Folketingets Ombudsmand har fastsat en række forvaltningsretlige krav til indkøb og udvikling af it-systemer, og han har senest udtalt, at en forsvarlig tilrettelæggelse af udviklingen af nye it-systemer til det offentlige bl.a. forudsætter, “at man er meget omhyggelig med at tage stilling til, hvorledes det nye it-system konkret skal udformes for at kunne overholde disse regler i de forskellige forløb, som sagerne kan tænkes at ville få.” Vi vil i denne artikel ridse op, hvordan offentlige myndigheder kan være omhyggelige, inden et nyt it-system skal indkøbes eller opdateres – også hvis systemet bygger på brugen af kunstig intelligens.
Omhu starter med en forvaltningsretlig konsekvensanalyse
Legalitetsprincippet medfører, at offentlige myndigheder skal udøve deres virksomhed i overensstemmelse med de relevante forvaltningsretlige regler. Det gælder, uanset hvilken form opgaverne udøves i.
Også myndigheders digitale virksomhed skal udføres i overensstemmelse med legalitetsprincippet. Det skal ses i lyset af, at forvaltningsretten er teknologineutral, og at it-systemer skal overholde princippet om forvaltningsret by design – altså at et it-system skal være designet til at kunne understøtte en korrekt anvendelse af relevant lovgivning.
Justitsministeriets notat om forvaltningsretlige krav til det offentliges it-løsninger fastslår derfor, at regelgrundlaget skal fortolkes på forhånd, så alle scenarier indtænkes i it-systemets udvikling.
Hvad er en forvaltningsretlig konsekvensanalyse?
Ombudsmandens udtalelse i FOB 2014-24 har bidraget til at danne grundlag for den forvaltningsretlige konsekvensanalyse. Ombudsmanden havde henvendt sig til Skatteministeriet for at få oplyst, hvordan det nye skatte-it-system “EFI” vil overholde de forvaltningsretlige regler.
Ombudsmanden har i sagen udtalt, at it-systemet skal kunne understøtte en korrekt anvendelse af relevant lovgivning. Myndigheden skal fra udviklingsprojektets begyndelse kortlægge relevant faktum, de relevante regler, sagstyper og processer i en konsekvens--
-analyse, samt stille krav til de økonomiske dele og it-systemets kvalitet i aftalen.
Myndigheden skal tilstrækkelig tidligt identificere, hvilke regler – fx uskrevne forvaltningsretlige principper – der skal indarbejdes i systemet, og det er derfor nødvendigt at fortolke reglerne på forhånd. Dette skal kunne dokumenteres – en såkaldt forvaltningsretlig konsekvensanalyse.
Ombudsmandens udtalelse indebærer, at der er en række forvaltningsretlige krav, som gælder for alle offentlige myndigheders it-projekter. Der skal tages højde for kravene allerede i idéfasen for at understøtte en forsvarlig sagsbehandling ved brug af it-systemer.
Hvordan gør man, når flere it-systemer spiller sammen?
Teknologiens hastige udvikling og det stadigt mere komplekse, tekniske billede med en række tværgående it-systemer medfører naturligt et spørgsmål om, hvorvidt kravene fra 2014 stadig er de samme i dag, eller om der er kommet yderligere krav.
I FOB 2022-11 behandler ombudsmanden skattemyndighedernes deleøkonomiske indberetningsløsning (DEL), der vedrører indberetning af oplysninger om lejeindtægter fra udleje af bl.a. helårsbolig og biler. It-systemet træffer ikke selvstændige afgørelser, men it-systemet indgår i et samspil med andre systemer, hvor oplysninger fra it-systemet bliver inddraget og anvendt af forskellige myndigheder til at træffe afgørelser.
Ud over at bekræfte de krav, der blev opstillet i udtalelsen fra 2014, har ombudsmanden stort fokus på det faktum, at it-systemet indgår i et samspil med andre it-systemer. Ombudsmanden stiller i udtalelsen et krav om, at myndigheden ikke blot skal se isoleret på sit eget it-system, men skal tage hensyn til den helhed, som it-systemet skal indgå i.
Myndigheden skal gøre sig klart, hvad formålet med det nye it-system er i samspillet med andre it-systemer, fx om der i sidste ende vil blive truffet afgørelse på baggrund af de oplysninger, der er indhentet gennem it-systemet. Analysen skal også indeholde overvejelser om det relevante regelgrundlag og de forskellige forløb, som sagerne kan tænkes at ville få, og hvordan relevante sagstyper og processer behandles og understøttes i samspillet med andre it-systemer. Herudover skal myndigheden overveje, hvor i kæden de forvaltningsretlige krav skal understøttes. Det er derfor nødvendigt at undersøge, i hvilke it-systemer og under ansvar af hvilke myndigheder de forskellige krav opstår.
I FOB 2022-12 har ombudsmanden udtalt sig om opgradering af et allerede udviklet it-system. Ombudsmanden fastslår, at de forvaltningsretlige krav til udviklingen af et nyt it-system også gælder for opgraderinger. Dette betyder, at en myndighed skal foretage de analyser, der er nødvendige for at sikre, at it-systemet fortsat kan understøtte korrekt anvendelse af den relevante lovgivning efter opgraderingen.
Desuden skal myndigheden se på, om der er eksisterende problemer i forhold til efterlevelsen af forvaltningsretlige krav, eller om der er ny lovgivning på området, som opgraderingen skal tage højde for. Myndigheden skal også undersøge, om en opgradering eventuelt kan få utilsigtede konsekvenser for efterlevelsen af forvaltningsretlige krav i andre dele af it-systemet eller i samspillet med andre it-systemer. Ombudsmanden slår i udtalelsen fast, at kravene også gælder ved indkøb af standardsystemer.
Hvad med kunstig intelligens?
Kunstig intelligens (AI) breder sig i skrivende stund som en steppebrand, og man er ved udvikling af it-systemer derfor nødt til at forholde sig til det nye redskab. I de gennemgåede sager var der ikke tale om AI, så spørgsmålet er, i hvilket omfang udtalelserne finder anvendelse i forbindelse med AI.
AI kan defineres som et program, der fx er baseret på machine learning, og som ved hjælp af algoritmer og ud fra menneskeligt definerede mål kan generere output som fx anbefalinger eller beslutninger.
Ved siden af de krav, som databeskyttelsesretten allerede stiller, og kravene, som den kommende forordning om AI forventes at stille til offentlige myndigheders brug af AI, indeholder forvaltningsretten også en række krav ved brug af AI. Det skyldes, at forvaltningsretten er teknologineutral, og det er derfor ikke afgørende, hvilken teknologi en myndighed bruger.
De krav, der er opstillet i udtalelserne ovenfor, gælder derfor også, når myndigheden udvikler eller indkøber AI. Der er dog særlige opmærksomhedspunkter i forhold til, hvordan teknologien spiller sammen med andre systemer og med fysiske sagsbehandlere. Derudover skal man også være ekstra opmærksom på, hvem der har ansvaret for, at reglerne om fx partshøring og begrundelse bliver overholdt ved samspil med andre systemer. Det kunne fx være at tage stilling til, hvilken myndighed der eventuelt skal parts-høres over outputtet af algoritmen.
Forvaltningsretten stiller også krav til brug af data. De data, som anvendes til træning, må ikke indeholde usaglige hensyn. I de tilfælde, hvor AI understøtter et værdiskøn, har ombudsmanden i FOB 2021.22 udtalt, at data til oplæring og de udviklede algoritmer skal svare til rekursinstansens kriterier for værdiskøn.
Fem gode råd til en forvaltningsretlig konsekvensanalyse
-
Lav den forvaltningsretlige konsekvensanalyse fra start og hold den løbende ajour.
- Inddrag de relevante, juridiske kompetencer allerede i idéfasen.
- Dokumentér arbejdet med den forvaltningsretlige konsekvensanalyse på en overskuelig måde.
- Leverandører af standardvarer kan med fordel tænke de forvaltningsretlige krav ind med henblik på at gøre produkter mere attraktive for offentlige myndigheder.
- Sørg for at få tilrettelagt et samarbejde med relevante myndigheder ved tværgående it-systemer med henblik på at klarlægge den forvaltningsretlige rolle- og ansvarsfordeling.
|