5 Hjemmel for helautomatiserte avgjørelser
5.1 Høringsnotatet
I høringsnotatet ble det redegjort for at bruk av helautomatiserte avgjørelser i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere krever et eksplisitt rettsgrunnlag i nasjonal rett.
Departementet pekte på at automatisering av beslutningsprosesser kan gi store effektivitetsgevinster og bidra til økt likebehandling. Automatisert saksbehandling kan videre sikre at prosessuelle krav til saksbehandlingen blir fulgt og kan gi økt implementering av rettigheter og plikter.
Departementet foreslo at det gis lovbestemmelser som tillater at det fattes avgjørelser, for eksempel vedtak om å innvilge eller avslå krav om ytelse, som utelukkende er basert på automatisert behandling av personopplysninger. Det ble foreslått at behandlingen i alle tilfeller må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.
Departementet foreslo videre at særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 1, som blant annet helseopplysninger, kan inngå i avgjørelsen, se nærmere om dette i punkt 3.2.3.
Kravet om forsvarlighet innebærer at det må vurderes om de ulike bestemmelsene er egnet for helautomatisering. Videre må det legges inn mulighet for manuell korrigering der opplysningene som ligger til grunn for den automatiserte behandlingen er feil.
I høringsnotatet ble det vist til at kravet til forsvarlighet i dag vil sette grenser for bruk av helautomatiserte avgjørelser der skjønnet ikke lar seg operasjonalisere. Departementet ønsket likevel å ta inn et tilleggskrav om at den helautomatiserte avgjørelsen ikke skal kunne bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom. Dette gjøres for å sikre at skjønnsmessige vilkår som ikke lar seg operasjonalisere, ikke underlegges helautomatisering, selv om den teknologiske utviklingen skulle komme så langt at det ville vært «forsvarlig».
For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.
Det ble vist til fortalepunkt 71 hvor det framgår at den registrerte under alle omstendigheter skal ha rett til spesifikk informasjon, menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen, og til å protestere mot avgjørelsen. Forordningen gir dessuten medlemmet rett til å få informasjon om det helautomatiserte beslutningssystemet, jf. artikkel 13 nr. 2 bokstav f.
Det ble forutsatt at det må foreligge tilstrekkelige kvalitetssikringsmekanismer for å sikre at opplysninger som ligger til grunn for avgjørelsen er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.
Departementet foreslo en forskriftshjemmel som muliggjør å regulere aktuelle tiltak nærmere i forskrift. Det ble lagt til grunn at det for eksempel kan være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil. Det ble videre vist til at det kan være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.
Automatiserte avgjørelser kan etter forordningen ikke bygge på særlige kategorier av personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, jf. artikkel 22 nr. 4, og det er innført egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter, friheter og berettigede interesser.
Departementet la i høringsnotatet til grunn at effektiv saksbehandling i Arbeids- og velferdsetaten og Statens pensjonskasse omfattes av «viktige allmenne interesser».
Departementet foreslo at automatiserte avgjørelser også kan omfatte særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9, for eksempel helseopplysninger, under forutsetning av at det innføres egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser i den konkrete behandlingen.
5.2 Høringsinstansenes syn
Datatilsynet ønsker å påpeke at endringsforslagene fremstår som å være i tråd med andre lignende lovforslag, blant annet forslag til ny forvaltningsloven §§ 11 og 12 om automatiserte beslutningsprosesser. Datatilsynet registrerer at Arbeids- og sosialdepartementet i innledningen til høringsnotatet har drøftet retten til manuell behandling som følger av personvernforordningen art. 22, og dette anser de som positivt i forslaget.
Justis- og beredskapsdepartementet uttaler
«Vi er enige i at de foreslåtte generelle bestemmelsene om automatiserte avgjørelser ikke bør åpne for avgjørelser som bygger på skjønnsmessige vilkår med mindre avgjørelsen er utvilsom. For mer kompliserte automatiserte avgjørelser vil personvernforordningen artikkel 22 nr. 2 bokstav b trolig kreve nærmere regulering, herunder ytterligere garantier.
Det kan vurderes om det er mulig å justere ordlyden «bygge på skjønnsmessige vilkår» noe for å få helt klart frem at det siktes til vilkårene i de materielle reglene som gir rettsgrunnlag for avgjørelsen, og ikke «vilkårene» i dataprogrammet som operasjonaliserer de materielle reglene. Disse vil naturlig nok aldri være skjønnsmessige. Det kan for eksempel vurderes om det kan refereres til «vilkår i lov eller forskrift», eller om det i stedet for å vise til hva avgjørelsen «bygger på», kan vises til rettsgrunnlaget for avgjørelsen.
Bestemmelsene er ikke avgrenset til enkeltvedtak, og det forutsettes også i merknadene at automatiserte avgjørelser også skal kunne treffes i tilfeller der det ikke vil være noen formell klage- eller ankerett, jf. de særskilte merknadene til ny § 45 b i lov om Statens pensjonskasse. Samme sted legges det til grunn at søkeren vil kunne «be om» en ny vurdering av søknaden, som blir foretatt manuelt. Vi viser i denne forbindelse til kravet i personvernforordningen artikkel 22 nr. 2 bokstav b om «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». Etter fortalepunkt 71 skal den registrerte som minimum ha «rett til menneskelig inngripen». I den grad den registrerte ikke vil ha noen formell klage-/ankerett, bør det fastsettes i lov eller forskrift at den registrerte har rett til manuell overprøving.»
Som nevnt i punkt 4.2 foreslår KLP og Pensjonskasseforeningen at øvrige tjenestepensjonsleverandører gis tilsvarende hjemmel for automatiserte avgjørelser.
Akademikerne etterlyser en bredere vurdering av lovforslagene i lys av det alt pågående lovarbeidet med ny forvaltningslov (NOU 2019: 5). Dette gjelder særlig utvalgets forslag om helautomatisert saksbehandling og automatiserte saksbehandlingssystemer.
5.3 Departementets vurdering og forslag
5.3.1 Generelt
Bruk av helautomatiserte avgjørelser i arbeids- og velferdsforvaltningen, Statens pensjonskasse, KLP, Pensjonstrygden for sjømenn og Pensjonstrygden for fiskere krever et eksplisitt rettsgrunnlag i nasjonal rett.
Automatisering av beslutningsprosesser kan gi store effektivitetsgevinster, særlig når saksmengden er stor, og bidra til økt likebehandling, siden alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Videre kan automatisering gi konsistent gjennomføring av regelverket og kan blant annet forhindre ulik praksis i forvaltningsenhetene.
Departementet foreslår at det gis lovbestemmelser som tillater at det fattes avgjørelser, for eksempel vedtak om å innvilge eller avslå krav om ytelse, som utelukkende er basert på automatisert behandling av personopplysninger. Den automatiserte avgjørelsen kan være både enkeltvedtak og andre beslutninger som «i betydelig grad påvirker» noen. Behandlingen må i alle tilfeller sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.
Departementet foreslår videre at særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 1, som blant annet helseopplysninger, kan inngå i avgjørelsen.
Etter departementets syn er det ikke hensiktsmessig at den automatiserte behandlingen knyttes til spesifikke og angitte saksporteføljer, da dette vil kunne forhindre nødvendig fleksibilitet ettersom behovet varierer over tid. På den annen side er det ikke ønskelig å åpne for bruk av automatisering i alle typer saker. Det oppstilles derfor krav om at behandlingen må være «forsvarlig».
Kravet om forsvarlighet innebærer at det må vurderes om de ulike bestemmelsene er egnet for helautomatisering. I denne vurderingen vil det være relevant å se hen til bestemmelsens utforming, for eksempel hvor lett lovteksten er å fortolke, herunder hvor objektive og tydelige vilkårene i bestemmelsen er, og om mer skjønnspregede bestemmelser lar seg operasjonalisere. Videre må det legges inn mulighet for manuell korrigering der opplysningene som ligger til grunn for den automatiserte behandlingen er feil.
Kravet til forsvarlighet vil i dag sette grenser for bruk av helautomatiserte avgjørelser der skjønnet ikke lar seg operasjonalisere. Departementet ønsker likevel å ta inn et tilleggskrav om at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom.
Det er ikke på det nåværende tidspunkt aktuelt å underlegge et krav om en ytelse som inneholder kompliserte vilkår maskinell behandling med såkalt intelligent beslutningsevne, hvor det er større fare for urettmessig og utilsiktet diskriminering, noe bestemmelsen i artikkel 22 nr. 1 skal motvirke. Departementet ser ikke bort fra at det i fremtiden kan være aktuelt å underlegge slike mer kompliserte vurderinger helautomatisering basert på kunstig intelligens og maskinlære, men dette krever mer spesifikk og konkret regulering enn forslaget her legger opp til. I tillegg bør en slik eventuell omlegging av saksbehandlingen underlegges en mer helhetlig gjennomgang og konsekvensanalyse.
Departementet vil imidlertid påpeke at en skjønnsmessig bestemmelse ikke nødvendigvis medfører en skjønnsmessig vurdering i Arbeids- og velferdsetaten. Et eksempel på dette er folketrygdlovens regler om sykepenger som forutsetter at det vurderes konkret om vilkårene for rett til sykepenger er oppfylt. Når det foreligger en attest fra lege med gyldig diagnose, legger Arbeids- og velferdsetaten i kurante tilfeller til grunn at medlemmet fyller lovens vilkår om arbeidsuførhet som klart skyldes sykdom. Et annet eksempel er saker om uførepensjon i Statens pensjonskasse. Når det er innvilget arbeidsavklaringspenger eller uføretrygd fra Arbeids- og velferdsetaten, legger Statens pensjonskasse etatens medisinske vurdering til grunn. Departementet er av den oppfatning at nevnte typer avgjørelser bør kunne helautomatiseres. Departementet foreslår etter dette at slike utvilsomme/kurante avgjørelser kan helautomatiseres.
Selv om vilkårene er skjønnsmessige, kan altså avgjørelsen likevel automatiseres dersom det ville være enkelt å fastslå om det skjønnsmessige vilkåret er oppfylt eller ikke, og at dette kan operasjonaliseres gjennom automatisering. Kriteriet «utvilsom» knytter seg altså ikke til om datamaskinen som skal ta den automatiserte avgjørelsen, ville være i tvil. Vurderingstemaet er derimot om utfallet av den skjønnsmessige vurderingen av vilkåret ville vært utvilsomt dersom vurderingen ble foretatt av en person.
Forslaget til nye bestemmelser om behandling av personopplysninger gir myndighetene, under de forutsetninger som oppstilles, adgang til å behandle personopplysninger, også om barn. Som nevnt er utgangspunktet etter forordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. I fortalen til personvernforordningen punkt 71 framgår det at barn skal ha et særskilt vern når det gjelder automatisert behandling av deres personopplysninger. Forordningen gir dermed uttrykk for at det bør utvises en viss varsomhet ved utformingen av rettsgrunnlaget dersom behandlingen retter seg mot barn. Slik departementet ser det, vil begrensningene i den foreslåtte bestemmelsen i seg selv tilsi at saker som berører barn, bør kunne underlegges automatisering. Aktuelle avgjørelser vil stort sett basere seg på objektive vilkår, hvor barn ikke er mer sårbare enn andre.
Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.
5.3.2 Egnede tiltak som ivaretar den registrertes rettigheter og friheter
For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.
Det synes noe uklart hvilke krav artikkel 22 stiller til lovgivningen og hvilke tiltak som vil være nødvendige i de konkrete tilfellene hvor bruk av automatisert behandling vurderes.
Av fortalepunkt 71 framgår at den registrerte under alle omstendigheter skal ha rett til spesifikk informasjon, menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen, og til å protestere mot avgjørelsen.
Forordningen gir dessuten medlemmet rett til å få informasjon om det helautomatiserte beslutningssystemet, jf. artikkel 13 nr. 2 bokstav f.
Utformingen av tiltakene må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er minimumsgarantier, og i tillegg kan det derfor måtte kreves andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling anses å medføre. På sikt kan det være aktuelt å forskriftsregulere dette.
Det forutsettes at det må foreligge tilstrekkelige kvalitetssikringsmekanismer for å sikre at opplysninger som ligger til grunn for avgjørelsen er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.
Departementet foreslår en forskriftshjemmel som muliggjør å regulere aktuelle tiltak nærmere i forskrift. Det kan for eksempel være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil. Det kan videre være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.
Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.
5.3.3 Automatiserte avgjørelser
Automatiserte avgjørelser kan etter forordningen ikke bygge på særlige kategorier av personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, jf. artikkel 22 nr. 4, og det er innført egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter, friheter og berettigede interesser.
Departementet legger til grunn at effektiv saksbehandling i Arbeids- og velferdsetaten og Statens pensjonskasse omfattes av «viktige allmenne interesser».
Likevel må det i alle tilfeller der det tas i bruk automatiserte avgjørelser som innebærer bruk av særlige kategorier personopplysninger kunne godtgjøres at behandlingen er «nødvendig av hensyn til viktige allmenne interesser», og at behandlingen er forholdsmessig ut ifra formålet med behandlingen. Når det gjelder kravet i artikkel 22 nr. 4 om egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser, viser vi til omtale i punkt 3.2.2. Departementet legger til grunn at det kreves mer av de egnede tiltakene etter 22 nr. 4 enn egnede tiltak etter artikkel 22 nr. 2 b.
Departementet foreslår at automatiserte avgjørelser også kan omfatte særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9, for eksempel helseopplysninger, under forutsetning av at det innføres egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser i den konkrete behandlingen.
Departementet viderefører de foreslåtte bestemmelsene om adgangen til å helautomatisere avgjørelser som bygger på skjønnsmessige vilkår, med visse justeringer. Vi viser til at Justis- og beredskapsdepartementet i sin høringsuttalelse stilte spørsmål ved om det kom tilstrekkelig klart frem at det med «vilkår» siktes til vilkårene i de materielle reglene som gir rettsgrunnlag for avgjørelsene. Departementet følger opp dette, og foreslår at bestemmelsene om automatisering slår fast at helautomatiserte avgjørelser ikke kan bygge på skjønnsmessige vilkår «i lov eller forskrift».
For å gjøre det klart at den registrerte har rett til manuell overprøving i den grad det ikke foreligger formell klage-/ankerett, jf. fortalepunkt 71 i forordningen om «menneskelig inngripen», foreslås at dette kommer uttrykkelig frem av loven.
Departementet bemerker at spørsmålet om generell hjemmel for KLP og Pensjonskasseforeningen for automatiserte avgjørelser ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at KLP og de private tjenestepensjonsleverandørene er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.
Akademikerne etterlyser bredere vurdering av lovforslagene i lys av det alt pågående lovarbeidet med ny forvaltningslov, særlig når det gjelder utvalgets forslag om helautomatisert saksbehandling og automatiserte saksbehandlingssystemer. Departementet vil nevne at det er tatt hensyn til synspunktene om automatisering som kommer frem i NOU 2019: 5 Ny forvaltningslov ved utarbeidelse av forslagene her.
Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.