundlæggende betingelser nok ikke vil blive ændret voldsomt, selv om detaljer selvfølgelig kan og vil blive justeret.

I betragtning af, at forslaget ligger godt i tråd med de almindelige forvaltningsretlige overvejelser, som redegjort for ovenfor, vil det derfor give mening, hvis udviklere allerede nu begynder at inddrage det, ved at udarbejde de påkrævede risikoanalyser og overveje, hvordan algoritmerne bedst kan belyses og forklares.

Samtidig bør de forvaltninger, der indfører algoritmer, gøre meget ud af at uddanne personalet til at forstå hvordan de virker, så de kan forklare dem for borgerne.

Samme krav som til speciallægen

At algoritmer skal kunne forklares, svarer i virkeligheden blot til de krav, man også stiller til andre typer af vurderinger.

En speciallægeerklæring skal således også forklare, hvad den lægefaglige vurdering bygger på, og en syn- og skønsmand skal aflevere en rapport om mulige fejl og mangler.

Vi tager stort set aldrig eksperternes ord for gode varer, medmindre vi forstår hvordan de nåede til deres konklusion. På samme måde er det svært at have tillid til en algoritme, hvis resultater vi ikke forstår.

Selv om en algoritme måske på kort sigt kan vise sig at være præcis og effektiv, kan den på den lange bane være ødelæggende for tilliden til forvaltningen, og dermed også til retsstaten, hvis dens konklusioner ikke kan forklares – også selvom dens resultater statistisk set måtte være overbevisende.

Regulering af AI

DataTech har fået økonomisk støtte fra Europa-Nævnet til at sætte journalistisk fokus på arbejdet med at regulere AI

EU-Kommissionen har fremlagt et forslag til, hvordan AI skal tøjles. Forude venter således en afgørende offentlig debat, som skal være med til at sikre, at den endelige lovtekst rammer den rigtige blanding af sikkerheder og muligheder. Et fejlskud mod den ene af disse poler kan have alvorlige konsekvenser for Europas evne til succesfuldt at udnytte AI i dette årti. 

DataTech vil i en artikelserie gå i dybden med, hvordan EU konkret vil regulere AI, hvor der er behov for regulering, ligesom vi undersøger, hvordan de specifikke regler rammer ned i det praktiske arbejde med AI i europæiske virksomheder.