Personopplysninger og kunstig intelligens: Dette må du huske
Retailbransjen er avhengig av kunnskap om hver enkelt kunde for å forbedre kundeopplevelsen og ta bedre avgjørelser. Det er viktig å være bevisst risikoen ved å håndtere personopplysninger i disse prosessene, da det kan det få store konsekvenser, både for omdømme, økonomi og ikke minst kundenes tillit, om man trår feil.
Bruk av personopplysninger i kunstig intelligens (KI) bør alltid starte med en personvernkonsekvensvurdering (DPIA). Personvernkonsekvensvurderingen er et viktig verktøy som vil bidra til å sikre at man ivaretar personvernregelverkets grunnleggende prinsipper slik som blant annet lovlighet, forklarbarhet, rettferdighet, dataminimering, formålsbegrensning og åpenhet. Vurderingen vil også bidra til å kunne dokumentere ansvarlig behandling av personopplysninger overfor både ledelse, tilsynsmyndighet og kunder.
Hvordan spiller personvernprinsippene inn ved bruk av kunstig intelligens?
Prinsipp om åpenhet og forklarbarhet
Dette innebærer av personer må vite hvordan deres personopplysninger hentes og hvordan de brukes i kunstig intelligente systemer. Hvilke opplysninger er benyttet og hvordan er de vektet for å komme til et gitt resultat?
Prinsipp om formålsbegrensning
Dette innebærer at personopplysninger kun skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Ved å ha satt et tydelig formål, setter man selv rammer for hvilke personopplysninger som er relevante og nødvendige i den aktuelle sammenhengen. Personopplysningene skal ikke viderebehandles på en måte som er uforenelige med innsamlingsformålet. Dette gjelder også ved bruk av personopplysninger ved utvikling av KI eller når KI benyttes på personopplysninger – et spesifisert formål med utviklingen og bruken må derfor settes i forkant.
Dataminimering
Personopplysninger som behandles skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Det er derfor avgjørende at man i forkant vurderer hvordan dette skal ivaretas når man har behov for å bruke store datasett eller sette sammen datasett, for eksempel ved trening av algoritmer.
Korrekte data
Personopplysninger skal være korrekte og om nødvendig oppdaterte. Dårlig datakvalitet kan ha negativ innvirkning på treningen av algoritmen og det endelige resultatet. Man må derfor ha en plan for hvordan man skal sikre at treningsdata har god kvalitet, og er oppdaterte?
Rettferdighet
Både GDPR og lov om likestilling og diskriminering forbyr bruk av KI som innebærer diskriminering, urettferdighet eller partiskhet. Man må derfor ta stilling til hvordan man skal sikre at man unngår diskriminerende og unøyaktige resultater?
Hva blir viktig fremover?
Virksomheter som utvikler eller tar i bruk kunstig intelligens bør allerede nå begynne å forberede seg. Her er tre tips til hva du bør tenke på i dag:
1. Bruk personvernprinsippene
Ta utgangspunkt i personvernprinsippene og eget GDPR-arbeid og tilpass dette virksomhetens ønskede bruk av KI.
2. Vurder risiko
Undersøk i tillegg hvilken risikogruppe KI’en virksomheten utvikler eller ønsker å ta i bruk omfattes av, og hvilke forpliktelser som gjelder denne kategorien og virksomhetens rolle.
3. Dokumenter
Som GDPR, fremhever både KI-forordningen, KI-ansvarsdirektivet og forslag til nytt produktansvarsdirektiv viktigheten av et robust risikostyringssystem. Det blir også viktig å kunne dokumentere at dataene KI’en bygger på er upartiske og ikke diskriminerer. Gode systemer for dokumentasjon og for å håndtere data blir viktig for å kunne vise etterlevelse. I tillegg vil manglende dokumentasjon kunne gjøre det vanskeligere å forsvare seg mot rettskrav.
EUs kommende KI-forordning (AI Act)
EUs kommende KI-forordning er på oppløpssiden i lovgivningsprosessen og det er forventet at forordningen vil vedtas mot slutten av året eller begynnelsen av 2024. Forordningen skal fremme tillit, innovasjon og konkurranseevne samtidig som den beskytter mot skadelige og diskriminerende effekter av KI. Den får et bredt nedslagsfelt da virkeområdet avgjøres av om KI’en vil påvirke personer som er lokalisert i EU.
Forordningen har en risikobasert tilnærming, med inndeling i fire risikokategorier basert på KI’ens mulige risiko for vår helse, sikkerhet og grunnleggende rettigheter. Jo høyere risiko bruken av KI utgjør, desto strengere skal bruken reguleres. Mens KI som havner i kategorien «uakseptabel» vil være forbudt, vil «høyrisiko» KI som kan utgjøre en stor mulig trussel mot samfunnet og enkeltpersoner, være hovedmålet for de nye reglene.
Det finnes ikke noen klagemekanisme i KI-forordningen. Den vil derfor suppleres av KI-ansvarsdirektivet (AI Liability Directive) som skal regulere ansvarsforholdene for bruk av KI utenfor kontrakt. Målet er å redusere juridisk usikkerhet knyttet til ansvar og skade relatert til KI.
Har du spørsmål?
Deloitte Advokatfirma bistår virksomheter innen både offentlig og privat sektor med etisk og forsvarlig bruk av kunstig intelligens og etterlevelse av GDPR.
