Det er ikke alle der ved det, men hvis I bruger AI til at arbejde med persondata, skal I i mange tilfælde lave en såkaldt DPIA først. Men hvordan ved I om det er nødvendigt at lave? Det er vigtigt at afklare, for hvis det er nødvendigt, må I faktisk ikke behandle personoplysningerne, før DPIA’em er lavet færdig.
I denne artikel forklarer advokat Tim Krarup Nielsen fra IT-Branchens samarbejdspartner HortenDahl mere om problematikken med AI og personoplysninger.
Hvad er en konsekvensanalyse (DPIA)?
En konsekvensanalyse – eller Data Protection Impact Assessment (DPIA) – er en dybdegående analyse af risikoen ved en proces med behandling af personoplysninger – samt en beskrivelse af hvordan risici kan imødegås.
Udarbejdelsen af en DPIA medfører en grundig analyse af en behandlingsaktivitet og kræver både juridiske, tekniske og organisatoriske ressourcer involveret.
Det er derfor ikke noget man bare kan sætte DPO’en, advokaten eller IT-sikkerhedschefen til at lave. Det er en analyse, der inddrager kompetencer fra flere forskellige områder i organisationen.
Hvornår er der krav om en konsekvensanalyse?
Der skal altid foretages en risikovurdering ved behandling af personoplysninger. Men der skal langt fra altid udarbejdes en DPIA. Det er kun et krav hvis behandling sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder.
Men hvad er en høj risiko? Det er i udgangspunktet op til organisationen selv at vurderer.
Det Europæiske Databeskyttelsesråd (EDPB) og Datatilsynet har fastlagt nogle retningslinjer for hvornår en behandling har høj risiko. Der tages udgangspunkt i om behandlingen passer en eller flere af følgende kriterier:
- Evaluering eller scoring – herunder profilering og forudsigelse af adfærd.
- Automatiske afgørelser med retlig eller tilsvarende virkning.
- Systematisk overvågning.
- Følsomme oplysninger eller oplysninger af meget personlig karakter.
- Behandling i stort omfang.
- Matching eller kombinering af datasæt.
- Oplysninger om sårbare registrerede.
- Innovativ brug eller anvendelse af ny teknologi.
- Behandling, der forhindrer registrerede i at udøve en rettighed eller anvende en tjeneste.
Udgangspunktet er, at hvis mindst to af disse kriterier er opfyldt, skal der udarbejdes en DPIA.
Datatilsynet har tillige offentliggjort en positivliste med behandlingsaktiviteter, der altid kræver DPIA.
Udløser AI altid krav om en konsekvensanalyse?
Typisk ja. AI er omfattet af kriteriet om ny teknologi. Dermed skal der blot et yderligere kriterie til, før behandlingen udløser krav om udarbejdelse af en DPIA. Det vil efter Datatilsynets opfattelse typisk være tilfældet. Årsagen er, at udvikling eller drift af AI ofte medfører (1) behandling af følsomme oplysninger, (2) behandling af oplysninger om sårbare personer eller (3) behandling i stort omfang.
I udgangspunktet vil langt de fleste AI-løsninger nok opfylde en af disse kriterier. Det er de færreste AI-løsninger med bare lidt reel betydning for organisationen, der ikke behandler personlysninger i stort omfang. Eksempelvis den stigende brug af AI-agenter, der interagerer med forskellige dele af virksomhedens øvrige systemer.
Men omvendt vil simple AI-løsninger måske ikke være omfattet. Vil f.eks. brugen af en simpel AI-løsning til at spørge på virksomhedens håndbøger eller andet være omfattet? Der vil nok blive behandlet personoplysninger – men næppe altid i stort omfang eller med høj følsomhed.
Der bør derfor altid foretages en konkret vurdering, inden AI-løsningen tages i brug.
Hvad skal du gøre, hvis I bruger en AI til at behandle personoplysninger?
I kommer næppe udenom en DPIA for AI-løsninger. Mange organisationer overser eller ignorer kravet – men det vil typisk være en forudsætning for lovlig anvendelse af AI.
Det er dog en god idé at starte med en simpel vurdering. Behandles der persondata? Hvis ja, hvor meget, hvordan, hvor meget og hvor følsomt? Det kan godt tænkes, at vurderingen fører til, at man slipper for at udarbejde en DPIA.
Skal der laves en DPIA, bør det tages seriøst. Det er en større proces. Men med lidt effektiv projektstyring og sammensætning af de rigtige ressourcer, internt og eksternt, og på tværs af organisationen, kan et faktisk godt lade sig gøre.
Selve øvelsen med at undersøge AI-løsningen bør dog aldrig springes over. Selv hvor en DPIA ikke er nødvendig, bør der foretages nogle af de samme undersøgelser. F.eks. for at afklare, om det er en public eller private AI.
En DPIA kan også være en konkurrencefordel. Leverandøren af en AI-løsning kunne med fordel lave sig egen DPIA baseret på systemet opbygning og typiske brug. Så kunne kunderne bygge videre på den. Det ville lette processen betydeligt for kunderne – og gøre løsningen væsentligt mere attraktiv en konkurrentens.
Er du med medlem af IT-Branchen? Så kan du få gratis rådgivning
Som medlem af IT-Branchen kan du altid gratis kontakte vores samarbejdspartner HortenDahl fx om dette emne. Den telefoniske rådgivning om erhvervsjura er ubegrænset og gratis for dig som medlem. De første 4 timers skriftligt advokatarbejde per sag er også gratis.