Integritetsskyddsmyndigheten (IMY) har, tillsammans med Myndigheten för digital förvaltning (Digg), nyligen lanserat ett antal vägledande riktlinjer gällande användning av generativ AI. Även om de publicerade riktlinjerna i första hand riktar sig mot myndigheter och annan offentlig förvaltning kan de med fördel användas av alla företag vid användning av generativ AI.
Kort om riktlinjerna
Syftet med riktlinjerna är att öka tryggheten och förmågan att använda generativ AI på ett säkert, etiskt och effektivt sätt. Dessa riktlinjer har tagits fram med bred involvering från offentlig förvaltning, akademi, leverantörer, arbetstagar- och arbetsgivarorganisationer samt andra AI-aktörer. Riktlinjerna framhåller att AI kan förenas med ett gott integritetsskydd om tekniken hanteras ansvarsfullt. Integritetsfrågorna behöver identifieras och hanteras tidigt i processen när AI ska införas.
Riktlinjernas innehåll – en översikt
Nedan är en översikt av vad riktlinjerna hanterar.
- Anskaffning av generativ AI: Organisationer rekommenderas att fatta medvetna beslut om att skaffa generativ AI. Generativ AI kan köpas eller utvecklas beroende på organisationens behov och kapacitet. Anskaffning kräver noggrann planering, riskbedömning och att verksamhetens mål står i fokus. Hänsyn behöver också tas till gällande regelverk.
- Informationssäkerhet: Identifiera risker för informationssäkerhet vid användningen av generativ AI är avgörande. Genom att arbeta proaktivt med informationssäkerhet minskar organisationer risken för negativa följder av incidenter som påverkar, eller hade kunnat påverka, organisationens information. Detta tillvägagångssätt kan också effektivisera informationshanteringen, öka nyttan av informationen och minska kostnaderna för informationshantering och informationsskydd över tid.
- Ledning och ansvar: Beslut med stöd av generativ AI bör ha mänsklig kontroll. Generativ AI kan vara ett värdefullt stöd vid beslutsfattande men kräver höga nivåer av mänsklig översyn och transparens. Generativ AI vid beslutsfattande bör användas med försiktighet och aldrig tillåtas att fatta helt självständiga beslut.
- Dataskydd: Organisationer som avser att använda generativ AI måste säkerställa att användningen är förenlig med dataskyddsregelverket, i huvudsak dataskyddsförordningen (GDPR). Dataskyddsfrågor som behöver hanteras inkluderar att bestämma vem som ansvarar för användningen, vilket rättsligt stöd som finns för användningen, riskerna med användningen och hur dessa risker bör hanteras.
- Rollfördelning: Den verksamhet som använder generativ AI för att utföra sitt uppdrag är personuppgiftsansvarig för personuppgiftsbehandlingen. En leverantör av ett AI-system som behandlar personuppgifter för verksamhetens räkning kan vara personuppgiftsbiträde. I sådana fall krävs ett personuppgiftsbiträdesavtal mellan den ansvarige och biträdet.
Har du eller någon av dina klienter frågor eller behöver stöd med implementering eller användning av generativ AI är ni välkomna att kontakta vårt ID&T team enligt nedan.
Jonas Lindskog
Partner | Legal
jlindskog@deloitte.se
+46 70 080 30 91
Maria Lilliestierna
Partner | Legal
mlilliestierna@deloitte.se
+46 70 080 21 91
Michelle Smed
Assistant Manager | Legal
msmed@deloitte.se
+46 70 080 29 64
Jacob Ossmark
Consultant | Legal
jossmark@deloitte.se
+46 70 080 33 96