AI-transkribering i socialtjänsten – ny rapport från IMY:s innovationssandlåda

IMY har publicerat en ny rapport från sin innovationssandlåda som utreder förutsättningarna för socialtjänsten att använda externa AI-verktyg för transkribering av möten. Rapporten, som bygger på ett projekt med Kalmar kommun, tar sig an centrala dataskyddsfrågor – från rättslig grund och hantering av känsliga personuppgifter till krav på mänsklig kontroll och säkerhetsåtgärder.

Projektet i innovationssandlådan

Som ett resultat av IMY:s innovationssandlåda publicerades i veckan rapporten Transkribering inom socialtjänsten. I innovationssandlådan utforskades Kalmar kommuns projekt där syftet var att utreda om en AI-baserad transkriberingstjänst kan användas för att dokumentera och sammanfatta möten mellan socialsekreterare och enskilda. Genom detta ville kommunen effektivisera dokumentationen i handläggningen genom att dels använda transkriberingstjänsten för att omvandla samtal till sökbar och strukturerad text, dels generera förslag till minnesanteckningar och sammanfattningar som stöd till socialsekreterarens bedömning.

De frågor som Kalmar kommun tillsammans med IMY fokuserade på var följande:

• Finns det en rättslig grund för behandlingen av personuppgifter och stöd för att behandla känsliga personuppgifter?
• Mänsklig kontroll och automatiserat beslutsfattande
• Vad kan vara lämpliga tekniska och organisatoriska säkerhetsåtgärder?

Rättslig grund för behandlingen och känsliga personuppgifter

IMY konstaterar att flera rättsliga grunder skulle kunna användas på behandlingen, såväl rättslig förpliktelse (art. 6.1 c GDPR) som uppgift av allmänt intresse och myndighetsutövning (art. 6.1 e GDPR). Övervägandena har redogjorts ingående i rapporten. För tydlighetens skull kan det här vara värt att lyfta att tillämpningen vilar på socialtjänstens lagstadgade dokumentationskrav och att transkriberingstjänsten ska användas inom ramen för dessa ärenden. För känsliga personuppgifter tillämpas undantaget för social omsorg i art. 9.2 h GDPR (genom hänvisning till 2 § SoLPuL).

Mänsklig kontroll och automatiserat beslutsfattande

Om en AI-tjänst används som ett beslutsstöd eller genererar beslut kan art. 22 i GDPR bli aktuell. Idag är bestämmelsen utformad som en negativ rättighet, och beskriver när den enskilde har rätt att inte bli föremål för den här typen av beslut. En förändring av regeln kan komma att ske genom det digitala omnibus-paketet, där kommissionen har lagt fram ett förslag att det i stället ska anges under vilka förutsättningar automatiserat beslutsfattande är tillåtet (läs Delphis senaste inlägg om det digitala omnibus-paketet här).

För att den nuvarande bestämmelsen överhuvudtaget ska bli tillämplig ska tre omständigheter vara uppfyllda: 1.) det ska handla om ett beslut, 2.) beslutet ska endast grundas på automatiserad behandling, 3.) beslutet ska ha rättsliga följder för den enskilda, eller påverka denne på ett liknande sätt i betydande grad.

IMY kommer fram till att artikeln inte blir aktuell i det här fallet. Även om sammanfattningen skulle kunna påverka socialsekreterarens bedömning, kommer den endast utgöra en av flera handlingar som ligger till grund för beslutet. Till saken hör också att sammanfattningen endast är en komprimerad version av samtalet – vilken kontrollgranskas av transkriptet – utan slutsatser eller rekommendationer.

Principen om riktighet och lagringsminimering

I rapporten framhålls att principen om riktighet (art. 5.1 d GDPR ) kan gynnas av transkriberingstjänsten genom att fånga detaljer från samtalet som annars hade kunnat gå förlorade. För att säkerställa att de uppgifter som diarieförs är korrekta, behöver granskningen av transkriptet och sammanfattningen ske i nära anslutning till det faktiska samtalet. Mot detta ska vägas principen om lagringsminimering (art. 5.1 e GDPR), som kräver att personuppgifter inte behandlas längre än nödvändigt. IMY bedömer att det är nödvändigt att spara filerna under den period kommunen angett – i anslutning till mötet och senast inom 72 timmar – med möjlighet att i undantagsfall förlänga fristen, exempelvis vid brådskande ärenden eller sjukfrånvaro.

Mänsklig kontroll

Mänsklig kontroll innebär i sammanhanget ett grundläggande inslag för att säkerställa att principen om riktighet efterlevs. Med mänsklig kontroll avser IMY inte nödvändigtvis att förstå den tekniska funktionaliteten, utan snarare att ha kunskap om AI-användningen: vad som kan bli fel, hur fel rapporteras samt att kunna förmedla relevant information om transkriberingstjänsten till enskilda. Det kan särskilt beaktas att nyanställda, som möjligtvis saknar erfarenhet av att sammanställa sammanfattningar, kan behöva ytterligare kännedom om hur exempelvis utdata ska bedömas.

Vad kan vara lämpliga tekniska och organisatoriska säkerhetsåtgärder?

Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (art. 32 GDPR). Vid användning av en extern transkriberingstjänst uppstår risker som kräver en genomgång av informationssäkerheten och en riskbedömning. Även om IMY inte räknar upp en uttömmande lista över vilka säkerhetsåtgärder som ska vidtas, ger rapporten en fingervisning. Vid behandling av känsliga personuppgifter är det särskilt viktigt att hålla en hög skyddsnivå.

• Kryptering: Personuppgifter kan hanteras i flera tekniska delkomponenter och behöver krypteras ändamålsenligt och i tillämpliga fall kompletteras med andra skyddsåtgärder för att förhindra obehörig åtkomst.
• Identitets- och behörighetshantering: Behörigheten ska begränsas till de personer som behöver åtkomst till personuppgifterna i sitt arbete. Åtkomsten ska sedan följas upp genom loggning och regelbundna kontroller.
• Uppföljningsbara rutiner för gallring: Det behöver finnas rutiner för att säkerställa att uppgifterna inte behandlas längre än nödvändigt. I rutinerna bör det framgå när personuppgifterna ska raderas och hur det säkerställs att så skett. Kom ihåg att gallra uppgifterna från samtliga lagringsytor och att även ansvarsfördelningen med eventuellt personuppgiftsbiträde regleras tydligt.

Avslutande kommentar

Nyttan med olika typer av AI-tjänster inom välfärden är stor. I den här innovationssandlådan fokuserades det på en extern, färdigutvecklad transkriberingstjänst. Utveckling och träning av egna AI-verktyg för transkribering och andra funktioner ställer såklart ytterligare komplexa dataskyddsrättsliga krav och utmaningar. Inte minst vid användning av känsliga personuppgifter (vilket förvisso kan komma att förenklas om vissa av förslagen i det digitala omnibus-paketet klubbas igenom). Samtidigt finns det begränsade möjligheter, juridiskt och/eller it-säkerhetsmässigt, för vissa offentliga aktörer att använda sig av just externa AI-tjänster. Den här rapporten tar höjd för de dataskyddsrättsliga frågorna, men i många fall tillkommer andra förvaltningsrättsliga aspekter som måste beaktas.

Därför är det såklart värdefullt att IMY är så pass utförlig i sina redogörelser, inte minst när det kommer till den rättsliga grunden. Bedömningen i den här rapporten kan med fördel jämföras och analyseras med IMY:s tidigare innovationssandlåda – Utlämnande av allmänna handlingar med hjälp av AI – där den rättsliga grunden för den s.k. helhetstjänsten (automatisera processen för utlämnande av allmänna handlingar) inte bedömdes vara förenlig med dataskyddsförordningens nödvändighets- och proportionalitetsprinciper. ”Den rättsliga grunden, som utgörs av allmänt hållna bestämmelser i TF och OSL, är inte tillräckligt förutsebar och preciserad i relation till de risker som finns för den personuppgiftsbehandling som sker i samband med användningen av helhetstjänsten.” skriver IMY i den rapporten.

Delphi följer som alltid utvecklingen inom AI för offentlig sektor och vi uppdaterar bloggen löpande.

Denna artikel är skriven av Senior Associate Lizette Källåker.