fbpx
18 januari, 2019 | Magnus Kolsjö | Digitalisering

Bristfällig beredning av bestämmelsen om automatiserade beslut

Förra veckan skrev jag ett blogginlägg om hur bestämmelsen gällande automatiserade beslut i den nya förvaltningslagen står i strid med bestämmelserna i dataskyddsförordningen. Jag lovade då också att återkomma till frågan om automatiserade beslut.

I det här blogginlägget tar jag upp några andra frågor som verkar ha missats i beredningen av förvaltningslagen bestämmelse om  automatiserade beslut och som därför kan skapa svårigheter när den ska tillämpas.

Beredningstvånget

En myndighet får inte tillämpa en föreskrift om den kommit till på ett sätt som bryter mot den ordning som gäller enligt bestämmelserna i regeringsformen eller riksdagsordningen. En viktig del av dessa bestämmelser är det så kallade beredningstvånget som säger att regeringen innan den fattar beslut ska ta in “behövliga upplysningar och yttranden” från berörda myndigheter, kommuner, sammanslutningar och enskilda.

Även om propositionen om förvaltningslagen bygger på en utredning som har remissbehandlas så gäller detta inte för bestämmelsen om automatiserat beslutsfattande. Något sådant förslag lämnades aldrig av Förvaltningslagsutredningen och har heller inte berörts av någon av remissinstanserna. Genom att föreslå en uttrycklig reglering av möjligheten till automatiserat beslutsfattande går regeringen också emot den senaste utredningen som berört frågan utan att motivera hur de kommit till en annan slutsats.

Regeringen konstaterar i propositionen (prop. 2016/17:180 sid. 179) att:

“Regeringen anser att det också finns anledning att i lagen tydliggöra att förvaltningsbeslut kan fattas på automatiserad väg. Utredningens författningsförslag saknar ett sådant klargörande.Regeringen kan dock konstatera att automatiseringen av beslut under senare år har kommit att bli en allt vanligare företeelse inom delar av den förvaltning som hanterar ett mycket stort antal ärenden årligen, t.ex. i Försäkringskassans verksamhet. Genom att det i lagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform.”

Det sägs ingenting om varför regeringen nu bedömer att de begränsningar som finns i tidigare specialförfattningar om att automatiserat beslutsfattande endast får användas i de fall beslutet är sådant att myndigheten inte behöver motivera det. Detta var en av de viktiga begränsningarna vid vad som verkar vara det första lagstiftningsärendet om automatiserat beslutsfattande 1994.

Det sägs heller inget om vem som ska anses vara ansvarig för de beslut som fattas automatiserat eller varför regeringen bedömer att det inte behövs något undantag från bestämmelserna om vad som ska ingå i beslutshandlingen när det i flera fall tidigare (exempelvis för Skatteverket och Försäkringskassan) ansetts vara nödvändigt att göra undantag från motsvarande bestämmelse i myndighetsförordningen.

Här kan man också undra varför regeringen inte reflekterat över ifall sådan profilering som kan ligga till grund för vissa former av automatiserade beslut kan stå i strid med regeringsformens integritetsskydd som syftar till att skydda den enskilde mot kartläggning av hens personliga förhållanden. Varför resoneras det inget om hur bestämmelsen förhåller sig till den vid propositionens tillkomst gällande § 29 i personuppgiftslagen som innehöll visst skydd för den enskilde vid automatiserat beslutsfattande och vad som skulle hända med den regleringen när dataförordningen trädde i kraft och personuppgiftslagen skulle komma att upphävas?

Den frågan berördes inte heller av Dataskyddsutredningen. Regeringen snuddade dock vid den i sin proposition till ny dataskyddslag när den avvisade Dataskydd.nets remissynpunkt (prop. 2017/18:105 sid. 151f) om att dataskyddsförordningens bestämmelser om automatiserade beslut skulle omfattas av den rätt att överklaga en myndighets beslut om personuppgiftsbehandling som togs in i den nya dataskyddslagen.

Frågan är om beredningstvånget i detta fall har åsidosatts på ett sådant sätt att regeln om automatiserat beslutsfattande inte får användas.

Legalitetsprincipen

Som jag skrev i förra veckas blogginlägg så är det bra att det nu skrivs in i förvaltningslagen att beslut kan fattas automatiserat. Detta handlar inte bara om det krav som finns i dataskyddsförordningen utan om något mer grundläggande än så, nämligen att följa den så kallade legalitetsprincipen som innebär att en myndighet bara får utföra sådana åtgärder som den har stöd för i lag eller förordning. Denna princip slås fast i regeringsformens första paragraf. Det går alltså inte att dra slutsatsen som E-delegationen gjorde i sitt betänkande “Automatiserade beslut – färre regler ger tydligare reglering” (SOU 2014:75) att “förfaranden som inte är förbjudna inte heller måste ha uttryckligt stöd i författning för att få tas i bruk” (sid. 46)

Som stöd för sitt förslag om att automatiserat beslutsfattande inte behöver regleras genom uttryckligt stöd i författning lyfter E-delegationen bland annat fram den slutsats som Utredningen om en översyn av processuella regler inom socialförsäkringen, m.m. (handläggningsutredningen) gjorde i sitt betänkande om en ny handläggningslag för försäkringskassorna (SOU 2001:47). I betänkandet sägs (sid. 314):

“Författningsregleringen av beslutsfattandet genom ADB är som nämnts ovan långt ifrån fullständig. Att som för närvarande endast uttryckligt reglera möjligheten att fatta beslut genom ADB för vissa förmåner men inte för andra är inte någon lämplig lösning. Motsatsvis ligger slutsatsen nära till hands att beslut som fattas genom ADB utan att förfarandet har författningsstöd skulle vara tillkomna på ett rättsstridigt eller i övrigt felaktigt sätt. Detta är dock knappast någon riktig slutsats. Det är i stället så att användandet av ADB i en myndighets verksamhet får ses som ett naturligt inslag av teknisk natur. Det krävs ingen särskild reglering för att myndigheten skall få använda sig av ett sådant stöd.”

Utredningens förslag ledde aldrig fram till någon lagstiftning utan lämnades istället över till Utredningen om samordning av socialförsäkringslagarna som i sitt förslag till socialförsäkringsbalk (SOU 2015:114) valde att föreslå att möjligheterna till automatiserat beslutsfattande i vissa fall skulle regleras uttryckligt i lagstiftningen. Varför de gjorde detta val framgår inte av uttalandena i betänkandet trots att de till skillnad från handläggningsutredningen hade en möjlighet att föreslå förändringar även inom de delar som rör pension och därmed ta bort all uttrycklig reglering gällande automatiserat beslutsfattande. Denna både och-lösning var också den ordning som kom att införas i socialförsäkringsbalken.

Att fatta beslut automatiserat är inte enbart en fråga om en viss teknisk bearbetning som handläggningsutredningen ansåg. Det är en fråga om delegation av den makt som ytterst utgår från folket och en åtgärd som har en direkt verkan för den eller de som beslutet berör. Reglerna om vem eller vilka som får besluta på en myndighets vägnar samt hur beslutsrätten får delegeras finns i myndighetsförordningen och för kommunala myndigheter i kommunallagen. Det är svårt att i de bestämmelserna läsa in att det går att delegera beslutsfattandet till en maskin vilket också är den tolkning som Sveriges kommuner och landsting har gjort.

I och med den nya bestämmelsen om automatiserat beslutsfattande i förvaltningslagen är frågan om legalitet löst, alla fall vad gäller statliga myndigheter, men som påpekats ovan har flera viktiga frågor missats i beredningen vilket gör att bestämmelsen kan ifrågasättas.

Ansvarskedjan

Grunden för myndigheternas verksamhet och all offentlig maktutövning är att all makt utgår från folket. Detta stadgas liksom legalitetsprincipen i regeringsformens allra första paragraf. Det har lagts ner mycket möda åt att tydliggöra och stärka uppgifts- och ansvarskedjan både i arbetet med att ta fram 1974 års regeringsform och det ständigt pågående arbetet med utvecklingen av den offentliga förvaltningen efter det.

Kedjan kan beskrivas översiktligt som att:

  1. Folket väljer en riksdag som har till uppgift att stifta lagar, besluta om skatter och bestämma hur statens pengar ska användas.
  2. Riksdagen väljer en statsminister som har till uppgift att utse övriga ministrar i regeringen och leda regeringens arbete.
  3. Regeringen styr riket genom att bland annat utse styrelser och chefer för myndigheterna.
  4. Myndigheternas ledning fattar beslut i de frågor som varje myndighet ansvarar för. I många fall kan de delegera till medarbetare på myndigheten att fatta besluten. När beslut fattas agerar myndigheterna självständigt under de lagar som riksdagen fattat.
  5. Myndigheternas beslut påverkar de enskilda människor eller företag som vänt sig till myndigheten. – Folkviljan har fått genomslag i en medborgares vardag.

Det är viktigt för rättssäkerheten och för möjligheten att utkräva ansvar att det är tydligt hur ansvar och befogenheter flödar genom kedjan. Varje handling måste kunna knytas till en ansvarig person. Det handlar både om att den enskilde ska kunna kräva ut ansvar av myndigheten och den ansvarige tjänstemannen och att riksdagen ska kunna kräva ut ansvar av regeringen som ska kunna kräva ut det av myndighetens ledning och så vidare.

När en myndighet gör fel brukar man prata om att det finns fyra olika former för ansvarsutkrävande.

  1. Arbetsrättsligt – en person som är anställd vid en myndighet kan som andra anställda bli avskedad om de grovt åsidosätter sina skyldigheter mot arbetsgivaren
  2. Disciplinärt – i lagen om offentlig anställning finns bestämmelser om varningar och löneavdrag som en anställd vid statliga myndigheter kan drabbas av om den missköter sina skyldigheter.
  3. Straffrättsligt – en person som ägnar sig åt myndighetsutövning kan under vissa omständigheter dömas till böter eller fängelse för tjänstefel
  4. Skadeståndsrättsligt – det finns en möjlighet för den som lider skada på grund av ett fel som en myndighet begår att kräva skadestånd

När maskiner övertar beslutsfattandet blir ansvarskedjan otydlig och flera av de möjligheter som finns att utkräva ansvar försvinner. Detta är något som Justitiekanslern påpekade i samband med beredningen av frågan om automatiserat beslutsfattande för vissa beskattningsbeslut. Justitiekanslern ansåg att det var viktigt att beslut kunde härledas till en ansvarig person bland annat för att den som påverkas av beslutet ska kunna få information om vem som är ansvarig samt för frågor som rör tjänsteansvar och skadeståndsansvar för staten. (prop. 1993:94/224 sid. 29)

Regeringen ansåg att det inte fanns behov av att peka ut någon ansvarig tjänsteman eftersom det redan framgick av instruktionen för skatteförvaltningen att beslut som inte ska fattas av styrelsen, personalansvarsnämnden eller skattenämnd ska tas av länsskattechefen. Beslut som tas genom automatiserat beslutsfattande bör därför enligt regeringen, i detta fall, anses fattade av länsskattechefen. (prop. 1993:94/224 sid. 21)

I förordningen med instruktion för Statens tjänstepensionsverk finns tvärtemot regeringens resonemang 1994 en bestämmelse som klargör att beslut som fattas genom automatiserad behandling ska anses fattade av myndighetschefen. Denna bestämmelse fördes in genom en ändring i förordningen 2005. Varför regeringen gjorde detta förtydligande är svårt att veta då det inte finns några förordningsmotiv. Ett år tidigare hade myndigheten fått möjlighet att göra undantag från reglerna om hur beslut ska utformas när beslut fattas automatiserat.

Vad jag har kunnat hitta är Statens tjänstepensionsverk den enda myndighet som har detta klargörande i sin instruktion angående vem som är ansvarig för automatiserade beslut. Personligen tycker jag att denna form av klargörande är bra men det skulle vara intressant att veta varför regeringen ansåg att det behövdes just för denna myndighet och inte för några andra.

Beslutets utformning

När ett beslut fattas automatiserat är det svårt att uppfylla de krav som finns både i förvaltningslagen och myndighetsförordningen att beslutet ska dokumenteras i en handling som bland annat visar vem eller vilka som fattat beslutet, vem eller vilka som har varit föredragande, och vem eller vilka som har medverkat vid den slutliga handläggningen utan att delta i avgörandet. I tidigare fall när myndigheter har getts möjlighet till automatiserat beslutsfattande för vissa ärendetyper så har de också skrivits in ett undantag från bestämmelsen i myndighetsförordningen i deras instruktion.

E-delegationen föreslog i sitt betänkande om automatiserat beslutsfattande (SOU 2014:75)att det för att förenkla skulle föras in ett generellt undantag från reglerna om beslutsdokuments utformning i myndighetsförordningen. Sedan E-delegationens betänkande kom har situationen förändrats genom att beslutsdokuments utformning nu även regleras i förvaltningslagen. I och med regeringens uttalande i propositionen (prop. 2016/17:180 sid. 185) om att reglerna för beslutsdokumentation inte innebär att alla uppgifter som nämns i bestämmelsen måste finnas med vid beslut som fattas på automatiserad väg har vi två motstridiga doktriner i lagstiftningen; dels en där myndigheter har ansetts behöva uttryckliga undantag från dokumentationskraven och dels en där de inte anses behöva det. Den senare doktrinen har dessutom införts utan att frågan har remissbehandlats.

Det säger sig självt att det är orimligt att reglera frågan om beslutsdokumentation både i lag och förordning när myndighetsförordningen inte tillför något utöver det som redan bestäms i lagen. Det är också orimligt att ha två motsatta sätt att hantera frågan om beslutsdokumentation. Det rimliga vore att endast behålla regleringen i förvaltningslagen och att där införa den undantagsbestämmelse som E-delegationen föreslog i sitt betänkande om automatiserat beslutsfattande. Undantag från bestämmelse av ska-karaktär bör nämligen inte göras genom uttalanden i propositionstexter. De bör klart och tydligt skrivas in direkt i lagtexten.

Vad bör göras

Det finns ett behov av att regeringen skapar tydlighet kring automatiserat beslutsfattande. Efter det att det för första gången infördes en uttrycklig möjlighet i lagstiftningen 1994 har frågan inte behandlas på något mer fördjupat sätt. Argumenten vid senare utvidgning av möjligheten till automatiserat beslutsfattande har handlat om att automatisering redan används eller att man har valt en liknande utformning av bestämmelserna som använts tidigare. Någon analys utifrån ett legalitets-, integritets- eller ansvarsperspektiv har inte gjort.

En viktig fråga är vilka typer av beslut som kan automatiseras om man framöver inte ska begränsa sig till den form av enklare positiva beslut som tidigare ansetts okej att avgöra genom automatiserat beslutsfattande. Vad innebär det när maskiner med artificiell intelligens kan ta beslut och så vidare.

Det behöver göras tydliga undantag i förvaltningslagen för vilka uppgifter som inte behöver finnas med i ett beslut som fattats på automatiserad väg och den dubbelreglering som finns i myndighetsförordningen bör tas bort.

På samma sätt som det finns ett tydliggörande i instruktionens för Statens tjänstepensionsverk om att myndighetschefen ansvarar för automatiserade beslut, bör det föras in en sådan generell regel i myndighetsförordningen. Även om flera personer är involverade för att ett automatiserat beslut ska kunna framställas, allt från systemarkitekter och programmerare till enskilda handläggare, så är det myndighetschefen som har alla de befogenheter som behövs för att kunna fatta de övergripande och stora beslut som påverkar hur automatiseringen fungerar. Därför bör det också vara tydligt att det är just myndighetschefen som är ansvarig för de automatiserade besluten.

Det bör föras in bestämmelser om de åtgärder som behövs för att skydda enskildas personliga integritet i dataskyddslagen. Det handlar om bestämmelser som ger den enskilde:

  1. meningsfull information om den bakomliggande logiken,
  2. möjlighet att kontrollera detaljer om informationen bakom beslutet och vilka källor som använts för att ta fram den,
  3. möjlighet att uppdatera eller ändra eventuella felaktigheter i uppgifterna,
  4. rätt att göra invändningar, framföra synpunkter och överklaga beslutet, samt
  5. rätt till meningsfullt mänskligt ingripande.

Dessutom bör det finnas en än mer långtgående bestämmelse om möjlighet till insyn i de algoritmer och program som tar fram automatiserade beslut i Offentlighets- och sekretesslagen. Myndigheterna bör ha en skyldighet att lämna ut en fullständig beskrivning av de algoritmer och program de använder för automatiserade beslut precis på samma sätt som de har en skyldighet att lämna ut sina arbetsordningar och de manualer som de tar fram till stöd för de beslut som fattas av handläggare på myndigheten. Att de närmare instruktioner om beslutsfattande som ges till en maskin, ur offentlighets- och sekretessynpunkt, ska behandlas på ett annat sätt en de instruktioner som ges till människor är orimligt.

 

Magnus Kolsjö

Magnus Kolsjö är utredare med ett förflutet i riksdagen och...

Mer från samma skribent

2019-11-21 | Magnus Kolsjö | Digitalisering

Den som följt debatten om digitaliseringen av offentlig sektor det senaste året kan knappast ha undgått att höra om Cloud act och debatten om huruvida svenska myndigheter bör eller ens kan använda sig av amerikanska leverantörer av molntjänster. Från...

2019-01-18 | Magnus Kolsjö | Digitalisering

I det här blogginlägget tar jag upp några andra frågor som verkar ha missats i beredningen av förvaltningslagen bestämmelse om  automatiserade beslut och som därför kan skapa svårigheter när den ska tillämpas. Beredningstvånget En myndighet får inte...

2019-01-10 | Magnus Kolsjö | Digitalisering

I lagens inledning tydliggörs även grunderna för en god förvaltning genom att principerna om legalitet, objektivitet och proportionalitet skrivs in i förvaltningslagen. Dessa principer gäller både handläggning av ärenden och annan...