5 myter om AI og data i den offentlige sektor

Falsk. 

Mathias Andersen kalder myten “falsk” og peger på, at juraen for mange systemer allerede er tilstrækkelig klar. Den vigtige skelnen på det regulatoriske område er mellem det, der er ulovligt, det, der er høj risiko, og det, der ikke er nogen af delene. Juraen i kontrakterne kender vi også, og den kan placeres i kendte kasser, selvom begreberne er nye.

Hans pointe er, at du skal bruge kræfterne dér, hvor gevinsterne er tydelige, og risikoen er til at styre. Hvis AI skal løfte kritiske kerneopgaver, stiger kravene. Hvis den derimod skal lette almindeligt papirarbejde eller støtte medarbejdere i mindre følsomme opgaver, er råderummet ofte større, end mange tror. For use cases, der ikke er høj risiko eller ulovlige, er hans råd klart: “Se at komme i gang”. 

Falsk. 

Jura er sjældent den største barriere alene. Og det er måske den vigtigste pointe i hele den her artikel. For når jura får rollen som hovedskurk, risikerer du at overse det, der ofte bremser mindst lige så meget: ledelse, governance, organisering, kultur og manglende 
fælles retning. 

Mathias Andersens løsning er at tage jura med på råd. ”Men ikke som sidste stop, når alt andet er besluttet. Samtidig er et juridisk råd, der er sort-hvidt, ikke meget værd. Juristerne skal ikke sidde ‘med korslagte arme’, men hjælpe organisationen med at forstå det juridiske råderum. Derfor skal du have bred forankring i organisationen tidligt med teknik, sikkerhed, IT og jura omkring bordet – og med klar ledelse og governance fra start”

Falsk. 

Myten om cloud som juridisk no-go holder ikke. Ifølge Mathias Andersen er den “falsk”. Der findes masser af gode og sikre cloud-løsninger, og ”on premise” skal ikke nødvendigvis være standardsvaret, medmindre du arbejder i et usædvanligt følsomt område eller er underlagt særlige sektorspecifikke krav, der direkte begrænser cloud”, siger han og fortsætter: ”Suverænitets- debatten fylder lige nu, og risikoen er reel, men kan håndteres”.  Men han uddyber, at det afgørende ikke alene er cloud i sig selv, men om du har styr på din leverandør, dine dataoverførsler, din sikkerhed og din styring.

Falsk. 

GDPR gør ikke datadeling på tværs umulig. Som Mathias Andersen siger, må offentlige myndigheder gerne dele data på tværs, “så længe man kan begrunde og retfærdiggøre det, og samtidig er villig til at bruge energi på de praktiske krav”. Det afgørende er altså ikke, om du deler data, men hvorfor og hvordan. Er formålet lovligt, meningsfuldt og nødvendigt, er der ofte en vej. 

Det betyder ikke, at det er let. Mathias peger selv på, at det kan være tungt at retfærdiggøre delingen. Men tungt er ikke det samme som umuligt. Hvis 2 myndigheder har brug for at dele data, fordi det er “meningsfuldt og vigtigt”, kan det godt lade sig gøre. Du skal ”bare” have styr på formål, roller og ansvar tidligt. 

Det kommer an på... 

Det er sjældent klogt at gøre formålsbegrænsning til en universel stopregel. Mathias Andersen påpeger, at offentlige myndigheder indsamler data under “meget forskellige hjemler”, og på nogle områder – for eksempel sundhed – gælder der særlige regelsæt. Derfor giver det ikke mening at behandle al databrug, som om den juridisk ser ens ud.

Hans råd er at tage udgangspunkt i din konkrete use case. “Tænk på din use case. Hvor følsomme er dine data egentlig? Hvad er hensynet bag den nye brug?”. Mange steder bliver reglerne overfortolket eller -implementeret, fordi alle data instinktivt eller af praktiske årsager bliver behandlet som lige følsomme. Men det er de ikke. Og derfor kræver al databrug heller ikke den samme tunge behandling. Som han siger: “Det perfekte må ikke stå i vejen for det gode. Det handler ikke om at slække på kravene, men om proportionalitet i tilgangen.”