KI og GDPR: Dette bør du vite om lover og regler
Hva bør du vite om kunstig intelligens og GDPR? Vi spurte en advokat:
Kunstig intelligens har tatt arbeidslivet med storm. Mange bedrifter bruker teknologien på ulike måter for å bli mer effektive og innovative. Andre er mer usikre på hvordan man kan dra nytte av KI i hverdagen.
Personopplysninger er en stor del av kunstig intelligens. Derfor finnes er det mange områder innen KI som reguleres av GDPR.
Her snakker vi med Kristin Haram Førde fra Advokatfirmaet Bull om hva du bør vite om GDPR og kunstig intelligens:
Hva er det viktigste man må vite om KI og GDPR?
GDPR er i bunn og grunn et lovverk som er til for å beskytte våre personopplysninger. Bruker et KI-system personopplysninger, må GDPR følges.
– Det viktigste man må vite om GDPR i en KI-kontekst, er at forordningen er teknologinøytral, det vil si at lovverket gjelder uansett teknologi, sier Førde.
GDPR er altså fleksibel og tilpasningsdyktig til ny teknologi. Når kunstig intelligens endrer hvordan vi jobber, skal GDPR fortsatt gjelde.
– GDPR har også regler som går direkte på automatiserte individuelle avgjørelser og profilering, som er relevant for kunstig intelligens.
Anonymisering er viktig
GDPR definerer personopplysninger som «enhver informasjon som gjelder en identifisert eller identifiserbar fysisk person.»
– Definisjonen av personopplysninger i GDPR er veldig bred, sier Førde.
I tillegg blir KI-systemer bare bedre på å identifisere mønstre og finne uventede korrelasjoner i datasett.
– Det betyr at grensen som skiller anonyme opplysninger fra personopplysninger beveger seg mot sistnevnte, sier hun.
Data som tidligere ble sett på som ikke-identifiserbare, kan nå være nødvendig å behandles som personopplysninger.
– Måtene anonymisering gjøres på, blir derfor viktig, forklarer Førde.
Hva slags ansvar har en KI-bruker for åpenhet, forklarbarhet og rettferdighet?
Bruk av kunstig intelligens blir først og fremst skummelt når det er gjort på skjulte måter. Åpenhet er helt grunnleggende fra et menneskelig perspektiv – og en viktig del av GDPR:
– Åpenhet, forklarbarhet og rettferdighet er viktige prinsipper i GDPR artikkel 5, sier Førde.
Hun presiserer også at et samtykke må være presist og åpent forklart for at det skal være gyldig. Man skal vite hva man samtykker til.
– Virksomheter som leverer tjenester som bruker kunstig intelligens vil etter GDPR ha et ansvar for å forklare hva slags personopplysninger som hentes inn, til hvilket formål – og hvordan, legger hun til.
Det er nettopp dette prinsippet som gjør vurderingene om bruk av KI og åpenhet såpass komplisert:
– Det er ikke alltid man er åpen nok rundt hvordan personopplysningene benyttes. Ofte har brukeren gitt samtykke til noe på et tidspunkt. Men så utvikler teknologien seg slik bruken man har samtykket til endrer seg. Da fordrer det et nytt samtykke. Derfor er det viktig å passe på at man til enhver tid har gyldig samtykke.
Hvordan bør man jobbe for beste praksis?
– GDPR er ikke en lov for å stoppe innovasjon. Tvert imot skal den gjøre at innovasjon gjøres riktig. KI-systemer må være i tråd med fundamentale rettigheter for brukerne, sier Førde.
Her er en sjekkliste for noen viktige ting du bør være obs på når det kommer til kunstig intelligens og GDPR:
- Bruk minst mulig personopplysninger.
- Om du bruker personopplysninger, pass på å ha lovlig grunnlag for både innhenting og bruk.
- Husk på kravene til samtykke.
- Husk at bruken av personopplysninger du samler inn skal begrenses til det ene formålet du angir. Dette er særlig komplisert med KI, fordi teknologien «lærer seg» nye bruksområder for dataene som strekker seg utover det opprinnelig angitte formålet.
- Vær åpen om automatiserte avgjørelser.
- Husk også at selve anonymiseringen av personopplysninger er en behandling etter GDPR – og at man må ha lovlig grunnlag for dette.
- Vær åpen om algoritmer og bruk av data.
- Vær åpen om metodene brukt i systemet.
- Pass på de registrertes rettigheter.