Erfaringer med automatisk vurdering av personvern i forskningsprosjekter

For ett år siden fikk de fleste institusjoner som har avtale med Sikt om personverntjenester, tilbud om at forskere og studenter kan få vurdert forskningsprosjekter med lav risiko på dagen. Hva er våre erfaringer så langt?

5. desember 2023

Fra 2019 har alle prosjekter som meldes til Sikt, blitt maskinelt skåret for risiko utfra avkrysninger i meldeskjema. Siden november 2022 er prosjekter som oppfyller kriteriene vi har satt for "behandlinger med lav risiko", blitt silt til automatisk vurdering for de institusjonene som ønsker det.

Erfaringene med automatisk vurdering av personvern i forskningsprosjekter har så langt vært positive. Ved å implementere denne løsningen har forskere og studenter fått vurdering innen 24 timer.

Siles fra nøye utvalgte kriterier

Kriteriene for å få skår “lav risiko” er blant annet at prosjektet har kort varighet og begrenset omfang, at deltakerne er over 15 år, og at prosjektet kun skal behandle alminnelige kategorier personopplysninger.

Et typisk eksempel på et slikt prosjekt, er et masterprosjekt som skal intervjue lærere om metodevalg i undervisningen.

– Selv om løsningen gjør at du kan få svar umiddelbart, har vi lagt inn en 24 timers forsinkelse nå i innføringsfasen. Dette har vi gjort både for å høste erfaringer med løsningen, og for å kontrollere for feil, sier Marianne Høgetveit Myhren, produktområdeleder for Sikts personverntjenester.

Målet er å redusere feil i innmeldingen til et slikt nivå at forsinkelsen fjernes, og at prosjekter med lav risiko får svar umiddelbart.

-Marianne H. Myhren, produktområdeleder for Sikts personverntjenester

Høy treffsikkerhet

Etter ett år er det sendt ut over 4500 automatiske førstegangsvurderinger og en rekke endringsvurderinger. Av disse har Sikts rådgivere kontrollert nesten 3000 prosjekter, hvorav det ble funnet feil i 165.

Når vi oppdager feil blir den automatiske vurderingen stoppet, og en rådgiver overtar vurderingen.

Det fleste feilene har vært manglende avkrysning for helseforhold, eller opplysninger om tredjepersoner, altså andre enn selve utvalget. Vi har ikke funnet noen alvorlige feil, med høy personvernrisiko.

– Automatisk vurdering er en effektiv måte å gi raske vurderinger til prosjekter med lav risiko. Samtidig frigjør det kapasitet. Slik får vi også ned vurderingstiden på mer komplekse prosjekter, som fortsatt må og skal få en manuell vurdering, forteller Myhren.

illustrasjon
Sikt vil videreutvikle løsningen i samarbeid med brukerne, slik at enda flere prosjekt med lav risiko får automatisert respons.

Svar på dagen

Sikt jobber med å forbedre løsningen og redusere feil i innmeldingen. Noen av tiltakene som allerede er implementert er: 

  • Helseopplysninger er flyttet øverst i listen over særlige kategorier i meldeskjemaet.
  • Vi har skrevet ny hjelpetekst for helseopplysninger, der ulike eksempler er listet opp.
  • Hjelpetekstene i meldeskjemaet er løftet frem, slik at de fleste tekstene alltid er synlige. 

Vi arbeider videre med andre tiltak, som at meldeskjemaet automatisk vil generere forslag til informasjonsskriv, basert på opplysninger som blir gitt.

– Vi videreutvikler løsningen kontinuerlig, og målet er å redusere feil i innmeldingen til et slikt nivå at forsinkelsen fjernes, og prosjekter med lav risiko får svar umiddelbart, forteller Myhren.

Risikobasert tilnærming i tråd med GDPR

GDPR legger opp til at man skal bruke en risikobasert tilnærming i praktiseringen av regelverket.

– Automatisert vurdering av prosjektene som har lavest risiko er etter vårt skjønn en god måte å møte den risikobaserte tilnærmingen på, sier produktområdeleder Marianne Høgetveit Myhren.

Erfaringene så langt er at det er lav feilmargin. Myhren påpeker at uansett om en vurdering gjøres av et menneske eller en maskin, vil en aldri kunne eliminere all risiko eller feil.

Med denne løsningen utnytter vi mulighetene som digitalisering gir. Vi får frigjort ressurser, blant annet til prosjekter med høyere risiko, som nå også får raskere vurdering fra Sikt.

-Marianne Høgetveit Myhren, produktområdeleder for Sikts personverntjenester

Sikt har fått mye positiv respons fra fornøyde forskere og studenter, som er overrasket over at de får svar på dagen.

– Framover vil vi videreutvikle løsningen i tett samarbeid med brukerne, slik at enda flere prosjekt med lav risiko får automatisert respons, avslutter Myhren.

Marianne H. Myhren
Automatisk vurdering av prosjekter med lav risiko gir kortere vurderingstid - også for prosjekter som krever manuell vurdering, forteller Marianne Høgetveit Myhren i Sikt. (Foto: Bjarne Øymyr)

Aktuelt fra Sikt