I takt med at kunstig intelligens (AI) vinder større indpas i organisationer, vokser behovet for en metodisk tilgang til databeskyttelse og privatliv også.
For selvom AI giver ubegrænsede muligheder for at forbedre vores samfund, følger der med det store potentiale også store risici.
Imens vi endnu venter på den endelige AI-act, som forventes at blive vedtaget i EU i slutningen af 2023 eller starten af 2024, kan det for mange faktisk være en udfordring at navigere lovligt i de forskellige muligheder teknologien giver.
GDPR og Datatilsynets retningslinjer
I en tid, hvor der åbnes nye døre med kunstig intelligens, står virksomheder over for at navigere i et komplekst reguleringslandskab.
Når du anvender kunstig intelligens, er du som bruger derfor nødt til at forstå, hvad den kunstige intelligens gør – og hvorfor.
For de gratis AI-modeller, som f.eks. ChatGPT 3.5, bruger nemlig dine data til at blive klogere.
Og det kan i værste fald betyde, at hvis du har indtastet personfølsomme oplysninger eller informationer om et nyt produkt, så kan disse informationer pludselig dukke op i brugeres næste søgning.
Indtil vi har et egentligt kompas at navigere efter, er det derfor afgørende, at vi i mellemtiden retter os efter eksisterende dataregulativer som GDPR. Det fortæller Frans Skovholm, advokat og partner i DAHL Advokatpartnerselskab:
Et AI-projekt kræver en tilgang til databeskyttelse, hvor man tænker det ind fra start. Fra de indledende designstadier til den daglige drift. Det skyldes, at der allerede er klare regler for databeskyttelse som skal overholdes konsekvent.
Virksomheder må ikke tilsidesætte denne lovgivning, da de ellers kan holdes ansvarlige for ikke at behandle personfølsomme oplysninger korrekt.
Selvom der endnu ikke findes specifikke afgørelser inden for misbrug af AI, er det vigtigt at efterleve de grundlæggende principper om databeskyttelse.
Det er nemlig muligt at drage paralleller til lignende sager, hvor virksomheder er kommet i problemer, fordi de uforvarende har delt persondata.
”Tilfælde som disse understreger vigtigheden af korrekt håndtering af persondata. Virksomheder skal være klare og tydelige om deres formål med at anvende persondata når de implementerer AI løsninger for at undgå at komme galt afsted,” tilføjer Frans Skovholm.
Principper for datahåndtering i AI: Fra konsekvensanalyse til anvendelse
Når man indsamler og anvender persondata, kræver det ifølge GDPR-forordningen, at data indsamles med et specifikt formål – og skifter formålet undervejs, skal dette kommunikeres til de registrerede.
Det er derfor afgørende allerede fra start at fastlægge, om man har et solidt behandlingsgrundlag for i det hele taget at behandle specifikke data til det tiltænkte formål.
Det man skal være opmærksom på er, at der kan være store begrænsninger i ens mulighed for at behandle persondata, efter de er blevet delt med AI-modeller såsom ChatGPT 3.5 eller Google Bard.
Frans Skovholm har derfor svært ved at se, at en virksomhed lovligt kan dele persondata, når de anvender disse AI-modeller. Derfor har han også en tydelig opfordring:
“Min klare anbefaling er, at virksomheder skal have tydelige interne retningslinjer, som klæder medarbejderne på til at arbejde med AI.”
Retningslinjerne fra Datatilsynet tilbyder en grundig indsigt i de processer, som Large Language Models (LLMs) opererer efter samt de punkter i processen, hvor man uforvarende kan risikere at overtræde gældende lov.
Man kan derfor med fordel læne sig op ad Datatilsynets AI-vejledning, som inddeler anvendelsen af AI i tre faser:
1) Designfasen
Konsekvensanalysen bør tænkes ind fra projektets start. I skal vurdere, hvilke typer af persondata der anvendes og om risiciene for de registrerede er acceptable.
I relation hertil står spørgsmålet om datakvalitet også. Hvad definerer god datakvalitet, og hvordan skelner vi mellem høj og lav kvalitet? Klassificering af data er et afgørende skridt, specielt når det kommer til fortrolige oplysninger.
I brugen af Language Learning Models (LLMs), spiller det en central rolle at sikre, at det kun er godkendt data, som bliver indarbejdet som datapunkter i modellen.
Klassificeringen skal derfor gøres på forhånd for at fastlægge klare grænser for anvendelsen af forskellige datatyper i den videre proces.
2) Udvikling- og træningsfasen
Når du behandler data skal du forholde sig til, om AI-modellen er statisk eller dynamisk. Statiske modeller er baseret på faste datasæt, mens dynamiske modeller løbende optimeres med nye data.
Risikoen for de registrerede data stiger med dynamiske modeller, hvilket kræver en klar formålsvurdering og potentielt også en anonymisering af data, før de i givet fald så anvendes.
3) Driftsfasen
Når løsningen er i drift, skal man løbende sikre, at den data som anvendes fortsat matcher det oprindelige formål, eller om der opstår nye behandlingsformål.
Derfor kan det løbende kræve en opdatering af databehandlingsgrundlaget og privatlivspolitikkerne for at sikre gennemsigtighed over for de registrerede.
Har din virksomhed en AI-politik?
Det står efterhånden klart for de fleste, at der med den voksende interesse for AI også opstår et øget behov for både at kunne forstå og navigere i brugen af den – både som arbejdsgiver og som ansat.
Forskellige instanser har da også gentagende gange været ude at råbe op om, at ChatGPT udgør en sikkerhedsrisiko for virksomheder, hvor brugeren utilsigtet er kommet til at dele forretningskritiske informationer i med f.eks. ChatGPT.
Derfor bør du udarbejde en politik om anvendelse af AI i en arbejdsmæssig sammenhæng, så du kan skabe en klar retning for, hvordan AI må anvendes i din virksomhed, men også minimere nogle af de potentielle risici, som kan være forbundet med teknologiens anvendelse.
I samarbejde med DAHL Advokatpartnerselskab har IT-Branchen lavet en politik om anvendelse af AI i arbejdsmæssige sammenhænge, som frit kan benyttes.
Den beskytter virksomheder imod, at der opstår en uhensigtsmæssig brug, som kan udstille forretningskritiske data og udfordre både databeskyttelsespolitikker samt virksomhedens brand.
For med retningslinjer på plads, kan din virksomhed bedre drage fordel af AI’s potentiale til f.eks. at sikre en mere effektiv opgaveløsning og styrket innovation med de kraftfulde arbejdsredskaber, teknologien tilbyder.
Alle medlemmer af IT-Branchen har som altid fri adgang til kontrakten og de mange andre dokumenter, som er at finde på Kontraktportalen.