Integritetsskyddsmyndigheten (IMY) framhåller i sin slutrapport från det senaste projektet i myndighetens regulatoriska sandlåda att AI-tjänster kan användas som digitalt stöd i offentlig sektor för att effektivisera arbetet med att lämna ut allmänna handlingar.
IMY har tillsammans med Lidingö stad och Atea (Atea Sverige) analyserat rättsliga förutsättningar och tagit fram förslag på säkerhetsåtgärder för användning av AI-baserade verktyg i kommuner. Fokus har varit dataskyddsrättsliga frågor kring hantering av personuppgifter vid utlämnande av allmänna handlingar.
Initialt omfattade projektet en helhetslösning som skulle automatisera stora delar av processen för utlämnande av allmänna handlingar. Helhetslösningen visade sig dock innehålla både tekniska och juridiska hinder. Projektdeltagarna valde därför att fokusera på en mer avgränsad maskeringstjänst. Tjänsten ska identifiera och ge förslag på uppgifter som ska maskeras i en allmän handling. Enligt Lidingö stad kan tjänsten, som bygger på AI-drivna språkmodeller, medföra stora effektivitetsvinster då sekretessbedömningen görs helt manuellt idag.
IMY konstaterar i sin rapport att maskeringstjänsten kan vara förenlig med dataskyddsförordningen (GDPR) och kraven på nödvändighet och proportionalitet. För att säkerställa dataskyddet rekommenderar IMY att AI-tjänsten föregås av en konsekvensbedömning och att särskilda säkerhetsåtgärder införs. Exempel på relevanta säkerhetsåtgärder i det här sammanhanget är autentisering, kryptering, loggning samt regelbunden övervakning för att förhindra obehörig åtkomst och felaktig databehandling.
I rapporten betonar IMY särskilt vikten av mänsklig kontroll (human-in-the-loop) vid användningen av AI-tjänster. Det innebär bland annat att ansvarig handläggare behöver förstå hur tjänsten fungerar, att man inte har en övertro till tjänsten och säkerställer att sekretessmaskeringen är korrekt innan en allmän handling lämnas ut.