Hoppa till huvudinnehåll

5 Automatiserad handläggning och beslut

Digitalisering och automatisering är begrepp som hänger samman och vars innebörd delvis överlappar. I inledningen till den här vägledningen används begreppet digitalisering för att beskriva en slags omvandling – att analoga underlag övergår i elektronisk form respektive att manuell hantering blir datorunderstödd. Att manuell hantering blir datorunderstödd kan också uttryckas som att den automatiseras.

Automatisering innebär alltså att en maskin eller en teknik utför ett arbete i stället för att en handläggare gör det manuellt. Automatisering kan ske i delar av ärendehanteringen eller av hela ärendet.

När både handläggning och beslutsfattande görs helt utan att någon befattningshavare på Försäkringskassan har varit inblandad kan man tala om en helautomatiserad process. Det är dock mer vanligt att automatiseringen avser vissa moment. I dessa fall kan processen kallas för semiautomatiserad, eftersom ärendehanteringen utförs i samverkan mellan handläggare och it-system. Det kan handla om att automatisera vissa led i handläggningen, som att göra kontroller av om ansökan är komplett och stämma av uppgifter i ansökan mot andra uppgifter. Det kan också handla om att it-system skapar förslag till beslut baserat på resultaten från olika automatiska kontroller eller utredningsåtgärder. Förslagen presenteras för handläggare som fattar beslut.

Automatisering i olika former är sedan länge ett viktigt stöd i vår verksamhet. I dag är det svårt att föreställa sig en utvecklingsinsats som inte inkluderar något moment där en maskin eller en teknik utför ett arbete. Ofta innebär detta en möjlighet att effektivisera, förbättra och förenkla handläggningen av ärenden. Automatisering leder ofta till att den enskilde får beslut snabbare utan att förvaltningskostnaderna ökar. Automatisering leder generellt sett också till en mer likställd ärendehantering än vid manuell handläggning. Sett ur dessa perspektiv kan automatisering skapa en ökad rättssäkerhet i ärendehanteringen. Samtidigt finns det risker med automatisering, exempelvis kopplat till nya avancerade tekniker som AI.

Det här kapitlet beskriver rättsliga frågeställningar som aktualiseras när vi automatiserar ärendehanteringen på Försäkringskassan. Oftast handlar det om att automatisera delar av ärendehanteringen, men det blir allt vanligare med frågor kring möjligheten att automatisera i större utsträckning eller helautomatisera handläggningsprocesser i socialförsäkringsärenden. Det finns också ett växande intresse för de möjligheter som nya avancerade tekniker som AI kan ge.

Läs mer

Redan i samband med regelutveckling kan det vara aktuellt att överväga hur den aktuella författningen bör utformas för att möjliggöra automatisering. För den intresserade finns vidare läsning på detta tema i eSams promemoria Digitaliserbar lagstiftning (jfr avsnitt 1.1). Att författning är digitaliserbar ökar också möjligheterna till automatisering. I promemorian finns bland annat exempel på hur författning kan omsättas till programmering och vilka metoder som kan användas. Jurister från Försäkringskassan har varit delaktiga i arbetet med promemorian men den är inte direkt anpassad för Försäkringskassans verksamhet.

5.1 Tekniken vid automatisering

När vi ställer rättsliga krav på automatiserade system måste vi ha viss kunskap om den teknik som används. Det krävs för att vi ska kunna förstå vilka förutsättningar tekniken har att efterleva de rättsliga krav vi ställer på den. Det handlar både om att förstå vad system kan göra och – kanske främst – vad de inte kan göra. Felaktiga föreställningar riskerar att leda till felaktiga kravställningar och i slutändan till bristfällig ärendehantering eller beslut.

Det kan vara vanskligt att beskriva en teknik som ständigt utvecklas och förändras. Det viktiga är därför egentligen inte vad tekniken kallas utan vad den gör. Det här avsnittet beskriver vissa aspekter av den teknik som används vid automatisering och som är viktiga att förstå för att kunna analysera och ställa rättsliga krav vid automatisering.

5.1.1 Regelbaserade eller maskininlärande system

På Försäkringskassan använder vi sedan länge framförallt det som kallas regelbaserade system för automation.

Regelbaserade system kännetecknas av att regler eller andra hänsyn har översatts till maskinellt läsbara kriterier, samt att systemen inte kan utföra andra uppgifter än de som de har programmerats för att utföra.

Ett sådant system kan till exempel programmeras för att steg för steg kontrollera om en ansökan är komplett eller om den enskilde uppfyller villkoren för en viss förmån. Det är alltså vi som programmerar systemet som bestämmer mot vilka villkor systemet ska kontrollera ansökan. Vi säger åt systemet på förhand vad som ska anses vara en komplett ansökan eller vilka villkor som krävs för att ansökan ska anses uppfylla villkoren för en viss förmån. Systemets motsvarighet till att bedöma om den enskilde har rätt till en förmån är att jämföra de uppgifter som hen har lämnat i ansökan eller som finns tillgängliga på annat sätt (i andra interna system eller hos andra myndigheter) med villkoren för förmånen. På Försäkringskassan har vi dock få förmåner som är uppbyggda på ett sätt som möjliggör detta. Läs mer om bedömningsutrymme i avsnitt 5.2.1.

Maskininlärande system bygger på en annan slags logik än regelbaserade. Ett maskininlärande system tränas med hjälp av exempelvis tidigare fattade beslut eller bedömningar. De är inte bundna till att utföra samma förprogrammerade processteg varje gång. Man skulle kunna säga att systemet, till skillnad från ett regelbaserat system, gör en slags egen bedömning baserad på sannolikhet. Vi vet faktiskt inte med full säkerhet hur maskininlärande system fattar beslut och når sina slutsatser. Men vi kan konstatera att tillvägagångssättet inte kan likställas med de tillvägagångssätt (i form av rättsliga slutledningar eller rättsliga metoder) som människor ägnar sig åt. Systemet saknar också sådana mänskliga egenskaper som ofta förknippas med rättstillämpning och beslutsfattande, som ansvarstagande. På Försäkringskassan använder vi maskininlärande system, men inte för att bedöma rätten till ersättning eller för att fatta beslut i förmånsärenden. Läs mer i avsnitt 5.1.2.

Maskininlärande system består av två led: ett lärandeled (utveckling) och ett prestationsled (tillämpning). I lärandeledet tränas systemet för att förbättra prestationsledet. Utveckling av den här typen av system förutsätter tillgång till stora mängder data av god kvalitet. Typen av data som systemet tränas på har stor betydelse för utfallet i prestationsledet.

5.1.2 Särskilt om AI

AI har länge saknat en allmänt accepterad definition. Det har snarare kunnat beskrivas som ett slags paraplybegrepp som rymmer olika tekniker och metoder.

Numera definieras AI-system i artikel 3.1 i den nya AI-förordningen (läs mer om AI-förordningen under rubriken AI-förordningen). AI-system är enligt AI-förordningen ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, på grundval av de indata det tar emot, drar slutsatser om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.

Ett exempel på AI-teknik är maskininlärning, som ofta används när man utvecklar system som ska hantera komplexa arbetsuppgifter.

Ibland förekommer det att AI-teknik beskrivs ha förmåga att visa människoliknande drag – som intelligens, resonerande och kreativitet. AI-tekniken beskrivs ibland ha förmåga att lära sig själv och bli bättre över tid, och visa intelligent beteende genom att analysera sin miljö och vidta åtgärder med viss grad av självständighet. (Se bland annat eSam, Checklista Juridik vid användning av AI, s. 6 med hänvisning) Den här beskrivningen av AI-teknik stämmer inte överens med den som Försäkringskassan använder.

Den (maskininlärande) AI-teknik som Försäkringskassan använder kan beskrivas som att den tränas att göra en slags egen bedömning genom att skapa svar utifrån sannolikhetsbedömningar. Det handlar alltså mer om matematik och logik än om mänsklig intelligens i form av kreativitet och självständighet. Vi använder metoden övervakad inlärning för att träna systemet. Det betyder att vi människor formulerar facit och rättar modellen därefter. Med den här metoden har man mer kontroll över träningsledet och därmed också vad systemet gör och varför. Systemet blir snävare och mindre självständigt.

Försäkringskassan använder i nuläget inte mer avancerade tekniker såsom AI för att bedöma rätten till ersättning eller för att fatta beslut i förmånsärenden. AI-teknik används däremot i vissa it-stöd avsedda att stödja försäkringsutredare vid handläggning och inför beslut. Exempel på sådana är metodstöd för strukturerad analys av medicinska underlag (SAMU) och identifiering av enskildas ärenden med hög risk för felaktig utbetalning inom olika förmåner (”urvalsprofiler”).

Läs mer

eSam har tagit fram en checklista över olika rättsliga frågeställningar vid användning av AI. Syftet med checklistan är att belysa vilka rättsliga frågor som särskilt behöver beaktas vid användning av AI (Checklista Juridik vid användning av AI, eSam, ES2022-08). Där beskrivs vissa rättsområden som inte tas upp i denna vägledning, som skadestånd, konkurrensfrågor och upphandling.

AI-förordningen

En ny EU-förordning med regler för AI – AI-förordningen, trädde i kraft den 2 augusti 2024. Förordningen börjar som huvudregel tillämpas först den 2 augusti 2026, men vissa delar börjar tillämpas redan den 2 februari 2025, och andra delar betydligt senare. Arbete pågår inom Rättsavdelningen med att analysera den nya förordningen och vad den betyder för Försäkringskassan.

Syftet med den nya förordningen är att harmonisera reglerna för AI inom EU och att främja pålitlig AI kontrollerad av människor, men också att skydda människors säkerhet, hälsa och grundläggande rättigheter. Förordningen kommer att få stor betydelse för myndigheters AI-användning. Den kommer att styra vad myndigheter får respektive inte får göra när det gäller AI. AI-förordningen behöver därför beaktas även om den ännu inte har börjat tillämpas i alla delar.

Förordningen använder ett riskbaserat angreppssätt för att dela upp olika typer av AI-system och deras användning, där vissa är förbjudna och andra är tillåtna men med restriktioner och krav i form av bland annat tillsyn och registrering hos ansvarig myndighet. De AI-system som inte innebär någon eller liten risk får användas utan restriktioner.

Förordningen ställer däremot långtgående krav på AI-användning som klassificeras som hög risk. För att få använda högrisksystem krävs bland annat att systemet har genomgått en granskningsprocess av en behörig offentlig aktör och fått en CE-märkning.

Vissa tekniska lösningar som Försäkringskassan redan använder kan komma att nå upp till definitionen av hög risk enligt AI-förordningen. Den anger att AI-system som är avsedda att användas av myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd samt för att bevilja, dra ner på, återkalla eller återkräva sådana förmåner och tjänster ska anses utgöra så kallade högrisksystem. (Bilaga III 5 a) AI-förordningen.)

AI-förordningen innehåller högre administrativa sanktionsavgifter än dataskyddsförordningen. Storleken på sanktionsavgiften beror på vilket brott mot förordningen som skett. Det är även upp till medlemsstaterna att besluta hur höga sanktionsavgifter som ska kunna tas ut av myndigheter i den staten. Sverige har inte kommit med något förslag i frågan än, och vi vet alltså inte hur höga sanktionsavgifter som kan drabba Försäkringskassan. EU-kommissionen har även föreslagit ett direktiv om skadeståndsansvar som gäller AI.

De bakomliggande skälen till AI-förordningen är i stora delar samma som den Europeiska kommissionens expertgrupp på hög nivå för AI-frågor (AI-expertgruppen) redogjorde för i publikationen Etiska riktlinjer för tillförlitlig AI. Där förklaras exempelvis att människor och samhällen behöver kunna lita på teknikens utveckling och dess tillämpningar. Om inte AI-systemen – och människorna bakom dem – är uppenbart tillförlitliga kan de ge oönskade konsekvenser och försvåra dess spridning, vilket innebär att det inte går att utnyttja de samhälleliga och ekonomiska fördelarna med AI-system.

Enligt de etiska riktlinjerna för tillförlitlig AI krävs att följande principer efterlevs:

  • Den bör vara laglig och garantera respekt för alla gällande lagar och förordningar.
  • Den bör vara etisk och säkerställa efterlevnad av etiska principer och värden.
  • Den bör vara robust, både ur tekniskt och samhälleligt perspektiv eftersom AI-system även med de bästa intentioner kan orsaka oavsiktliga skador.

5.2 Rättsliga frågeställningar vid automation

Automatisering kan innebära olika slags rättsliga utmaningar. Vilka utmaningar det handlar om och hur påtagliga de är beror bland annat på vilken automatiseringsteknik det rör sig om. Vilken typ av teknik det handlar om sätter ramarna för vilka förutsättningar systemet har att efterleva de rättsliga krav vi ställer på den (läs mer i avsnitt 5.1). Men det handlar också om i vilken rättslig kontext automatiseringen sker.

I Försäkringskassans kärnverksamhet finns det möjligheter att använda automatisering som stöd för vissa moment vid handläggning av ärenden. Möjligheterna är däremot mer begränsade när det handlar om stöd vid bedömning eller beslutsfattande. För att avgöra om vi får eller bör använda teknikens möjligheter måste vi göra rättsliga, demokratiska och etiska överväganden. Dessa frågor går delvis in i varandra.

I följande avsnitt beskrivs de viktigaste rättsliga frågorna som vi behöver ta ställning till. I viss utsträckning beskrivs också viktiga demokratiska och etiska frågor i den mån de går in i de rättsliga frågorna och är avgörande för våra möjligheter att använda oss av tekniken.

När det gäller avancerad teknik som AI finns många frågor där det ännu inte finns några säkra svar. Juridiken på området är fortfarande under utveckling. När det gäller bland annat AI-förordningen pågår arbete inom Rättsavdelningen med att analysera den nya förordningen och vad den betyder för Försäkringskassan.

5.2.1 Rättssäkerhet och legalitet

Det krävs stöd i rättsordningen för alla åtgärder och beslut. Det innebär att all utveckling och automatisering på Försäkringskassan måste ha stöd i vårt uppdrag och den lagstiftning vi tillämpar. Systemen måste programmeras och tränas så att de inte vidtar några åtgärder eller beslut som leder till att Försäkringskassan agerar i strid med lag eller beslutar på ett sätt som inte kan godtas utifrån gällande rätt. Systemet måste kunna kategorisera och identifiera både lika fall och olika fall och hantera båda korrekt enligt lag.

En svårighet är att systemet kan sakna förmåga att identifiera, förstå och ta hänsyn till nya oförutsedda omständigheter. Det kan leda till att systemet drar en felaktig slutsats och därmed vidtar en åtgärd i strid med lagstiftningen. Vid ett ändrat rättsläge måste det också gå att omprogrammera systemet för att anpassa det till det nya rättsläget.

Det finns olika förutsättningar för automatisering beroende på hur lagstiftningen är utformad. Om den är utformad med ett eller några få kriterier där det handlar om relativt enkla omständigheter som ska vara uppfyllda, till exempel ålder och födelseår, så går det att automatisera handläggningen och beslutsfattandet på ett rättssäkert sätt i större utsträckning. Försäkringskassan använder sådan automatisering med regelbaserad teknik redan i dag.

Ju mer komplexa reglerna är och ju mer avancerade systemen blir, desto mer resurskrävande och svårare blir det att granska, övervaka och följa upp systemen. I förmåner med ett större bedömningsutrymme finns det fler rättsliga och faktiska hinder och det medför fler risker som behöver hanteras. Det blir helt enkelt svårare att säkerställa att det finns lagstöd för varje åtgärd och beslut. En korrekt tillämpning av bedömningsutrymmet i varje enskilt fall är en förutsättning för att vi ska leva upp till legalitetsprincipen. Läs mer om den i avsnitt 2.1.1.

Vi får inte skapa större förutsebarhet än vad lagstiftningen medger. Automatisering kräver en förenkling, standardisering eller schablonisering av vilka omständigheter som ska tillmätas betydelse och vilket utfall de ska ge vid bedömningen av om den enskilde har rätt till en förmån. Om Försäkringskassan använder automatisering vid förmåner som har ett bedömningsutrymme finns det en risk att vi genom att införa sådana schabloniseringar i praktiken ställer upp villkor som begränsar eller utvidgar bedömningsutrymmet, det vill säga ändrar eller ställer upp nya gränser i själva lagstiftningen. En sådan tillämpning skulle kunna utgöra otillåten normgivning i strid med den formella lagkraftens princip i 8 kap. 18 § RF.

Den formella lagkraftens princip innebär att en föreskrift som en gång beslutats som lag inte kan ändras eller upphävas på annat sätt än genom en ny lag. Kravet på uttryckligt författningsstöd för kvalificerande (och därmed begränsande) villkor har i HFD:s praxis ställts relativt högt i socialförsäkringsrätten, se bland annat RÅ 2004 ref. 91, HFD 2022 ref 34, HFD 2013 ref 9, RÅ 2002 ref 98, RÅ 2010 ref. 5, RÅ 2010 ref. 37, RÅ 2000 ref. 51. Se även JO:s dnr 2367-2011. Försäkringskassan har alltså inte mandat att skapa större förutsebarhet än vad lagstiftningen medger genom att beskriva exakt vilka omständigheter som ger rätt till ersättning. En förutsebarhet som skapas på det sättet skulle inte innebära ökad rättssäkerhet.

När det handlar om förmåner med större bedömningsutrymme är möjligheterna att helautomatisera begränsade, eftersom den grad av standardisering eller schablonisering som skulle krävas sannolikt skulle innebära en hantering som saknar stöd i rättsordningen. I sådana förmåner skulle det behövas lagändringar för att kunna automatisera beslutsprocessen i högre grad.

En helt automatiserad beslutsprocess med regelbaserad teknik förutsätter att samtliga omständigheter som kan bli aktuella har beaktats när systemet programmerats. Med dagens teknik kan systemet inte i tillräcklig utsträckning ta hänsyn till nya omständigheter, placera dem i sitt sammanhang och värdera dem utifrån syftena med lagstiftningen. I förmåner med stort bedömningsutrymme är detta svårt eftersom det inte går att förutse och beskriva alla tänkbara situationer och kombinationer som kan uppkomma.

Maskininlärande system som AI kan inte lösa dessa svårigheter. Eftersom AI tränas att göra sina bedömningar på exempelvis tidigare beslut, så kommer de svar som AI:n ger att baseras på sannolika utfall utifrån dessa beslut. AI:n kan inte ta hänsyn till nya omständigheter.

I förmåner med bedömningsutrymme kan det dock vara möjligt att automatisera vissa led i handläggningen. Exempelvis för att göra kontroller av om ansökan är komplett, stämma av uppgifter i ansökan mot andra uppgifter och på andra sätt vara ett stöd för handläggaren. På så sätt kan automatiserade och manuella förfarande komplettera varandra, läs mer i avsnitt 5.3.3.

En annan aspekt av rättssäkerhet och legalitet är att vi behöver säkerställa tillräcklig mänsklig kontroll och inflytande. Det krävs transparens kring systemet så att vi kan förstå och förklara vad systemet gör och varför (läs mer i avsnitt 5.2.7).

Helautomatiserade system måste följas upp och kunna förklaras, men detta är viktigt också vid semiautomatiserade processer exempelvis när systemet gör uträkningar eller lämnar förslag till beslut. Handläggaren måste granska systemets bedömning och pröva den mot sin egen. Om handläggaren inte granskar och vid behov korrigerar systemets förslag finns det risk för felaktig hantering. Det är därför viktigt att vi inte följer de förslag som systemet lämnar helt okritiskt.

5.2.2 Grundläggande fri- och rättigheter

Användningen av AI och annan avancerad teknik berör flera grundläggande fri- och rättigheter enligt EU:s rättighetsstadga, Europakonventionen och regeringsformen. Det rör sig bland annat om integritet, dataskydd, icke-diskriminering och tillgång till rättslig prövning. Vilken inverkan användningen av avancerad teknik får på de grundläggande fri- och rättigheterna beror på graden av automatisering och på hur avancerat systemet är. För att säkerställa möjligheten till insyn och för att motverka kränkningar av människors grundläggande fri- och rättigheter eller andra negativa och oönskade konsekvenser, måste vi ställa upp krav på bland annat transparens och öppenhet när vi utvecklar avancerade system på Försäkringskassan, och efterleva kraven när vi använder systemen.

Till stor del saknas det kunskap om hur grundläggande rättigheter påverkas av de nya teknologierna (se bland annat rapporten Getting the future right – Artificial intelligence and fundamental rights).

5.2.3 Demokrati och fri åsiktsbildning

Avancerad teknik som AI väcker frågor om i vilken utsträckning vi är beredda att överlämna den offentliga demokratiska maktutövningen till en maskin, det vill säga att låta den analysera, dra slutsatser och fatta beslut.

Med den nya avancerade tekniken inträder en ny dimension av självständighet hos systemet. Processen är mindre transparent och svårare för en människa att förstå och därmed minskar möjligheten att granska, utvärdera, ifrågasätta och bilda sig en åsikt om den.

Grundläggande i ett demokratiskt samhälle är också möjligheten för enskilda att utkräva ansvar hos beslutsfattare. Det måste finnas en utpekad människa på Försäkringskassan som är ansvarig för det som systemet gör och det behöver klarläggas vem som har det ansvaret.

5.2.4 Objektivitet, likabehandling och icke-diskriminering

Kraven på saklighet innebär bland annat att omständigheter som är irrelevanta för frågan om rätten till en förmån inte får läggas till grund för ett beslut om förmånen. Civilstånd, hemlän, eller tidigare uttag av föräldrapenning får exempelvis inte läggas till grund för bedömningen av rätten till sjukpenning eftersom dessa omständigheter är irrelevanta för att bedöma om den enskilde har en sjukdom som medför nedsatt arbetsförmåga.

Hela handläggningsprocessen, inklusive de delar som är automatiserade och eventuellt utförs av AI-system eller annan avancerad teknik, måste vara fria från diskriminering. En speciell utmaning vid användningen av AI-teknik är kopplad till vad vi människor tror att AI kan göra. Det finns en risk med att vi människor ibland systemet som objektivt och tänker oss att AI skulle kunna fatta objektiva beslut när tillämpning av AI i själva verket endast är en förlängning av subjektiv, mänsklig verksamhet. AI-systemet kan i princip bara göra det som människan har instruerat det att göra och kan endast veta det som människan har talat om för det eller lagt in i systemet. Om data inte är objektiva kan AI-systemet reproducera och intensifiera diskriminerande och skadliga processer när AI:n används i exempelvis sociala trygghetssystem.

Vi behöver därför säkerställa hög kvalitet på de data som används på Försäkringskassan och att systemen byggs så att de kan granskas, analyseras och bedömas utifrån samtliga diskrimineringsgrunder innan de tas i bruk. Vi behöver också övervaka och följa upp hur datan används för att motverka risker för diskriminering.

5.2.5 God offentlighetsstruktur och sekretess

En god ordning i hanteringen av Försäkringskassans information och handlingar är viktig för allmänhetens möjlighet att ta del av allmänna handlingar och uppgifter. Vi måste säkerställa att allmänna handlingar diarieförs eller hålls ordnade på annat sätt och att information dokumenteras. Behovet av bevarande och gallring måste utredas och efterlevas. Detta gäller också när vi utvecklar och testar automatiserade system.

När vi utvecklar behöver vi bedöma om de handlingar som uppstår är allmänna eller inte. Exempelvis kan systemdokumentation och programkod vara allmän handling. Vi måste också bedöma om tränings- och valideringsdata blir nya allmänna handlingar eller om de utgör kopior av tidigare allmänna handlingar.

Systemdokumentation och programkod kan omfattas av sekretess enligt exempelvis 18 kap. 8 § 3 och 18 kap. 9 § OSL. Uppgifter som används för att träna och testa automatiserade system kan också omfattas av sekretess. Om det rör sig om uppgifter om enskilda kan socialförsäkringssekretessen i 28 kap. 1 § OSL bli aktuell. Den gäller visserligen i första hand i ärenden, men kan också gälla utanför förmånsärendet i strikt bemärkelse. Om det rör sig om uppgifter om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar kan sekretess gälla enligt 17 kap. 1b § OSL.

Läs mer

Läs mer om offentlighetsprincipen, allmänna handlingar och om sekretess i Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter. Läs mer om gallring och bevarande i Försäkringskassans riktlinjer (2022:01) Gallring och bevarande av verksamhetsinformation och Försäkringskassans anvisningar (2023:09) Gallring och bevarande av verksamhetsinformation.

5.2.6 Behandling av personuppgifter

När automatiseringen innebär att personuppgifter behandlas aktualiseras bland annat bestämmelserna i dataskyddsregelverket.

Det måste till exempel finnas en rättslig grund för behandlingen och uppgifterna får endast behandlas för uttryckliga, på förhand angivna, berättigade ändamål. Detta gäller även när personuppgifterna behandlas för att utveckla automatiserade system, exempelvis för att testa och för att träna mer avancerade system.

Försäkringskassan framförde i sin hemställan om nya regler för personuppgiftsbehandling i kärnverksamheten att det behövs ett särskilt primärt ändamål för utvecklingsåtgärder. Det handlade bland annat om att det skulle bli tydligt att Försäkringskassan har stöd för det omfattande utvecklingsarbete som pågår och förväntas pågå framöver samt för mer innovativa utvecklingsåtgärder (Hemställan om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration, s. 85f.). Något sådant ändamål infördes dock inte i det nya 114 kap. SFB.

I propositionen skriver regeringen bland annat följande om it-utveckling (prop. 2023/24:29 s. 45).

”Myndigheter ska bedriva en effektiv verksamhet och fortlöpande utveckla den. Försäkringskassan och Pensionsmyndigheten bedriver verksamhets- och it-utveckling både på eget initiativ och med anledning av olika uppdrag. Myndigheterna behöver t.ex. ha adekvata system för ärendehantering, digitala lösningar för informationsutbyte och effektiva analysverktyg. Arbetet med it-utveckling kan handla både om att säkerställa och förbättra befintliga lösningar och om att ta fram nya lösningar och ny funktionalitet. Förvaltning, utveckling och underhåll av myndigheternas it-system förutsätter ofta testning. […] Testning kan ofta göras med hjälp av avidentifierade uppgifter som saknar koppling till individer. Sådan anonym information är inte personuppgifter och omfattas därmed inte av dataskyddslagstiftningens krav. I vissa fall kan dock tester med personuppgifter vara en förutsättning för att personuppgifter ska behandlas på ett korrekt sätt i den faktiska verksamheten.”

It-utveckling i form av testverksamhet berörs uttryckligen i förarbetena. Där framgår att testverksamhet har ett sådant samband med Försäkringskassans verksamhet i övrigt att det inte behövs någon särskild ändamålsbestämmelse. (prop. 2023/24:29 s. 45f.)

Testverksamhet anses alltså kunna ske med stöd av bestämmelserna i 114 kap. SFB, antingen genom ett av ändamålen i 8 § eller att det görs en bedömning enligt finalitetsprincipen (att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in) i 10 §.

Det betyder inte att testverksamhet alltid är tillåten på Försäkringskassan. Vi behöver alltid bedöma om den aktuella testningen behövs för att vi ska kunna utföra vårt uppdrag. Personuppgiftsbehandlingen måste vara nödvändig för det identifierade ändamålet. Testverksamheten måste också utföras i enlighet med övriga bestämmelser om dataskydd, exempelvis bestämmelserna om sökbegränsningar och begränsningar i fråga om tillgång till personuppgifter. (Jfr prop. 2023/24:29 s. 45f.)

Mer innovativ it-utveckling och exempelvis träning av AI-modeller berörs inte uttryckligen i förarbetena. Precis som med all personuppgiftsbehandling måste vi göra samma bedömningar som beskrivs i föregående stycke, bland annat om personuppgiftsbehandlingen behövs för att vi ska kunna utföra vårt uppdrag och identifiera ett ändamål.

Vid träning av en AI-modell har mängden träningsdata betydelse för att ge korrekt och önskat resultat i produktion. I vissa fall kan mängden träningsdata vara avgörande för hur bra modellen presterar. Om datamängden innehåller personuppgifter kan AI-modellens behov av stora mängder data komma i konflikt med dataskyddsregelverkets principer om bland annat uppgifts- och lagringsminimering. Å ena sidan finns kravet i dataskyddsförordningen på att minimera uppgiftsmängder och å andra sidan AI-modellens behov av en större uppgiftsmängd för ett korrekt utfall.

Utvecklingsinsatser med automatiserade inslag inom kärnverksamheten förutsätter ofta att it-systemen kan söka, sortera och strukturera information genom sökningar. Då aktualiseras sökbegränsningarna i 114 kap. 12 § SFB.

Vi får inte göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Vi får däremot göra det för de primära ändamålen (i 114 kap. 8 § SFB) i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning. Vi får också göra sökningar i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter om hälsa än förmån och ersättning, om urvalet ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller för kontrollåtgärder. Andra känsliga personuppgifter om hälsa än förmån och ersättning kan exempelvis vara uppgift om diagnos.

Sökbegränsningsregeln hindrar alltså inte automatisering som kräver sökningar på uppgift om förmån och ersättning eller på exempelvis diagnos om det handlar om att automatisera ärendehandläggningen. (prop. 2023/24:29 s. 67)

En grundläggande princip i dataskyddsförordningen är att den personuppgiftsansvarige (i detta fall Försäkringskassan) ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna. Vid mer långtgående automatisering och användning av avancerad teknik kommer det många gånger att finnas sådana risker för enskildas fri- och rättigheter så att vi behöver göra en konsekvensbedömning.

Läs mer

Läs mer om konsekvensbedömningar i riktlinjerna (2024:03) Bedömning av dataskydd - Grundläggande bedömning och konsekvensbedömning.

De registrerades rättigheter enligt dataskyddsförordningen behöver säkerställas, till exempel information till de registrerade, rättelse och radering. Dataskyddsförordningen ställer också krav på dokumentation för att möjliggöra transparens. Det måste gå att följa vilken information systemet har hämtat, varifrån den har hämtats och hur systemet har dragit sina slutsatser för att säkerställa korrekthet. Vi behöver alltså ta fram ett sätt att dokumentera vad det automatiserade systemet gör och klarlägga vad som är en tillräcklig grad av förklarbarhet. Samtidigt får inte personuppgifter behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

5.2.7 Transparens och dokumentation

När man talar om transparens vid automatisering menar man i allmänhet möjligheten till insyn i vad systemet gör och hur det fungerar. Transparens förutsätter dokumentation.

Det finns många regler som påverkar behovet av transparens och skyldigheten till dokumentation. I FL, OSL och dataskyddsförordningen ställs krav på viss dokumentation och information vid ärendehandläggning. Andra rättsliga krav påverkar behovet av dokumentation av it-systemen i sig, såsom dataskyddsförordningens krav på dokumentation för att möjliggöra transparens och den föreslagna AI-förordningens krav på teknisk dokumentation.

I grunden handlar dessa regler om att det måste gå att förstå och förklara vad systemet gör och varför. Det är en förutsättning för att parter och registrerade ska kunna få den insyn de har rätt till och bevaka sin rätt på ett meningsfullt sätt. Det krävs för att Försäkringskassan ska ha kontroll över sin information och sin ärendehantering, bland annat för att kunna upptäcka och åtgärda risker för felaktigheter och diskriminering. Det krävs också för att överinstanser och tillsynsmyndigheter ska kunna göra sitt jobb.

Transparens har alltså rättslig betydelse för enskilda ärenden och individer, men också på en övergripande nivå. Att kunna säkerställa att vår ärendehandläggning går rätt till och är rättssäker (i betydelsen formell rättssäkerhet) är en förutsättning för ansvarstagande, för allmänhetens förtroende och för socialförsäkringens legitimitet.

Mer avancerade system för automation såsom maskininlärande system innebär särskilda utmaningar när det gäller transparens. Om vi inte fullt ut kan förstå och förklara hur systemet gör sina bedömningar är det svårt att bedöma rättsenligheten i systemet. Det handlar framförallt om den formella rättssäkerheten, det vill säga hur systemet kommer till sina slutsatser.

5.3 Ett automatiserat förfarande i ärendehandläggningen

I grunden är det samma regelverk som styr hur ärenden ska handläggas, oavsett om handläggningen sker automatiserat eller om en handläggare utför den manuellt. Ett ärende ska i båda fallen handläggas enligt FL och eventuell avvikande lagstiftning, till exempel SFB. Vi ska ta emot en ansökan, handlägga den och därefter fatta beslut. Det är viktigt att ha med sig när ny teknik öppnar möjligheter för förbättringar, förenklingar och effektiviseringar.

Det finns vissa särskilda regler för automatiserade förfaranden. Det finns en särskild regel om automatiserat beslutsfattande (se avsnitt 5.3.6). Det finns också särskilda regler i SFB för elektroniska ansökningar och uppgiftslämnande som har betydelse vid automatiserade förfaranden (se 111 kap. SFB). Dessa regler påverkar däremot inte de allmänna förvaltningsrättsliga kraven, som i grunden handlar om rättssäkerhet, utan syftar till att ta bort eventuella rättsliga hinder mot digitala förfaranden.

Det är uppkommer ofta rättsliga frågeställningar när ett automatiserat förfarande ska införas. En anledning till det är att stegen i det automatiserade förfarandet måste bestämmas på förhand så att systemet kan programmeras för att utföra stegen. För att ta ställning till vad systemet ska programmeras att utföra måste de rättsliga kraven utredas. Rättsliga frågeställningar kan också uppstå av andra anledningar. Det kan exempelvis handla om att tekniken öppnar möjligheter att testa nya lösningar för att öka effektiviteten eller att minska risken för felaktiga utbetalningar.

Om vi vid en utvecklingsinsats överväger att införa nya funktioner måste vi först ta ställning till om det är möjligt och lämpligt, utifrån de regler och övriga förutsättningar som gäller för den aktuella förmånen. De tekniska möjligheterna och övriga skäl som talar för nya lösningar måste vägas mot regelverket. Ibland blir regelverket ett hinder mot utveckling av nya lösningar. Då är det viktigt att komma ihåg att regelverket finns där av en anledning, vanligen för att värna om den enskildes rättssäkerhet.

Läs mer

Läs mer om de förvaltningsrättsliga kraven som gäller generellt vid ärendehandläggning på Försäkringskassan i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken och i de förmånsspecifika vägledningarna.

5.3.1 Utforma ansökan

För att ett automatiserat förfarande ska fungera ändamålsenligt måste ansökan och den mottagningsfunktion som tar emot ansökan utformas på ett sätt som möjliggör automatiserad handläggning. Kompletteringar och utredning kräver ofta manuell handläggning. Det är därför exempelvis en fördel om ansökan innehåller alla uppgifter som behövs, utan att behöva kompletteras.

När ett automatiserat förfarande ska införas uppstår det ofta önskemål om att utforma och på det sättet ställa krav på ansökningar för att ärendet ska kunna handläggas automatiserat i så stor utsträckning som möjligt. Exempel på frågor som kan uppkomma är om det är möjligt att

  • införa obligatoriska fält i en digital ansökan
  • bara tillåta digitala ansökningar i det automatiserade förfarandet (det vill säga inte ta emot pappersansökningar som handläggs helt manuellt)
  • bygga mottagningsfunktionen så att bara ansökningar som är kompletta eller som uppfyller vissa andra krav tas emot.

När det gäller mottagningsfunktioner finns det vissa rättsliga principer som alltid måste följas. En sådan är att Försäkringskassan är skyldig att ta emot och handlägga ansökningar om sådan ersättning som regelverket ger rätt till och på det sätt som regelverket ger rätt till. Det innebär att vi inte får utforma mottagningsfunktioner som bara tar emot ansökningar som uppfyller vissa krav (exempelvis att de är komplett ifyllda), om det inte följer av regelverket att det är så ärendet ska hanteras. Vi kan inte heller välja att bara ta emot digitala ansökningar, om regelverket tillåter pappersansökningar (jfr. bland annat JO 2011/12 s. 413).

Försäkringskassan får alltså inte ställa mer krav än som följer av regelverket eller på annat sätt direkt eller indirekt hindra enskilda från att ansöka. Det förvaltningsrättsligt korrekta är att ta emot alla framställningar från enskilda och hantera dem, manuellt eller automatiserat. Otydliga framställningar ska förtydligas eller kompletteras inom ramen för Försäkringskassans serviceskyldighet, med undantag för framställningar som är i sådant skick att vi över huvud taget inte förstår vad som avses eller vem avsändaren är. Om vi konstaterar att det rör sig om en ansökan om ersättning och att ett ärende därmed har inletts på Försäkringskassan, så ska det ärendet handläggas och sedan avslutas med ett ställningstagande till ansökan, det vill säga ett beslut.

5.3.2 Automatiska kontroller i ansökningsförfarandet

När vi bygger digitala tjänster på Försäkringskassan där enskilda kan göra ansökningar, anmäla uppgifter med mera kan vi samtidigt skapa kontroller som stämmer av de uppgifter som ges in i den digitala tjänsten, exempelvis för att kontrollera om ansökan är komplett ifylld. Sådana kontroller är vanliga i automatiserade förfaranden och kan ur ett rättsligt perspektiv motiveras med att de är en digital tillämpning av Försäkringskassans serviceskyldighet enligt FL.

Många kontroller är oproblematiska. De underlättar både för enskilda och myndigheter. Exempel på kontroller av ett okontroversiellt slag är avstämningar av att uppgifter i ansökan är korrekt eller komplett ifyllda, eller enkel logik som att summeringar är rätt. Exempelvis kan systemet uppmärksamma den sökande på att hen glömt att fylla i en uppgift eller fyllt i ett födelsenummer som inte är möjligt. Genom sådana kontroller får den enskilde stöd att rätta till brister innan hen lämnar in sin ansökan i stället för att behöva komplettera ansökan i efterhand. Denna typ av kontroller kan alltså underlätta för enskilda att göra rätt i kontakten med Försäkringskassan och skapa bra förutsättningar för effektiv ärendehandläggning.

Det finns dock gränser för hur omfattande kontroller som kan byggas in i en digital tjänst. Kontrollerna kan nämligen påverka hur den enskilde kan använda tjänsten och hur den enskilde kan rättshandla i förhållande till Försäkringskassan. Exempelvis kan kontrollerna styra den enskilde när hen ska lämna information till Försäkringskassan – genom att bara tillåta viss information, genom obligatoriska fält eller genom att göra automatiska beräkningar som den enskilde godtar utan att ta ställning till. Det är i de sammanhangen nödvändigt att dra gränsen för vilken service som är möjlig och när en service övergår till att bli för styrande i förhållande till den enskildes vilja.

Det är inte helt tydligt var den gränsen går, det vill säga hur styrande kontrollerna kan vara och fortfarande anses vara en serviceåtgärd. Det finns förarbetsuttalanden som talar för att lagstiftaren ansett att vissa typer av hindrande kontroller är möjliga (prop. 2014/15:10, s. 27).

Kontroller som hindrar den enskilde från att lämna in en ansökan med den information som hen vill ange, exempelvis genom att hen hindras från att slutföra ett digitalt ansökningsförfarande utan att komplettera vissa uppgifter, kan vara problematiska. Man kan då diskutera om det egentligen handlar om ett avvisnings-, avskrivnings- eller avslagsbeslut. Sådana beslut måste uppfylla kraven i FL. Om systemet inte tar emot en ansökan, eventuellt kompletterat med ett enkelt felmeddelande, innebär det inte att ett förvaltningsrättsligt korrekt beslut om avvisning eller avskrivning har fattats. Alla former av negativa beslut ska nämligen som huvudregel dokumenteras och motiveras. Den sökande ska också underrättas om beslutet och få information om hur det kan överklagas.

Försäkringskassan har övervägt, men avstått från, hindrande kontroller som innebär en bedömning av sakomständigheter vid en ansökan om merkostnadsersättning. Den sökande skulle i det fallet stoppas från att lämna in ansökan i en digital tjänst om de uppgifter som hen angav indikerade att hen inte hade rätt till förmånen. Försäkringskassan har däremot infört kontroller av framförallt formalia vid vårdgivares begäran om utbetalning av tandvårdsstöd. Det statliga tandvårdsstödet skiljer sig från många andra förmåner, bland annat merkostnadsersättning, eftersom regelverket bygger på en utpräglad digitalisering och automatisering samt utgör en form av schabloniserad masshantering.

När Försäkringskassan överväger att skapa kontroller i en digital tjänst ska vi alltså först ta ställning till vad kontrollerna får för konsekvenser för användaren. Sedan måste vi ta ställning till om kontrollerna är möjliga och lämpliga att införa enligt regelverket.

5.3.3 Manuella alternativ till ett automatiserat förfarande

Det behövs alternativa, manuella, förfaranden för dem som är förhindrade att kommunicera digitalt eller av olika skäl inte vill använda det utpekade digitala ansökningsförfarandet.

Det kan också behövas manuella förfaranden för att hantera sådana delar av handläggningen som inte är rättsligt möjliga eller lämpliga att automatisera. Ofta handlar det om vissa utredningsåtgärder eller bedömningar som en handläggare behöver göra, till exempel ärenden som kräver omfattande utredning eller skönsmässiga bedömningar för att avgöra rätten till ersättning.

I många fall behöver automatiserade förfaranden alltså kompletteras med manuell handläggning. Oftast finns det parallella förfaranden från början, med en digital ansökan och en pappersansökan. De förfaranden som inleds digitalt brukar sedan ha en manuell hantering i delar av förfarandet, till exempel om systemet identifierar vissa kriterier.

Ett praktiskt exempel från Försäkringskassans verksamhet är hanteringen av SGI-ärenden. När frågan om att fastställa SGI väcks tar systemet först ställning till om det finns anledning att utreda frågan om SGI. Om SGI:n inte behöver utredas fastställs den maskinellt i det förmånsärende där frågan om SGI aktualiserats. Om frågan om SGI behöver utredas startas ett ärende i handläggningssystemet. I det ärendet kan handläggningen ske automatiserat, delvis automatiserat eller helt manuellt beroende på vad det rör sig om för ärende.

  • De ärenden där vi kan få ett tillräckligt beslutsunderlag genom automatiserade kontroller hanteras helt eller delvis automatiserat:
    • Systemet stämmer av uppgifterna om årsinkomst i ansökan mot uppgifter från Skatteverket. Om uppgifterna i ansökan stämmer överens med uppgifterna från Skatteverket fattas beslut om SGI automatiserat. Avstämningen och bedömningen dokumenteras i ärendet.
    • Systemet stämmer av uppgifterna om årsinkomst i ansökan mot uppgifter från Skatteverket. Om uppgifterna skiljer sig åt eller systemet identifierar vissa andra kriterier för manuell hantering (exempelvis att det saknas uppgifter att stämma av mot hos Skatteverket) lämnas ärendet över för manuell hantering. Avstämningen och bedömningen dokumenteras i ärendet. En handläggare utreder sedan ärendet vidare, exempelvis frågan om varför inkomsten varierar, och bedömer vilken SGI som den enskilde har rätt till.
  • De ärenden där vi inte kan få ett tillräckligt beslutsunderlag genom automatiserade kontroller handläggs helt manuellt.

Om det finns sådan manuell hantering som alternativ bör det finnas större utrymme att bygga effektiva, användarvänliga och utpräglat eller helt automatiserade förfaranden med den typen av funktioner som har getts exempel på tidigare i avsnittet. Då har nämligen alla möjlighet att ansöka om den aktuella förmånen, även om inte alla kan ansöka digitalt.

5.3.4 Nudging

Vi ska hjälpa den sökande att förtydliga eller komplettera otydliga framställningar, främst som ett led i Försäkringskassans serviceskyldighet. Men vi kan också ge service utanför ett enskilt ärende, innan den enskilde har ansökt.

Ett sätt att hjälpa den enskilde att utforma sin ansökan så komplett och korrekt som möjligt är att använda sig av nudging. Det kan definieras som en ”knuff” i en viss riktning, utan att minska individens valfrihet. Genom att arrangera en valsituation på ett visst sätt och belysa konsekvensen av de val som den enskilde gör, får hen möjlighet att göra informerade val som är positiva för hen själv. Det kan till exempel handla om att göra det lättare att lämna korrekt information genom hjälptexter som förklarar vad ett visst fält är tänkt att innehålla.

När Försäkringskassan använder nudging handlar det framför allt om att hjälpa den enskilde att göra rätt, inte att påverka hen att göra på ett sätt som passar vår handläggning bäst. Det är därför viktigt att nudging görs på ett transparent sätt så att den enskilde själv kan överblicka konsekvenserna av sina val.

Allt vi gör måste vara förankrat i lagstiftningen. Vi får inte påverka människors beteende, till exempel vilka uppgifter de lämnar i en ansökan, utan att först analysera vilka konsekvenserna skulle kunna bli för den enskilde. Vi ska exempelvis inte påverka den enskilde i en riktning som får negativa konsekvenser för hen.

Vi måste särskilja nudging från en situation då det, till exempel inom ramen för en tjänst, finns ett obligatoriskt fält som måste fyllas i för att en ansökan ska kunna skickas in. Ett sådant fält innebär visserligen att användaren "knuffas” i rätt riktning, men har mer karaktären av ett krav på hur ansökan ska fyllas i än ett hjälpmedel.

5.3.5 Utredning och kommunicering

I avsnitt 5.3.1–5.3.4 framgår att det förvaltningsrättsligt korrekta är att ta emot alla framställningar från enskilda och hantera dem. När någon ansöker om ersättning inleds ett ärende på Försäkringskassan. Inom ramen för ärendet vidtas sedan handläggningsåtgärder, såsom att kontrollera att uppgifter stämmer, hjälpa den sökande att komplettera sin ansökan med de uppgifter eller intyg som behövs och att vidta egna utredningsåtgärder. Det är samma åtgärder som blir aktuella när en ansökan hanteras automatiserat som när en handläggare hanterar den manuellt. Hur det görs kan dock i vissa fall skilja sig åt på grund av de möjligheter som ett digitalt handläggningssätt erbjuder. Detta gäller särskilt vid automatisering.

Samma krav gäller vid utredning av ärenden genom automatiserad och manuell handläggning. Det är också samma beviskrav som gäller. Det betyder att Försäkringskassan ska utreda ärendena på samma sätt och ställa samma krav för att en ansökan ska kunna bifallas. Det automatiserade förfarandet måste dock konstrueras på förhand och har inte samma möjlighet till avvägningar i det enskilda fallet som vid manuell handläggning. Det är därför sällan möjligt att använda helt automatiserade förfaranden inom ramen för ett ärende i socialförsäkringsärenden. Eftersom automatisering kräver att de omständigheter som avgör utgången i ett ärende standardiseras och schabloniseras är ett helautomatiskt förfarande problematiskt för förmåner med ett större bedömningsutrymme. Läs mer om automatisering och bedömningsutrymme i avsnitt 5.2.1.

Även om Försäkringskassan sällan kan ha helt automatiserade förfaranden är det möjligt att göra dem delvis automatiserade. Då handläggs ärendet i samverkan mellan handläggaren och it-systemet. Vi kan använda automatiserade kontroller som stämmer av inlämnade uppgifter mot interna uppgifter eller uppgifter som hämtas in från en annan myndighet. Många utredningsåtgärder kan göras enklare och mer effektivt när de automatiseras, till exempel inom SGI. Läs mer i avsnitt 5.3.3.

Om information stäms av mot uppgifter från en annan myndighet handlar det om en slags digital tjänst för informationsutbyte. Du kan läsa mer om dem i kapitel .

Det är också möjligt att fatta beslut med stöd av maskinellt framställda underlag eller rekommendationer. Exempelvis kan automatisering användas för att kontrollera om en ansökan är komplett ifylld eller för beräkningar utifrån uppgifter i ärendet.

Oavsett om handläggningen av ett ärende sker manuellt eller automatiserat måste den enskilde få rätt till kommunikation enligt FL. Om en automatiserad handläggning innebär att utredning i större utsträckning hämtas in på Försäkringskassans initiativ utan den enskildes inblandning, så ökar behovet av att kommunicera det inhämtade materialet med den enskilde.

När det handlar om automatiserade förfaranden talar vi ofta om att systemet kontrollerar något, när vi i ett manuellt förfarande skulle tala om att en handläggare utreder något. De kontroller som utförs innan ärendet avslutas handlar dock också om utredningsåtgärder, oftast att utreda rätten till ersättning. Att begreppet kontroller används i detta sammanhang ska alltså inte förväxlas med de kontroller som görs efter att ett ärende avslutats, exempelvis för att kontrollera om ersättning betalats ut felaktigt.

När ärendet handlagts klart avslutas det med ett ställningstagande till ansökan, det vill säga ett beslut.

5.3.6 Beslut

Beslut kan fattas av en tjänsteperson eller automatiserat. En tjänsteperson kan fatta beslut med stöd av maskinellt framtagna underlag, men det är fortfarande tjänstepersonen som fattar beslutet. När beslut fattas maskinellt utan att någon tjänsteperson tar aktiv del i själva beslutsfattandet i det enskilda fallet talar vi om automatiserade beslut (prop. 2016/17:180 s. 315). Att sådant beslutsfattande är tillåtet framgår numera uttryckligen i 28 § FL.

Det finns också bestämmelser om automatiserat beslutsfattande i dataskyddsförordningen.

Enligt artikel 22.1 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för hen eller på liknande sätt i betydande grad påverkar hen. Profilering definieras i dataskyddsförordningen som automatisk behandling av personuppgifter för att bedöma vissa personliga egenskaper hos en person, i synnerhet för att förutsäga bland annat pålitlighet. Automatiserat beslutsfattande hos myndigheter som innebär behandling av personuppgifter för att analysera eller förutse till exempel pålitlighet, beteende, arbetsprestation, hälsa eller dylikt kan därför vara otillåtet enligt förordningen (Se eSam, Checklista Juridik vid användning av AI, s. 15).

Det är oklart hur artikel 22.1 i dataskyddsförordningen ska tolkas och i vilken utsträckning automatiserat beslutsfattande är tillåtet enligt bestämmelsen. Det är bland annat oklart om bestämmelsen innebär ett generellt förbud mot automatiserat beslutsfattande eller om den innebär en rätt för den registrerade (den enskilde) att invända. Det är också oklart om bestämmelsen handlar om alla former av automatiserat beslutsfattande eller bara automatiserat beslutsfattande som innebär profilering.

I artikel 22.1.b i dataskyddsförordningen finns ett undantag som ger medlemsstaterna möjlighet att i nationell lag godkänna automatiserat beslutsfattande om den nationella lagen fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Den svenska regeringen anser att FL innehåller sådana skyddsåtgärder som krävs i dataskyddsförordningen och att automatiserat beslutsfattande med stöd av 28 § FL därför är tillåtet. (Se bland annat prop. 2017/18:95 s. 100, prop. 2017/18:112 s. 64-65, prop. 2017/18:115 s. 31, prop. 2017/18:254 s. 55 och prop. 2018/19:33 s. 164 samt eSam, Rättsligt uttalande om automatiserade beslut 2018-03-19).

I artiklarna 13 och 14 i dataskyddsförordningen finns bestämmelser om att den registrerade ska få särskild information om förekomsten av automatiserat beslutsfattande enligt artikel 22.

När Försäkringskassan använder automatiserat beslutsfattande måste vi alltså följa FL:s krav på handläggnings- och beslutsprocessen. Reglerna i FL om dokumentation, kommunikation och beslutsmotivering gäller även vid automatiserade beslut. Enskilda måste också få särskild information om att det förekommer automatiserat beslutsfattande.

Kraven på beslutsmotivering i FL innebär att automatiserade beslut framförallt blir aktuellt i fråga om positiva beslut. De krav som ställs på beslutsmotiveringen vid negativa beslut kan nämligen vara svåra att leva upp till utan mänsklig involvering. (Jfr JO:s dnr 6744-2020).

Försäkringskassan fattar i dagsläget inga automatiserade beslut som grundas på profilering i dataskyddsförordningen mening. När vi fattar ett automatiserat beslut som rör en förmån sker det en automatiserad bedömning av en persons personliga egenskaper. Det görs till exempel en automatiserad bedömning av personens specifika förhållanden och andra omständigheter. Bedömningen syftar dock inte till att förutsäga någons ekonomiska situation eller att analysera några andra personliga egenskaper. Syftet är inte heller att placera vederbörande i en viss kategori eller grupp. I stället fattas dessa beslut utifrån objektiva och förutbestämda kriterier för förmånen. Systemet bearbetar endast lämnade och befintliga uppgifter om exempelvis ålder och inkomst. Profilering används däremot vid urval för kontroll, men i samband med det fattas inget beslut.

Läs mer

Läs mer om beslut på Försäkringskassan i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken. Den beskriver bland annat vad som gäller i fråga om dokumentation, kommunikation och beslutsmotivering.

5.3.7 Krav på dokumentation vid automatiserad ärendehantering

Dokumentation i ärenden

De allmänna kraven på dokumentation i ärenden enligt FL gäller även vid automatiserad handläggning. Dessa beskrivs i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken. Det finns också en specifik regel om att elektronisk information ska tillföras ärendet i läsbar form om sådan information används för att för att handlägga ett ärende. Det framgår av 4 kap. 3 § OSL. Undantaget är om det finns särskilda skäl mot det.

Skyldigheten att dokumentera gäller i första hand uppgifter som lämnas muntligt till Försäkringskassan, eller som vi får på annat sätt än genom en handling, och som kan ha betydelse för ett beslut i ett pågående ärende. Men vi måste också dokumentera andra relevanta händelser i ärendet. Det kan exempelvis handla om kontakter med parter, andra personer eller myndigheter. Det kan också handla om handläggningsåtgärder och andra händelser som rör ärendets gång, även om de inte tillför något i sak till ärendet. En fullständig och ordnad dokumentation i ett ärende är en förutsättning för att man ska kunna följa och förstå ärendets gång. (JO:s beslut dnr 4367-2005. JO:s beslut dnr 5365-2005, JO:s beslut dnr 1982-2006 och JO:s beslut dnr 1739-2004)

Om det är uppenbart att en uppgift kommer att sakna betydelse för ärendet behöver den inte dokumenteras. Ett exempel på uppgiftsinhämtning som kan sakna betydelse för ärendet och därför inte behöver dokumenteras är upprepade automatiserade avstämningar av registeruppgifter. En sådan automatisk kontroll kan göras när ett ärende kommer in till Försäkringskassan. Om ärendet sedan faller ut för ett manuellt handläggningssteg och den automatiserade processen därefter återupptas, kan samma kontroll behöva göras på nytt. I den situationen är det främst den information som inhämtas senast som är relevant för ärendet och som behöver sparas. I de fall en kontroll görs flera gånger är det alltså informationen från den kontroll som påverkar resultatet i ärendet som behöver dokumenteras.

De olika typer av uppgifter som kan behöva dokumenteras är

  • uppgifter som lämnas av eller hämtas in från den enskilde, en annan person eller en myndighet
  • kontroller som görs av systemet i handläggningen
  • utfallet av kontrollerna
  • ställningstaganden som påverkar ärendets gång
  • andra åtgärder som vidtas i ärendet, både manuella handläggningsåtgärder och verkställighetsåtgärder.

Det finns inte några regler om i vilken form som dokumentationen ska göras. Men det ska framgå vem som har dokumenterat och när. Dokumentationen ska också vara begriplig och bestående.

Dokumentationen kan till exempel göras i en elektronisk journalanteckning:

  • Inom den automatiserade hanteringen av SGI stämmer systemet av uppgifter i ansökan mot uppgifter hos Skatteverket och dokumenterar vad det har gjort i journalen: ”Den försäkrade har lämnat uppgift om årsinkomst på XX kronor. Begär in uppgifter från Skatteverket för att kunna kontrollera att den försäkrade haft inkomster sex månader i följd och kunna göra en bedömning av den lämnade årsinkomsten. Period: MÅN ÅÅÅÅ – MÅN ÅÅÅÅ.”
  • Systemet stämmer också av om det, baserat på utredningen i ärendet, kan gå till beslut själv eller om ärendet ska gå till en handläggare för fortsatt utredning. Då gör systemet en bedömning som dokumenteras i journalen: ”Inkomstuppgifterna från Skatteverket för (period) är (summa för respektive månad) kronor. Summan av inkomsterna har räknats om till årsinkomst för att kunna jämföras. (summa/6 x 12 = z kronor). Skillnaden mellan den lämnade årsinkomsten och den omräknade årsinkomsten är för stor för att den försäkrades uppgift ska kunna godtas. Bedömer att ärendet behöver utredas vidare”.

Även beslut ska dokumenteras. Hos Försäkringskassan fattar vi beslut i huvudsak på två olika sätt: antingen i ett beslutsbrev eller i ärendets journal. Det gäller både beslut som fattas av en handläggare och beslut som fattas automatiserat. I vissa fall sparas informationen om beslut som fattas automatiserat i en digital handling som kan tas fram vid behov. Läs mer om hur vi dokumenterar och motiverar beslut i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken.

Information som är specifik för ett visst ärende behöver finnas i ärendet. Det beror på att ärendet måste kunna stå för sig själv. Informationen måste vara begriplig så att en part eller exempelvis en extern granskare kan följa och förstå vad som hänt i ärendet. Det måste vara tydligt vilken information som en part har särskild rätt att ta del av med stöd av den partsinsyn som regleras i FL och OSL. Om ärendet överklagas måste det också vara tydligt vilken information som ska skickas till överinstansen. Det är dessutom, i ett längre perspektiv, inte säkert att ärendet kommer att lagras i samma system som det skapades och handlades i. Det innebär att informationen i ärendet måste hänga ihop för att kunna läsas tillsammans och förstås i efterhand, om och när det blir aktuellt. Lagen säger däremot inget om hur detta ska lösas rent tekniskt.

För att uppfylla kraven på dokumentation i ett ärende kan information sparas i löpande journalanteckningar, loggar, eller ett samlingsdokument med information om kontroller och resultat. Detta leder fram till att informationen i ärendet kan dokumenteras på flera sätt och på olika platser eller nivåer, rent tekniskt. Informationen kan lagras dels på ett sätt som är direkt läsbart, till exempel en journal och i handlingar i ärendet, dels i till exempel tabeller som fogas till ärendet. Ett exempel på detta är datastrukturer som beskriver handläggningen i ett ärende; vad systemet har gjort, vilken information som har använts och hur utfallet har blivit i varje steg.

Dokumentation av system

När ärenden handläggs automatiserat finns den information som gör att det går att följa och förstå ärendets gång dokumenterad dels i själva ärendet, dels i den dokumentation som beskriver hur systemet fungerar. Dokumentationen av systemet kan till exempel bestå av programkod, användarhandledningar eller dokument som beskriver de krav som ställts vid programmeringen. Programkoden och annan dokumentation visar på de många val som har gjorts under systemets utveckling och innehåller både rättsliga och praktiska överväganden.

Det finns olika regelverk som styr kraven på dokumentation av våra system. Det handlar om dataskyddsregelverkets regler om rätt till information, kraven i AI-förordningen och om informationssäkerhet samt arkivrättsliga krav. Vi kan också ta ledning av Digitaliseringsrättsutredningens förslag om dokumentation av system, som däremot inte lett till lagstiftning (SOU 2018:25, Juridik som stöd för förvaltningens digitalisering). I dagsläget är det svårt att säga exakt vad sådan dokumentation behöver innehålla. Klart är dock att den behöver vara tillräckligt tydlig för att Försäkringskassan ska kunna lämna klargörande information om hur vi använder algoritmer eller datorprogram vid handläggning av ärenden.

Försäkringskassans system behöver dokumenteras för att elektroniska handlingar och annan digital information ska kunna förstås i framtiden, eftersom dokumentationen beskriver kontexten i vilka de en gång hanterades.

Läs mer

Läs mer om krav på dokumentation av system, och vad sådan dokumentation kan bestå av i Försäkringskassans anvisningar (2023:09) Gallring och bevarande av verksamhetsinformation.