Frågor och svar: webbinarium om innovationssandlådan 14 april

Här nedan svarar vi på de frågor som publiken ställde under webbinariet. 

Rapport: Transkribering inom socialtjänsten

Rättslig grund

Om en AI tolkar, rättar och ger förslag på ändrad text är det fortfarande att se som transkribering?

Svar:

Nej, det blir en ny behandling och för detta krävs rättslig grund. I rapporten har vi bedömt rättslig grund för transkribering och för sammanfattning, som är en form av redigering.

Hur kan kommunen säkerställa att tystnadsplikt enligt artikel 9.3 i GDPR uppfylls?

Svar:

Det är kommunen som ansvarar för att säkerställa att kravet på tystnadsplikt enligt artikel 9.3 i GDPR uppfylls. Hur detta sker får bedömas utifrån verksamhetens organisation och den aktuella behandlingen, exempelvis genom regler om sekretess, avtalade sekretessåtaganden och behörighetsstyrning.

Vad gäller transkriberingstjänsten, kan även privata företag använda en sådan tjänst, även om de inte har någon uttryckligt reglerad dokumentationsplikt i författning, trots att känsliga personuppgifter kan förekomma i samtalen?

Svar:

Som företag behöver ni undersöka vilken rättlig grund ni kan stödja er behandling på. Det finns flera rättsliga grunder i GDPR. 

Automatiserat beslutsfattande

Om även andra samtal sammanfattas med hjälp av AI, gör IMY då en annan bedömning i fråga om huruvida processen ska anses utgöra automatiserat beslutsfattande?  

Svar: 

För att artikel 22 i GDPR om automatiserat beslutsfattande ska vara tillämplig krävs att beslutet är grundat enbart på automatiserad behandling. Har en människa varit involverad i beslutsfattande blir inte artikeln tillämplig. Avsikten är att samtliga sammanfattningar ska granskas innan de tillförs utredningsunderlaget, varför det inte kommer blir fråga om automatiserat beslutsfattande i aktuellt fall.  

Mänsklig kontroll

Hur resonerande Kalmar kommun kring den mänskliga kontrollen och avvägningen mellan effektivitet samt rättssäkerhet och korrekthet? Diskuterades något tillvägagångssätt för att uppnå båda?

Svar: 

Vi diskuterade detta under såväl workshopen om rättslig grund som mänsklig kontroll. Om den mänskliga kontrollen tar för lång tid kan det såklart innebära att effektivitetsvinsterna minskar och som personuppgiftsansvarig behöver man då ställa frågan om nödvändighetskraven för den rättsliga grunden fortfarande är uppfyllda.  

Avser mänsklig kontroll den sammanfattning som ska sparas i klientens journal eller hela transkriberingen? Om ni menar hela transkriberingen, hur ser ni då på den försämrade effekt som det i så fall kan innebära för den här typen av tjänst? Kan deltagande i mötet anses vara en form av mänsklig kontroll, och att man därigenom bör kunna bedöma korrektheten i sammanfattningen?  

Svar: 

Det viktiga är att de personuppgifter som journalförs och som ligger till grund för beslut, är riktiga. I det här fallet är det sammanfattningen som är avsedd att journalföras och det är den socialsekreterare som deltagit i mötet som – om inte något oförutsett skulle inträffa – ska utföra granskningen. I den manuella behandlingen idag är det ansvarig socialsekreterare som tar anteckningar under mötet och som sedan granskar och överför de manuella anteckningarna till journalen.

Granskning sker således redan, men med hjälp av tjänsten behöver mindre tid ägnas åt skriva för hand och socialsekreteraren fokusera mer på den enskilde under mötet. Det är inte helt klart för oss vad du menar med ”försämrade effekter” men du får gärna kontakta oss.

Kommer manuella anteckningar att föras under samtalet av socialsekreteraren, eller kommer socialsekreteraren endast förlita sig på sin minnesbild från samtalet och sammanfattningen som genererats av AI?  

Svar:

Avsikten med transkriberingstjänsten är att socialsekreteraren inte ska behöva föra manuella anteckningar, men det finns givetvis inga hinder att även anteckna för hand.  

Tjänsteleverantör

Jag undrar vilket företag som äger AI i Kalmarprojektet?  

Svar:

Flera tjänsteleverantörer har varit aktuella i projektet, bland annat Klang. För frågor om vilken leverantör som valdes får vi hänvisa till Kalmar kommun.

Interna möten

Har sandlådeprojektet även undersökt användning av transkriberingstjänsten vid interna möten inom verksamheten, exempelvis verksamhetsutvecklande möten, för att effektivisera anteckningsarbetet och eventuellt frigöra resurser eller öka närvaron och delaktigheten?

Svar: 

Nej, det är inget vi har undersökt i det här projektet men rapporten kan förhoppningsvis utgöra vägledning eftersom det är samma frågor den personuppgiftsansvarige behöver ta ställning, till exempel om det finns rättslig grund för behandlingen. Här ska man också vara medveten om att även uppgifter som indirekt kan knytas till en person utgör personuppgifter.

Konsekvensbedömning

Hur har ni resonerat kring behovet av konsekvensbedömning enligt artikel 35 i GDPR i samband med projektet om AI-transkribering i socialtjänsten? Bör varje kommun som överväger att införa en sådan behandling göra en egen DPIA, även om liknande personuppgiftsbehandling redan har behandlats inom ramen för en sandlåda?  

Svar:

Det är upp till den personuppgiftsansvarige att avgöra om en konsekvensbedömning behöver göras.  

Gallring

Förklara gärna hur gallring är en säkerhetsåtgärd enligt artikel 32 i GDPR och inte en åtgärd enligt artikel 24 i GDPR?

Svar:

Gallring är inte bara en fråga om intern styrning enligt artikel 24 i GDPR. När gallring minskar mängden lagrade personuppgifter och därmed risken för obehörig åtkomst eller exponering, fungerar den som en säkerhetsåtgärd enligt artikel 32 i GDPR.

Avsnittet vidareläsning

Har ni möjlighet att lägga upp en länk till danska Datatilsynets rapport om bland annat transkribering?  

Svar: 

Talegenkendelse og taleklassifikation som støtteværktøj for personale inden for sundheds- og omsorgsområdet (Datatilsynet, Danmark)

För den som är intresserad av det norska projektet kommer det en rapport sommaren 2026.

Regulatorisk sandkasse i årsrapport 2024 (Datatilsynet, Norge)

Rapport: Betrodda exekveringsmiljöer för uppkopplade fordon

Kan ni utveckla vad som menas med integritetsfrämjande tekniker?  

Svar:

Integritetsfrämjande tekniker (Privacy-Enhancing Technologies, PET) är tekniska lösningar som gör det möjligt att samla in, använda och dela data samtidigt som personuppgifter skyddas.  

Ur ett dataskyddsperspektiv handlar det om att bygga in skydd direkt i tekniken, så att bara de uppgifter som behövs för ändamålet behandlas och att uppgifter skyddas från exponering.

Teknikerna stödjer kraven i GDPR, till exempel principerna om uppgiftsminimering, integritet och konfidentialitet samt inbyggt dataskydd. De är dock inget komplett skydd i sig, utan behöver implementeras korrekt och kompletteras med andra säkerhetsåtgärder.

Vad skiljer egentligen en traditionell molntjänst från en betrodd exekveringsmiljö?  

Svar: 

Det speciella med betrodda exekveringsmiljöer är att data är skyddad hela tiden, även när den används. Den som tillhandahåller en betrodd exekveringsmilljö kan i princip inte komma åt informationen där inne, särskilt inte om kontrollantfunktionen för exekveringsmiljön kontrolleras av användaren.

En mer traditionell molntjänst fungerar annorlunda. Där är data inte lika skyddad från eventuell åtkomst av tillhandahållaren av tjänsten. Säkerheten bygger mer på att man avtalsmässigt litar på molnleverantören och deras system, istället för att tekniskt kunna kontrollera och säkerställa miljöns integritet.

Skillnaden är alltså att en betrodd exekveringsmiljö skyddar information även medan den används samt att kontrollen över tjänsten kan vara förbehållen för användaren, medan en vanlig molntjänst ofta innebär att leverantören kan få åtkomst till information som behandlas där. Det gör att betrodda exekveringsmiljöer passar bättre för väldigt känslig information eller där användaren uteslutande vill ha kontroll över information som behandlas.

Rapport: Vidarebehandling av personuppgifter för utveckling och användning av AI

Vad är skillnaden mellan anonymisering och syntetisering?

Svar:

Anonymisering innebär att personuppgifter behandlas på ett sådant sätt att en identifiering av en fysisk person inte längre är möjlig, vare sig direkt eller indirekt, med rimliga medel. När uppgifter väl är korrekt anonymiserade faller de utanför tillämpningsområdet för dataskyddsregelverket.

Syntetiska data utgör däremot artificiellt genererade uppgifter som baseras på mönster i verkliga data. Även om syftet ofta är att minska integritetsrisker, är syntetiska data inte per automatik anonymiserade. Om det finns en risk att individer kan identifieras – exempelvis genom likhet med ursprungsdata eller genom kombination med andra uppgifter – kan de fortfarande utgöra personuppgifter och omfattas av dataskyddsregelverket. Begreppen bör således inte användas synonymt.

Vad är syntetiska data rent tekniskt?  

Svar:

Syntetiska data genereras genom att en statistisk modell tränas på verkliga data och därefter producerar nya datapunkter som återspeglar de mönster och samband som identifierats i träningsmaterialet. Dessa uppgifter är inte direkta kopior av de ursprungliga uppgifterna, utan konstruerade representationer.

Tanken är att datan ska vara användbara utan att avslöja individers identitet. Kvaliteten beror dock på hur väl modellen är konstruerad.