Under hösten och sedan årsskiftet har vi gjort framsteg i utvecklingen av vår AI-drivna maskeringstjänst. Denna tjänst som utformas för att effektivisera och automatisera processen för begäran om allmän handling genom att identifiera och maskera känsliga uppgifter i dokument.
Hösten 2024
Under hösten fokuserade Atea på att förbättra det grafiska gränssnittet och flödet för maskeringstjänsten utifrån önskemål av referensgruppen. Atea arbetade också intensivt med att färdigställa direkta personuppgifter samt samla in önskemål kring funktioner från vår referensgrupp som består av medarbetare från våra fem olika medverkande kommuner.
Första kvartalet 2025
Vi har under det första kvartalet 2025 fortsatt att anpassa kod, GUI (graphic user interface) och arkitektur för att säkerställa att tjänsten uppfyller alla krav och fungerar optimalt utifrån våra behov. En viktig del av vårt arbete har varit att säkerställa att säkerhet och autentisering är på högsta nivå. Därför har vi under första kvartalet fokuserat på att förbättra funktionaliteten och säkerheten i maskeringstjänsten.
Atea har genomfört omfattande tester och buggfixar för att säkerställa att tjänsten fungerar smidigt och effektivt. Fokus har också varit arbetet med att normalisera entiteter och utveckla NLP-modeller för att förbättra tjänstens prestanda. Dessutom har vi i påbörjat tester med skarp data och arbetat fram DPIA-avtal.
Säkerhetsåtgärder
För att säkerställa att maskeringstjänsten är säker och pålitlig har vi implementerat flera viktiga säkerhetsåtgärder:
- Autentisering: Vi har infört stark autentisering (MFA) för att säkerställa att endast behöriga användare kan få tillgång till tjänsten.
- Kryptering: All data som behandlas av maskeringstjänsten krypteras för att skydda den mot obehörig åtkomst
- Loggning och övervakning: Atea har implementerat regelbunden loggning och övervakning för att upptäcka och förhindra obehörig åtkomst och felaktig databehandling.
- Incidentrapportering: Atea har etablerat rutiner för incidentrapportering och övervakning för att snabbt kunna hantera och åtgärda eventuella säkerhetsincidenter.
DPIA (Data Protection Impact Assessment)
För att säkerställa att maskeringstjänsten uppfyller alla krav enligt GDPR och AI Act har projektet tillsammans med Atea genomfört en omfattande DPIA. Den framtagna DPIAn ska även kunna fungera som mall för andra kommuner som avropar maskeringstjänsten längre fram.
Enligt IMYs rapport ”Utlämnande av allmänna handlingar med hjälp av AI” har vi tagit hänsyn till flera viktiga rekommendationer:
Mänsklig kontroll: Maskeringstjänsten identifierar och föreslår uppgifter som ska maskeras, medan handläggaren gör den slutgiltiga sekretessbedömningen.
Säkerhetsåtgärder: IMY betonar vikten av säkerhetsåtgärder som autentisering, kryptering och loggning.
Riskmedvetenhet: IMY rekommenderar särskild styrning och ökad riskmedvetenhet vid användning av AI inom organisationen.
Implementationen av önskvärd funktionalitet sker i snabb takt, och det finns för närvarande inga tekniska hinder i vårt arbete. Vi ser fram emot att lansera version 1.0 under maj månad och då är den första delen av projektet ”Rätt till insyn” avslutad och vi övergår till nästa del. Denna del består i att ta fram en prototyp för att med hjälp av AI samla in efterfrågade dokument. Advokatfirman Kahn Pedersen kommer också, som en del av projektet, att under våren publicera sin rättsutredning.