Fire grep for at offentlig sektor kan bruke egne data og lykkes med KI

Denne artikkelen ble først publisert i utgave 2/2025 av Stat & Styring, utgitt på Scandinavian University Press.

Introduksjon

Den norske digitaliseringspolitikken er ambisiøs – vi skal bli verdensledende i digitalisering, og offentlig sektor skal raskt ta i bruk kunstig intelligens. Dette vil kreve at offentlig sektor i økende grad bruker data til analyse, tjenesteutvikling og kunstig intelligens (KI), noe som forutsetter at organisasjoner har tilgang til de nødvendige data med den riktige kvaliteten. Det er midlertid et gap mellom visjonene og virkeligheten: Aktører som ønsker å bruke data på nye måter, støter ofte på juridiske, organisatoriske og tekniske barrierer. Disse barrierene kan hindre at visjonene om effektivisering blir realisert.

Myndighetene har gjennom flere år forsøkt å stimulere til deling og gjenbruk av offentlige data. Det har blitt etablert et rammeverk for informasjonsforvaltning («Orden i eget hus») og en felles datakatalog hvor aktørene skal dele datasett og beskrivelser av egne data, begreper, API-er og informasjonsmodeller. I tillegg har Nasjonalt ressurssenter for deling og bruk av data blitt etablert. Disse tiltakene er nyttige, men de er primært rettet mot deling av data med andre offentlige aktører og med innbyggere og næringslivet. De adresserer i mindre grad hvordan offentlige organisasjoner kan forbedre sin egen bruk av data. Datadeling, gjenbruk og viderebruk har fått forrang, mens utfordringene knyttet til intern dataforvaltning og bruk av egne data, har blitt mindre vektlagt. Som både Personvernkommisjonens rapport og Riksrevisjonens undersøkelse om deling og gjenbruk av offentlige data viser, har arbeidet med datadrevet innovasjon gått for sakte.

Hva er barrierene?

Vi har erfart denne problemstillingen gjennom langvarig prosjektsamarbeid med ulike offentlige organisasjoner. Erfaringene fra prosjektene understreker at offentlig sektor ikke bare trenger bedre tilgang til data, men også gode mekanismer for å bruke dem på en ansvarlig måte. Dette forutsetter både teknologiske løsninger og en juridisk forståelse som gir aktørene trygghet i hvordan data kan deles og anvendes.

For å skape en arena for erfaringsdeling, identifisere barrierer og løfte frem løsninger som kan styrke offentlig sektors evne til å utnytte data på en trygg og effektiv måte, arrangerte vi i 2024 en workshop-serie med mål om å belyse utfordringene knyttet til data- og KI-bruk. Her deltok forskere fra Skatteforsk – Centre for Tax Research ved NMBU, Universitetet i Oslo, Universitetet i Agder og NTNU samt representanter fra Skatteetaten, Helsedirektoratet, Helfo, Kripos, Nav, Finansdepartementet og Datatilsynet. I den første workshopen fokuserte vi på å identifisere sentrale utfordringer knyttet til intern databruk, inkludert dataminimering, sammenstilling av data og balansen mellom automatisering og beslutningsstøtte. Den andre workshopen diskuterte mulige løsninger med særlig fokus på etablering av datainfrastruktur, utvikling av intern kompetanse og deling av data mellom aktører. En arbeidsgruppe som besto av forskere og deltagere, forberedte den andre workshopen basert på innsikter fra den første.

En av de største utfordringene for databruk i offentlig sektor er usikkerheten knyttet til etterlevelse av personvernregelverket. General Data Protection Regulation (GDPR) har siden 2018 vært det sentrale rammeverket for personvern i EU og Norge. Den setter klare krav til hvordan personopplysninger kan behandles, og stiller krav til rettslig grunnlag, formålsbegrensning og risikohåndtering. Virksomheter skal gjennomføre en personvernkonsekvensvurdering (DPIA – Data Protection Impact Assessment) når databehandlingen kan utgjøre en høy risiko for individers rettigheter.

Deltagerne konkluderte med at uklart eller strengt regelverk og manglende samordning begrenser muligheten til å utnytte egne data. Fragmenterte hjemler, manglende felles begrepsapparat og ulike etiske vurderinger kan gjøre det utfordrende å utvikle og ta i bruk nye digitale løsninger. For å realisere potensialet i offentlig sektors data behøves både juridiske rammer og teknologiske løsninger. Balansen mellom personvern og effektiv bruk av data må ivaretas, og samtidig trengs det en kultur for aktiv utforskning av handlingsrommet i stedet for risikoaversjon.

I det følgende vil vi diskutere de fire sentrale utfordringene som ble diskutert i workshopene, samt foreslåtte tiltak.

Styrk intern informasjonsforvaltning

For at offentlig sektor skal kunne utnytte data effektivt – enten til analyse, kunstig intelligens eller datadeling – må hver enkelt aktør ha god kontroll på egne data. Selv om alle bør ha «orden i eget hus», krever dette økte ressurser og kompetanse innen intern informasjonsforvaltning. Å sørge for datasett med god kvalitet samt tilstrekkelige beskrivelser av disse dataene (inkludert metadata) krever arbeid. Dessuten kreves det vurderinger av hvordan dataene kan brukes, slik at man etterlever lovverket.

Det er verdi i å dele erfaringer mellom ulike organisasjoner. For eksempel har Skatteetaten og Nav over lang tid bygget opp solide interne datainfrastrukturer. Dette muliggjør at mange prosesser kan automatiseres, slik som f.eks. a-ordningen, som lar arbeidsgivere rapportere opplysninger om inntekt og ansatte til Nav, Statistisk sentralbyrå og Skatteetaten. Nav har etablert en «datamarkedsplass» hvor utviklerteam kan dele datasett på tvers. Her deles også behandlingsdefinisjoner og ulike behandlingsgrunnlag (slik at teamene kan gjøre en vurdering av om de ulike grunnlagene passer), slik at dette blir en støtte til etterlevelse. De får en oversikt over lovkrav og kode, de kan se hvordan vurderingene er gjort, og selv vurdere om dette treffer løsningen de selv utvikler. Andre team som vil bruke data i produktutvikling, søker om og begrunner behovet for tilgang og får tidsbegrenset tilgang.

Helfo Kontroll beskrev erfaringene med å etablere et internt datavarehus for data som brukes til kontrollformål. Dataene eies av Helsedirektoratet, og noe ligger av historiske årsaker hos Nav. Å etablere dette har vært krevende teknisk og forvaltningsmessig. Det var også et langvarig løp for å gjøre en vurdering opp mot GDPR. Arbeidet med å lette tilgangen til data og ulike analyseverktøy har effektivisert arbeidet betydelig.

Digitaliseringsdirektoratet tilbyr allerede rammeverk og verktøy for «orden i eget hus» samt faglige arenaer for datadeling og informasjonsforvaltning og drifter et nasjonalt ressurssenter for deling og bruk av data. Disse tilbudene er nok ikke godt nok kjent. Det bør også vurderes om disse tilbudene er tilgjengelige nok, og om de adresserer praktiske behov knyttet til analyse, KI og rapportering. En utvidet rådgivingstjeneste kan være et nyttig tiltak for å støtte aktørene i dette arbeidet.

Offentlige aktører kan ha nytte av å utveksle eksempler på «beste praksis», juridiske vurderinger og tekniske løsninger. En digital plattform som GitLab kunne enkelt vært satt opp slik at man kunne dele kode og dokumenter. Spesielt ble det etterspurt etterlevelsesdokumentasjon som eksempler på DPIA-er (Data Protection Impact Assessment, personvernkonsekvensvurderinger), inkludert eksempler på DPIA-er for utforskende prosesser samt andre dataprosesseringsrammeverk.

Jurister og teknologer må forstå hverandre

Dersom jurister og teknologer samarbeider tettere, vil det bli enklere å lykkes med å øke bruken av data i offentlig sektor. Ovenfor nevnte vi Helfo Kontrolls nye analyseløsning. For å gjennomføre den juridiske vurderingen opp mot GDPR måtte Helfo engasjere eksterne jurister, som ikke var kjent med verken systemene eller praksisen i Helfo. Når brukerne samtidig slet med å konkretisere sine behov, ble det mange runder med avklaringer om formål, databruk og sikringsmekanismer. Gjennom dette lærte Helfo hvor viktig det var å etablere en felles forståelse av både systemene og begrepsbruken. I etterkant har man plassert en jurist tett på analytikerne med stor gevinst. Gjennom samarbeidet kan juridiske krav og faglige behov raskt oversettes og avstemmes, samtidig som man enklere kan avgjøre hvilke problemstillinger som bør håndteres lokalt, og hvilke som bør løftes opp i organisasjonen.

Også Kripos har erkjent behovet for jurister med teknologisk innsikt og har ansatt såkalte «tech-jurister» som skal bidra med vurderinger omkring ny digital teknologi. Det ble fremhevet at det er viktig at jurister ikke bare vurderer digitale løsninger gjennom et personvernfilter, men også ser mulighetene og det juridiske handlingsrommet for innovasjon. Dette krever en bred teknologiforståelse, både av muligheter og risiko. For å støtte denne utviklingen bør myndighetene jobbe for at juridiske utdanninger styrkes med mer teknologikunnskap, slik at fremtidens jurister er bedre rustet til å håndtere digitaliseringens krav og muligheter.

Samtidig bør dette samspillet gå begge veier: Dataanalytikere og utviklere bør også få grunnleggende juridisk forståelse, spesielt innen personvern og GDPR. Dette vil bidra til mer effektive prosesser, der teknologiske valg kan gjøres på en måte som ivaretar prinsipper som dataminimering, og dermed forenkler de juridiske avklaringene.

Ledere i offentlig sektor har også en viktig rolle i å klargjøre ansvarsfordelingen – og skillet – mellom juridiske, tekniske og etiske vurderinger. Jurister bør fokusere på rettslige spørsmål, mens beslutninger om etikk og omdømmerisiko bør ligge hos ledelsen. Dette vil sikre tydeligere roller og mer målrettede vurderinger i utviklingen av digitale løsninger.

Fra risikoaversjon til risikohåndtering

En av de største utfordringene for databruk i offentlig sektor er usikkerheten knyttet til etterlevelse av personvernregelverket (GDPR). Denne usikkerheten fører ofte til en defensiv tilnærming og at jurister i ulike deler av organisasjonen i for stor grad vender tommelen ned for prosjekter rundt kobling og bruk av egne data. Det kan oppleves som at den tryggeste løsningen er å si nei til nye måter å bruke data på. Dette fører til at verdifulle muligheter kan gå tapt.

Personvernregelverket behøver ikke å være en innovasjonsbrems. Sentralt i GDPR er prinsippet om risikobasert tilnærming: Målet er ikke å eliminere all risiko, men å identifisere, vurdere og minimere risikoen på en ansvarlig måte. Det er derfor avgjørende at organisasjonene aktivt utforsker hvordan handlingsrommet utnyttes uten at personvernet kompromitteres. Vi mener at offentlig sektor bør etablere en mer balansert praksis for risikovurdering.

Når ny bruk av data vurderes, bør man ikke bare spørre «hva kan gå galt?», men også «hva går vi glipp av hvis vi lar være å bruke dataene bedre?». La oss gi to eksempler: Siden politiet ikke har anledning til å bruke skarpe data til test og utvikling av teknologi, og samtidig er pålagt av EU å innføre biometriske løsninger på flyplassene, får vi nå teknologi som ikke er testet med data fra norske innbyggere. Er dette gunstig? Et annet eksempel er fra den såkalte Omegle-saken, en av Norges største overgrepssaker, hvor dommen i skrivende stund nettopp har falt. I denne saken brukte Kripos et nytt KI-verktøy til å identifisere de mange fornærmede. Bilder av barn fra overgrepssaken ble lastet opp i verktøyet, som brukte ansiktsgjenkjenning til å søke i passregisteret etter bilder som kunne ligne. Ved bruk av dette verktøyet ble 190 av barna identifisert, mange flere enn man ville hatt kapasitet til ved kun manuell sammenligning. Det rettslige rammeverket for at politiet kunne bruke passregistret i etterforskning av alvorlig kriminalitet, har vært på plass siden 2013. Men allikevel tok det Kripos fire år, fra 2019 til 2023, med juridiske og organisatoriske avklaringer før de kunne bruke verktøyet. Hvor mange saker kunne ha blitt løst raskere om denne teknologien hadde vært tilgjengelig tidligere?

Å utfordre dagens risikoaversjon handler ikke om å fjerne sikkerhetsmekanismer, men om å sørge for at data brukes på en måte som både ivaretar personvern og samtidig gir samfunnsmessig verdi. Dagens usikkerhet og restriktive praksis skaper et vedvarende gap mellom ambisjonene om en mer effektiv offentlig sektor og den praktiske implementeringen av virkemidler og politikk.

Felles avklaringer for teknologijus

Digitaliseringsstrategien medfører utfordringer som krever ny jus- og politikkutvikling. Vi oppfordrer Digitaliserings- og forvaltningsdepartementet til å ta ansvar for å igangsette den nødvendige videreutviklingen av jus og politikk.

Et sentralt problem er mangelen på tydelige hjemler for bruk av egne data til analyse, læring og KI-utvikling og -testing. Dette var en viktig årsak til at Navs arbeid med en prediksjonsmodell for sykefravær stanset opp. Mange av de offentlige organisasjonene behandler data basert på særlover. Lovene som hjemler behandling av personopplysninger hos den enkelte aktøren, er vanligvis utformet før KI ble tatt i bruk og åpner sjelden for dette. Noen av aktørene har et forbud mot dette, andre har vage, bredt formulerte hjemler som skaper usikkerhet på om KI-utvikling kan være «innafor».

Myndighetene bør avklare om dagens brede hjemler for databruk også dekker KI-utvikling, eller om det trengs en presisering. I tillegg bør det vurderes om dagens formålsbestemmelser for ulike datakilder er tilstrekkelige, eller om de bør revideres for å tydeliggjøre at KI-utvikling er lovlig (slik det ble gjort i revisjonen av helselovgivningen i 2022). Taushetspliktsbestemmelser i spesiallovgivningen kan også utgjøre en barriere for datadeling og bruk, både internt i organisasjoner og mellom aktører. Slike spørsmål bør ikke behandles isolert (for eksempel gjennom å kun revidere en og en lov av gangen), men ses i en større sammenheng for å sikre en helhetlig og balansert tilnærming.

I tillegg er det mange dilemmaer som er felles for mange organisasjoner. Det ville vært nyttig om det ble formulert retningslinjer for:

• Hvordan skal aktørene forholde seg til spenningen mellom forhåndsdefinerte formål versus utforskende utvikling? Hvilke måter å arbeide på er akseptable?
• Hvordan kan man gjøre profilering av grupper på en ansvarlig måte?
• Hvordan kan man ta KI i bruk i saksbehandling på en ansvarlig måte? Hvilke krav bør stilles?
• Hvordan skal man gjennomføre miljø- og bærekraftsvurderinger av KI-løsninger?
• Utred problemstillinger omkring deling av data: Hvem har oppfølgingsansvar om man finner noe, hvordan kan man dele data og varsle uten å avsløre kontrollsettinger, og under hvilke forutsetninger kan man dele data fra en tredjepart?

Det er viktig at samfunnet tar en bred diskusjon om hvordan vi skal balansere ulike hensyn som personvern, transparens og effektivitet. En talende uttalelse som falt under en workshop, var: «Vi ville nok ikke hatt digital skattemelding om vi ikke hadde laget den før GDPR kom.» Det er viktig å beskytte individet, men vi bør også unngå at for strenge regler hindrer innovasjon som faktisk kan gagne både samfunnet og individet. Det bør derfor legges til rette for åpne debatter og offentlig diskusjon om hvordan regelverk og praksis kan tilpasses en digital virkelighet.

Anbefalinger til ministeren

Vi mener at manglende tilrettelegging for økt bruk av egne data kan hindre nødvendig omstilling og effektivisering. Basert seg på diskusjonene og innsiktene fra de ulike workshopen formulerer vi derfor disse fire konkrete anbefalingene til digitaliseringsministeren:

1. Sørg for tilstrekkelige ressurser til intern informasjonsforvaltning.
2. Styrk samarbeidet mellom jurister og teknologer – få på plass «tech-jurister».
3. Krev at risikoaversjon erstattes med proaktiv og ansvarlig risikohåndtering.
4. Ta nasjonalt ansvar for avklaringer for teknologijus – sørg for at hjemlene tillater bruk av data også til KI-utvikling, og at felles dilemmaer avklares i fellesskap.

Teksten ble opprinnelig publisert på Scandinavian University Press. Det kan ha vært gjort mindre endringer i teksten, blant annet når det gjelder titler, mellomtitler, bilder og fotnoter.

Aanestad, M., Chinchilla, H. E. U., Alstadsæter, A. (2025). Fire grep for at offentlig sektor kan bruke egne data og lykkes med KI. Stat & Styring, 35(2), 29-34. https://doi.org/10.18261/stat.35.2.6

Publisert av Altinget under lisens CC BY 4.0