Hvorfor er brug af AI problematisk?
Kunstig intelligens (AI) udvikler sig hurtigt, hvilket især åbner op for nye muligheder inden for erhvervslivet. Men for virksomheder og myndigheder kan det være udfordrende at navigere de komplekse regulatoriske rammer og forstå, hvad der er tilladt. Dette gælder især, når AI-regulering skal integreres med eksisterende GDPR-krav.
Med den hastige udvikling af generative AI-værktøjer får medarbejdere i stigende grad mulighed for at bruge denne teknologi i deres daglige arbejde. Generativ AI dækker over kunstige intelligenssystemer, der kan skabe og generere helt nye data, indhold eller materiale på en selvstændig måde, i modsætning til AI, der alene kan analysere eksisterende data. Dette har dog medført en stigning i brud på persondatasikkerheden, da ansatte ofte bruger persondata som input i AI-værktøjer, uden nødvendigvis at sikre et lovligt behandlingsgrundlag.
For at imødegå disse udfordringer er det vigtigt, at arbejdspladser fastsætter klare politikker og procedurer for brugen af generative AI-værktøjer. Derudover kan tekniske foranstaltninger, såsom blokering af offentligt tilgængelige AI-værktøjer via firewalls, være en effektiv måde at understøtte de organisatoriske rammer på for at sikre GDPR-compliance.
Fokusområder ved AI for at sikre GDPR-compliance
Når man fastlægger formålet med behandlingen af personoplysninger, skal det vurderes, om behandlingen er proportional – altså egnet, nødvendig og forholdsmæssig i forhold til formålet. Dette følger af princippet om dataminimering. AI-værktøjer kræver ofte store mængder data, som kan være svært at forene med dataminimeringsprincippet. Man bør som virksomhed nøje overveje, hvordan man bedst opnår det ønskede formål med kun de nødvendige oplysninger, når AI-værktøjer anvendes.
Yderligere er der flere problemområder som man skal være opmærksom på når man anvender AI i sin organisation. For at sikre grundlæggende GDPR-compliance kan man tage afsæt i følgende tre punkter:
1. Ansvarlighed, styring og compliance dokumentation: Brug af AI er defineret som værende high risk.
Løsning: Din virksomhed bør af den årsag gennemføre grundige konsekvensanalyser (DPIA’er) for at identificere og afbøde risici forbundet med AI-systemer. Dette inkluderer at evaluere den potentielle påvirkning på individers rettigheder og friheder. Datatilsynet har udarbejdet en skabelon for netop dette: Skabelon til gennemførelse af AI-konsekvensanalyser. Din virksomhed bør etablere en robust styringsramme, der sikrer, at alle AI-aktiviteter er gennemsigtige, dokumenterede og kan revideres. Dette vil oftest kunne integreres i allerede vel etablerede GDPR-compliance procedurer.
2. Gennemsigtighed, nøjagtighed og retfærdighed: AI-systemer fremstår gerne som en “black box” af information, hvilket betyder, at det kan være svært at sikre gennemsigtighed, nøjagtigheden og retfærdigheden i, hvordan data behandles.
Løsning: Det er vigtigt at implementere klare politikker og procedurer for databehandling og sørge for, at brugerne informeres om, hvordan deres data anvendes, og hvilke rettigheder de har. Dette kan opnås gennem regelmæssige dataaudits og implementering af algoritmer, som er designet til at undgå bias.
3. Lovlighed/behandlingsgrundlag: AI-systemer skal have et lovligt behandlingsgrundlag for at kunne behandle persondata.
Løsning: Dette kan være samtykke, kontraktlige forpligtelser, lovforpligtelser eller legitime interesser. Det er vigtigt at vælge det mest passende behandlingsgrundlag for at sikre compliance med GDPR samtidig med effektiv behandling af data for virksomheden. Her skal din organisation gennemgå fortegnelsens aktiviteter og overveje, om brugen af AI kan ske under allerede eksisterende aktiviteter. Desuden skal I overveje om brugen berør jeres aktiviteter som databehandler og om databehandleraftaler skal opdateres eller genforhandles, herunder om brugen af AI medfører en ny underdatabehandler.
ISO/IEC 42001 dokumentation for GDPR-compliance ved brug af generativ-AI
Ved at tage disse skridt kan virksomheder bedre navigere de udfordringer, der er forbundet med GDPR-compliance, når de implementerer AI-værktøjer. Implementering af ISO/IEC 42001:2023, en international standard for etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Artificial Intelligence Management System (AIMS), kan yderligere demonstrere en organisations engagement i ansvarlig AI-brug og forbedre tilliden blandt kunder, partnere og regulatorer.
ISO/IEC 42001 dokumenterer bl.a. følgende:
- Risikostyring: Identifikation, analyse og håndtering af risici forbundet med AI.
- Politikudvikling: Etablering af detaljerede protokoller og regler for ensartet brug af AI-foranstaltninger.
- Kontinuerlig forbedring: Regelmæssige opdateringer og revisioner af politikker for at sikre effektivitet mod nye trusler.
Ved at følge disse retningslinjer kan din virksomhed sikre, at AI-værktøjer anvendes på en måde, som skaber klare rammer, og demonstrere ansvarlig brug af AI gennem sporbarhed, gennemsigtighed og sikkerhed, hvilket kan medføre omkostningsbesparelser og effektivitetsgevinster for virksomheden.
Hvis du er i tvivl om, hvordan du bedst muligt strukturerer brugen af AI i din virksomhed, kan du altid finde en sparringspartner i DPO Danmark ApS.
