Samkøring og overvågning er ord, der hyppigt indgår i den offentlige debat, når vi taler brug af data og forskellige former for kunstig intelligens. Privatlivets fred nævnes også med en ret høj frekvens.

Sprogbrugen skubber opmærksomheden væk fra, at data i stigende grad bruges til at udvikle digitale løsninger. Hypen om dataetik og Big Brother overdøver, at der er andet og mere end privatlivsproblematikker på spil, når vi udvikler og bruger digitale løsninger i det offentlige.

Derfor er debatten heller ikke det, jeg med et typisk juristudtryk vil kalde adækvat. Nogle farer af sted med dataetiske råd og dataetiske principper. Andre råber om disruption, og at vi fx kan undvære mange medarbejdere i jobcentrene, når den kunstige intelligens tager over. Nogle få undrer sig i stilhed over de mange udmeldinger, hvor det, der burde være startpunktet, synes at forsvinde i støjen, konferencerne og de mange postings: Offentlig forvaltning er lovmæssig forvaltning.

Støj og manglende fokus
Man kunne fristes til at tænke, at vi mangler regler og retningslinjer, der kan styre udviklingen af den digitale forvaltning derhen, hvor vi træder helt ind i det digitale samfund med respekt for princippet om lovmæssig forvaltning.  Det er imidlertid en forfejlet slutning. Man kunne ligefrem kalde det fake news.

Samfundet har nemlig allerede sat spilleregler op for dem, der vil udvikle digitale løsninger til det offentlige. Spilleregler, der skal sikre, at resultatet af en udviklingsproces er en både lovlig og forsvarlig teknologisk løsning.

Og nej. De spilleregler er ikke (kun) GDPR. De vigtigste er faktisk at finde i forvaltningsretten. Her gælder en række grundlæggende principper, som bl.a. skal sikre kvalitet i den digitale forvaltning og dermed hindre, at risiko-barometeret for et katastrofalt tillidstab går fra lysegul til flammende rød. Hvor GDPR omfatter alle organisationer i hele EU, er forvaltningsretten i øvrigt målrettet lige netop danske offentlige organisationer som jobcentrene.

De forvaltningsretlige regler er imidlertid i modsætning til GDPR ikke gået som en storm hen over alle organisationer med trusler om tårnhøje bøder, ivrige stemmer i den offentlige debat eller højtråbende sælgere af konsulentydelser. De lever et stille liv, hvor kun Folketingets Ombudsmand for alvor har forsøgt at informere om deres indhold.

Jeg mistænker, at myndigheder og udviklere i al støjen om GDPR og dataetik ikke har hørt vores folkevalgtes egen vagthunds lavmælte stemme. Derfor har de heller ikke læst hans guide til, hvordan man overholder lovgivningen i den digitale forvaltning. De er ikke opmærksomme på, at han har opremset, hvilke fejl der oftest begås, når der udvikles digitale løsninger. Videre mistænker jeg, at manglen på interesse for disse guider har ført til, at de færreste i dag ved, hvordan man overholder lovgivningen, når man udvikler digitale løsninger til det offentlige.

Har jeg ret i, at der eksisterer et sådan vidensgab, er det et meget farligt sløseri med samfundets grundlæggende spilleregler. Det er faktisk et demokratisk problem. Tager jeg fejl – og alle læsere skriger op, at de er ivrige læsere af myndighedsguiden og energisk følger retningslinjerne for konsekvensanalyser i ombudsmandens udtalelse, som er gengivet på hjemmesiden som FOB 2014-24 (udtalelse fra Folketingets Ombudsmand) – så er det rigtig glædeligt.

Hvad er første skridt tilbage til lovmæssig forvaltning?
Hvis det derimod er sådan, at der måske ikke helt er styr på de forvaltningsretlige aspekter, er første skridt mod at genoprette lovmæssige tilstande at vende tilbage til en helt grundlæggende regel om forsvarlighed.

Den relevante regel hedder officialprincippet, men kaldes også for officialmaksimen eller undersøgelsesprincippet. Officialprincippet gælder både for konkrete sager om fx en byggetilladelse til en bestemt virksomhed og for generelle forvaltningssager. Udvikling af en digital løsning eller proces er en generel sag.

Officialprincippet gælder for alle sager, hvor der udvikles en digital løsning eller proces. Det kan være udvikling af et journalsystem, en selvbetjeningsløsning eller digitalisering af en simpel, rutinepræget arbejdsproces via RPA (Robotics Process Automation). Det kan også være udvikling af machine learning baserede moduler, der skal finde huller i vejene eller understøtte menneskelige sagsbehandlers processer eller vurderinger. Sidstnævnte kan fx være information om, hvad der baseret på historiske data er det bedste at foretage sig i en sag. Helt konkret udvikles der fx flere løsninger, der kan angive, hvilke tiltag der egner sig bedst til en konkret borger.

Officialprincippet gælder altså for udvikling af hele paletten af digitale løsninger, der understøtter offentlig forvaltning. Okay. Hvad betyder det så?

Jo, grundtanken med officialprincippet er, at beslutninger kun må træffes, eller aktiviteter udføres i det offentlige, hvis det sker på et forsvarligt grundlag. Det betyder, at en myndighed inden en beslutning træffes, eller en aktivitet udføres, skal undersøge både fakta og jus (jura). Undersøgelserne skal gå så langt, som det er nødvendigt for at sikre, at både beslutningen og udførelsen af aktiviteten er lovlig og rigtig.

Dette er for længe siden blevet oversat til "digitalsk". Praksis er ret klar i forhold til, at det kun er forsvarligt at bruge offentlige midler på at udvikle en teknologi, hvis fire led er kortlagt, inden udviklingen påbegyndes.

De fire led er, at der skal skabes et overblik over 1) de sagstyper og 2) de processer, som den digitale løsning skal omfatte eller påvirker. Herudover skal man fra starten gøre sig klart, 3) hvilke formelle regler og 4) hvilke materielle regler, der gælder for disse sager og disse processer. [i]

Og bare for at sætte trumf på: Det er hævet over enhver tvivl, at det skal være dokumenteret, at myndigheden har gennemført disse fire led som led i opstarten af en udviklingsproces.

En lyseslukkers bemærkning
Som en mellemregning vil jeg spille rollen som lyseslukker af den værste juristtype med et faktum: Officialprincippet er teknologineutralt, det vil sige, at det gælder, uanset om man arbejder med pen og papir eller de nyeste teknologier. Det gør derfor ingen forskel, om der anvendes den ene eller den anden teknologi. Den ærlig talt noget uvidenskabelige påstand om, at ganske mange løsninger skal sammenlignes med sagsbehandleres uigennemtrængelige hjerner, giver derfor ingen mening retligt set.

Det gør heller ingen forskel for kravene til udvikling af løsningerne og til deres forsvarlighed, at der kun er tale om understøttende teknologier, det vil sige, at der 'altid vil være et menneske i sidste ende', som der tales meget om i jobcentrene. At der kobles mennesker på er ikke et magisk skjold. Selvfølgelig skal også løsninger, der skal understøtte eller komme med 'forslag' til sagsbehandlerne, være udviklet på retlig forsvarlig vis.

Det vil jo bremse al innovation

Jeg kan godt lide at tale med andre professioner end min egen. Derfor hører jeg også mange indvendinger, når jeg nævner kravet om forvaltningsretlig konsekvensanalyse, det vil sige kravet om dokumenterede og velundersøgte løsninger. Det kan umuligt være rigtigt, at man skal lave den slags undersøgelser. Det er der jo ingen, der gør. Det vil være alt for dyrt. Det er alt for svært. Vi ved ikke, hvordan vi skal arbejde sammen for at gøre det på en ordentlig måde. Det er hæmmende for udviklingen. Det er ikke agilt. Det er overflødige krav. Vi vil jo kun det bedste. Der er brug for mere risikovillighed.

Hertil er mit første og mest enkle svar: Princippet om økonomisk forsvarlighed er også en forvaltningsretlig grundsætning. Som det gentagne gange er påpeget af Ombudsmanden, er det billigere for forvaltningsmyndighederne at indtænke de retlige krav til offentlige, digitale løsninger fra starten. Det er langt dyrere at ændre i løsningerne efterfølgende. Det er derfor ret svært at se, hvordan det kan være andet end uforsvarligt at bruge borgernes skattepenge på at udvikle i blinde, idet man ikke på forhånd forholder sig til hverken de faktiske forhold eller de retlige rammer. En sådan risikovillighed må forbeholdes private investorer.

Mit andet og langt mere komplicerede svar er, at vi risikerer et alvorligt demokratisk problem, hvis tanken om den såkaldte risikovillighed breder sig som en noget aparte gæst fra den private sektor ind i den offentlige forvaltnings kultur og handlemønstre.

Den smukkeste af de demokratiske retsstaters grundtanker – legalitetsprincippet
Via de folkevalgte har vores lovgiver det, vi kalder demokratisk legitimation. Forvaltningsmyndighederne og deres ansatte har derimod ikke demokratisk legitimation. Derfor gælder et særligt magtforhold mellem den lovgivende og forvaltende magt (den udøvende magt). Den magtfordeling kaldes af jurister legalitetsprincippet.

Legalitetsprincippet findes også i de andre europæiske lande – og er den smukkeste af alle udmøntningerne af værdierne i de demokratiske retsstater. Legalitetsprincippet går ud på, at den udøvende magt kun er lovgivers forlængede arm. Opgaven er at realisere lovgivningen ude i virkeligheden på lovgivers vegne. Ikke andet. Ikke mere. Derfor er den udøvende magt uselvstændig og helt og aldeles underordnet den lovgivende magt.

Denne grundtanke spaltes i to sider. Den ene side af legalitetsprincippet er det, vi kalder hjemmelskravet. Den anden er formelle lovs princip.

Hjemmelskravet går ud på, at forvaltningen er uselvstændig. Den skal altid have en bemyndigelse. Lovgiver skal altså give myndighederne lov til at forvalte. Her er der dog en lille krølle for kommunerne, at de faktisk har deres egne folkevalgte og egne skattemidler. Det giver lidt mere frihed – men kun til at stille service til rådighed for deres egne borgere med deres egne folkevalgtes velsignelse. Ikke til andet. Ikke til at gennembryde den anden side af legalitetsprincippet: Formelle lovs princip.

Formelle lovs princip gælder ubetinget for alle myndigheder. Myndighederne er underordnet den demokratisk legitimerede lovgiver og skal overholde lovgivningen. Også når de forvalter. Selvom den udøvende magt faktisk har fået tildelt en hjemmel (og penge til at forvalte), så skal denne hjemmel altså bruges under overholdelse af lovgivningen.

Respekteres legalitetsprincippet ikke, er forvaltningen – den udøvende magt – blevet selvstændig og har løsrevet sig fra den lovgivende magt. Netop det, som grundlovsfædrene frygtede, og som vi har meget bitre, historiske erfaringer med.

Derfor ser jeg det som meget, meget vigtigt, at myndigheder overholder loven – og håber, at alle straks og uden tøven kaster sig over opgaven med at udarbejde de undersøgelser, som Ombudsmanden har anmodet om. Dette naturligvis kun såfremt, at jeg har ramt et ømt punkt, og der faktisk ikke ligger læssevis af dokumentation derude.

Er der nogen, der tænker, at det er overdrevne krav, der gælder, så udfordrer jeg dem til at spørge sig selv og hinanden: Skal samfundets spilleregler virkelig kun overholdes af offentlige myndigheder, hvis de er nemme at leve op til? Er vi egentlig helt sikre på, at kravet om forvaltningsretlig konsekvensanalyse ikke i virkeligheden er en garant for, at vi får en klog, gennemtænkt og langsigtet tilgang til digitaliseringen af den offentlige sektor? Sidst og ikke mindst: Burde vi ikke – hvis vi faktisk mener noget med de mange skåltaler om det digitale Danmark i front med retligt og etiske forsvarlige løsninger – gribe den chance det er, at en hæderkronet, gammel institution i stilfærdighed har samlet mere end 20 års erfaringer og stillet med en guide til at opnå sådan forsvarlighed?

Referencer

[i] Generelle forvaltningsretlige krav til offentlige IT-systemer. Folketingets Ombudsmand.