Bekendtgørelse om AI ved beslutningsstøtte kan afskære for mange leverancer, siger Dansk Industri i høringssvar.
Dansk Industri (DI) er betænkelig ved, at den lovgivning, der er på vej om brug af personoplysninger ved anvendelse af AI til beslutningsstøtte ved patientbehandling, ikke er teknologi-neutral.
Denne lovgivning er sammen med andre bekendtgørelser, som er kommet på beskæftigelses- og sundhedsområdet, udformet for at afklare de juridiske rammer for brug af AI i den offentlige sektor. Her er mange AI-projekter i gang, men juridisk usikkerhed om, hvad man må og ikke må, lægger hindringer i vejen.
DI, der repræsenterer en lang række danske og udenlandske leverandører af IT-systemer til det offentlige, skriver i et høringssvar til bekendtgørelsen om brug af personoplysninger til patientbehandling, at den mangler teknologi-neutralitet, ligesom den på en række andre punkter er uklar.
DI peger på, at begrebet ”AI-systemer” i bekendtgørelsen henholder sig til den definition af AI-systemer, som er indeholdt i EU`s AI-forordning.
”I bedste tilfælde bliver det usikkert om også f.eks. AI-modeller og Machine Learning mv. vil være omfattet af bekendtgørelsen. Uagtet vil det bidrage til yderligere usikkerhed om, i hvilket omfang nye og visse nuværende teknologiske løsninger er omfattet,” skriver DI i sit høringssvar.
Uklarhed om databeskyttelse
”Man giver tilladelse til at bruge teknologien som beskrevet i en forordning, men området udvikler sig jo hele tiden og skal der så ny lovgivning til i takt med den teknologiske udvikling? Det er uklart”, siger Emil Fink-Jensen, Fagleder Compliance & GDPR, Dansk Industri.
DI peger desuden på, at bekendtgørelsen kan være uklar, når det gælder databeskyttelsen i projekter, hvor private leverandører er involveret. Det er således uklart om en leverandør, der ikke har sundhedsfaglige personer tilknyttet, kan få adgang til de personoplysninger, som skal bruges ved udvikling af beslutningsstøtte-værktøjer.
”Det er DI’s erfaring, at leverandørerne typisk arbejder inden for en fast defineret ramme, men selv beslutter væsentlige teknisk specifikke trin i forbindelse med udviklingen eller videreudviklingen af systemer til beslutningsstøtte. Her kan leverandøren efter en konkret vurdering blive dataansvarlig, og vil derigennem potentielt ikke kunne få adgang til data,” skriver DI. Det er typisk kunderne, altså kommunerne, der er data-ansvarlige, mens leverandørerne er defineret som data-behandlere.
”Det vi frygter er, at bekendtgørelsen, som den ligger, kommer til at afskære for mange leverancer”, siger Emil Fink-Jensen.
DI peger også på, at der i lovgivningen opereres med, at der kun bruges pseudonyme data i udviklingen af beslutningsstøtteværktøjer.
Men her er der ifølge Emil Fink-Jensen tale om en overimplementering i forhold til EU databeskyttelsesregler. De åbner nemlig op for, at man godt kan bruge personoplysninger, der hvor det er absolut nødvendigt.
Bekendtgørelsen er i princippet trådt i kraft pr. 15. januar, samtidig med høringsfristen udløb, men ventes justeret i forhold til de høringssvar, som kommer ind.
Af Carsten Steno