Ikke la personvern bli en innovasjonsbrems

– Det er krevende å utvikle teknologi i Europa. Vi ser at lover og reguleringer kan bremse innovasjon, sier Siv Kristin Henriksen, personvernjurist i NHO.

I en tid hvor kunstig intelligens utvikles i rekordfart – og stadig utfordrer spillereglene for hva som er mulig, er én ting klart: Norsk næringsliv må holde farten oppe.

Usikkerhet rundt GDPR og nye lover og reguleringer gjør likevel at mange bedrifter tråkker på bremsen – og lar være å utnytte mulighetene som ligger i kunstig intelligens og i å bli mer datadrevet.

Ofte er det fordi lovverket er vanskelig å tolke, og mange vurderer rett og slett at risikoen ved å gjøre feil er større enn gevinsten ved å lykkes.

– Vi ser at mange bedrifter nøler med å komme i gang, selv når det finnes lavthengende frukter innen ny bruk av teknologi. Barrierene handler ofte om manglende kunnskap og innsikt i forretningsgevinster. Mange velger å utsette, eller droppe satsinger som virkelig kan løfte virksomheten, sier Henriksen.

Meld deg på: Øv på personvern i praksis!

– Kan ikke la usikkerhet begrense utviklingen

Samtidig er det bred enighet både i politikken og i næringslivet om at flere bør ta i bruk KI – og at teknologien må brukes på måter som gir større effekt enn det vi ser i dag.

– Da kan vi ikke la usikkerhet rundt regelverket begrense utviklingen, men heller bygge kunnskap, trygghet og arenaer som gjør det enklere og mer naturlig for enda flere å ta de neste stegene, sier Helge Dahl-Jørgensen i Digital Norway.

– Det handler om å våge å prøve, gjøre kloke vurderinger, lære god praksis – og gradvis hente ut gevinster, sier han.

Kan komme langt med sunn fornuft

Det behøver ikke være ekstremt komplisert å bruke kundedata, bedriftsdokumenter og eksterne datakilder for å automatisere prosesser og lykkes med kunstig intelligens – på en måte som er i samsvar med lover og regler.

I dag er dette også helt nødvendig for å ikke havne bakpå og tape terreng til konkurrenter. Ja, GDPR er viktig. Men det er ikke ment å hindre utvikling, påpeker Henriksen.

– Tilsynsmyndigheter i både EU og Norge har selv vært tydelig på at formålet med regelverket er ansvarlig drift – ikke å bremse innovasjon. Det handler i bunn og grunn om å gjøre virksomheter i stand til å gjøre gode vurderinger og ha kontroll, og slik opprettholde folks tillit til digitale tjenester, sier hun.

– Start med et tydelig formål

Så hvor skal man starte?

Når bedrifter skal innføre og ta i bruk nye løsninger, særlig innen kunstig intelligens og automatisering, handler det om å stille seg noen grunnleggende spørsmål.

Det aller viktigste handler om å være gode på formålsbeskrivelser, altså konkrete vurderinger om hva dataene skal brukes til og hvorfor.

Dette er ikke bare et GDPR-krav. Gode formålsbeskrivelser kan nøste opp i misforståelser, sørge for å avgrense bruken og sikre at teknologien faktisk støtter opp under virksomhetens mål.

– I bunn og grunn handler dette om å bli kjent med egne data. Jo bedre du forstår hva du har og hvorfor du bruker det, desto større er sjansen for at teknologivalgene både gir effekt og er i tråd med regelverket, sier Henriksen.

– Ansvaret kan ikke bæres av jurister alene

Dahl-Jørgensen understreker at vurderinger knyttet til bruk av data ikke bør være et ansvar jurister bør bære alene – det bør gjøres i samarbeid, på tvers av fagområder.

– Dette er spørsmål ledere, IT-medarbeidere og andre nøkkelpersoner i virksomheten må løfte og drøfte sammen. De må vekte nytte mot risiko, se på konkrete muligheter og forstå hvordan nye løsninger kan påvirke og forme virksomheten framover.

Henriksen legger til at usikkerheten i møte med lover og reguleringer ofte handler om mangel på felles forståelse av hva teknologien skal brukes til – og hvordan det henger sammen med målene i virksomheten.

– En god felles forståelse av forretningsmål og teknologien som skal implementeres er ofte nøkkelen til å se mulighetene innenfor regulatoriske rammer, sier Henriksen.

Eksempel: Transkribering hos fastlegen

La oss se på et konkret eksempel på innovativ bruk av ny teknologi, nemlig fastleger som automatisk transkriberer pasientsamtaler ved hjelp av kunstig intelligens. Dette kan være til stor hjelp for legene, som gis muligheten til å fokusere mer på pasienten,

Kombinasjonen av pasientdata og KI fremstår kanskje regelverkstungt og sensitivt – noe som krever mye forarbeid og tunge vurderinger. Men det er ikke sikkert det er så komplisert.

Hva om leverandøren allerede har gjort gode vurderinger man kan lære av, og implementert tiltak for å sikre at verktøyet følger GDPR? Kanskje verktøyet ikke lagrer lyd eller rådata mer enn en veldig kort stund– og at persondata automatisk slettes eller anonymiseres?

– Det viktigste er å stille de riktige spørsmålene: Er dataene sensitive? Hvor lagres de, og hvem har tilgang? Er bruken av personopplysninger tydelig avgrenset til et konkret og legitimt formål? Og kan man vise at behandlingen er nødvendig og forholdsmessig?

– Skal ikke late som risiko ikke finnes, men håndtere den

Joda, det finnes risiko når det er snakk om data, personvern og kunstig intelligens, understreker Dahl-Jørgensen.

– Men at noe kan gå galt, er ikke i seg selv et godt nok argument for å la dataene ligge urørt, sier han.

Ta for eksempel salg og kundeservice: Ved å analysere historiske kjøp, kundehenvendelser og respons på ulike kampanjer, kan man bruke disse dataene til markedsføring, produktutvikling og lønnsomhetsanalyser – uten at det trenger å gå på akkord med personvernet.

Dette er til og med data som potensielt kan inngå i automatiseringsflyter og til å trene opp KI-modeller – om man forstår mulighetene som ligger i gyldige samtykker og gjennomtenkte formål.

– Poenget er ikke å late som risiko ikke finnes, men å håndtere den – med tydelige formål, bevisste begrensninger og riktig teknologisk støtte. Da blir det mulig å hente ut verdi og samtidig gjøre ting riktig, sier Dahl-Jørgensen.

Må involvere de ansatte

Ny teknologi kan gi økt effektivitet og konkurransekraft, i tillegg til at innføringen kan øke kompetansen hos ansatte, forteller Ida Flaaten, advokat i Finansforbundet.

– Samtidig er vi opptatt av at det med ny teknologi oppstår nye utfordringer, som økt bruk av personopplysninger, kontroll og overvåkning, sier hun.

Flaaten understreker at arbeidsgivere må være bevisst på hvordan de håndterer ansattes personopplysninger.

– Det innebærer hvilke opplysninger de samler inn, hva de skal brukes til, tilgangstyring og sletting, sier hun.

Advokaten sier det også er viktig at de ansatte involveres før ny teknologi tas i bruk.

– Dette må drøftes med tillitsvalgte, de ansatte må få tilstrekkelig informasjon, medbestemmelse og opplæring.

– Da er det viktig at virksomhetene henger med. Den nye teknologiske arbeidshverdagen krever ny kompetanse, både hos arbeidsgiver og arbeidstaker, sier Flaaten.

Ny interaktiv øvelse

Hvordan virksomheter kan utnytte data og KI, uten å havne i personvernsfella, er temaet for Digital Norways nye foredragsturné «Personvern i en ny digital tid».

Kampanjen er en interaktiv øvelse der deltakere skal utforske og øve på realistiske scenarioer knyttet til personvern – og er utviklet i samarbeid med DNB, Finansforbundet, Datatilsynet og EYD Tech.

– Noe av det vi skal se på er håndtering av kundedata, interne sensitive opplysninger og hva du må tenke på når du innfører og tar i bruk ulike KI-assistenter. Du vil lære hvordan du kan jobbe riktig og strategisk med personvern uten å bremse innovasjon, opplyser Dahl-Jørgensen.

Les mer og meld deg på her.

– Utforsk og lær

NHO-juristen påpeker at å jobbe datadrevet fører til mer kunnskapsbaserte beslutninger. Det gir bedre produkter, bedre tjenester og gevinster for hele samfunnet.

Derfor avslutter Henriksen også med en klar oppfordring:

– Ikke vent. Utforsk. Lær. Det er slik vi kan bruke teknologien trygt – og samtidig sikre at vi som samfunn ikke sakker akterut.