Anvendelse af kunstig intelligens i et dataretligt lys

Skrevet af

jesper langemark Module
Jesper Langemark

Partner
Danmark

Som partner i vores internationale Tech & Comms-sektorgruppe i Danmark har jeg stor erfaring og ekspertise inden for de juridiske konsekvenser af teknologi og datadrevet innovation. Jeg leverer juridisk rådgivning til it-virksomheder om en bred vifte af it-relaterede spørgsmål samt vedrørende IP- og databeskyttelsesaspekterne af nye disruptive teknologier.

camilla schack Module
Camilla Schack

Associate
Danmark

Jeg er advokat I vores danske persondatataretsteam, hor jeg rådgiver om databeskyttelsesret og e-privacy

Kunstig intelligens (AI) er i konstant udvikling, og det kan være en udfordring at følge med i, hvad der er muligt, tilladt, og hvor grænserne går. Mens vi venter på klare retningslinjer fra EU-Kommissionen, har Datatilsynet udarbejdet en vejledning specifikt rettet mod offentlige myndigheders brug af kunstig intelligens. Vejledningen fokuserer især på at sikre overholdelse af databeskyttelsesreglerne i hele processen fra udvikling til brug af en AI-løsning, uden at bremse udviklingshastigheden, men samtidig sikre sikker behandling af borgernes personoplysninger.

I forbindelse med brug af AI som støtte i sagsbehandlingen er det afgørende at overholde centrale principper som dataminimering og formålsbegrænsning. Disse principper er afgørende for en demokratisk og hensigtsmæssig teknologisk udvikling og har til formål at skabe tillid til myndigheder gennem respekt for rettigheder og beskyttelse af data. 

Vejen til at bruge AI som beslutningsstøtte kræver særlig opmærksomhed for at undgå såkaldt "automation bias," hvor systemets vurdering vægtes højere end menneskers. Et klart lovgrundlag er nødvendigt, hvis myndigheder ønsker at træffe automatiske beslutninger, og det er afgørende, at mennesker har autoritet til at tilsidesætte systemets anbefalinger.

Databeskyttelse i AI-løsningens livscyklus

AI skal være i besiddelse af data for at kunne resonere sig frem til den mest korrekte løsning. Hvis det er en offentlig myndighed, som skal anvende AI, vil den tilgængelige data og formålet med AI typisk basere sig på oplysninger fra borgere. For at skabe et overblik over, hvornår og hvordan beskyttelse af personoplysninger skal tænkes ind, kan man tale om, at AI har en livscyklus, som overordnet består af 3 faser. Faserne vil i det følgende blive beskrevet med fokus på, hvordan borgernes informationer beskyttes gennem hele processen – fra start til slut.

1. Afgrænsnings- og designfasen

Denne fase fokuserer på at identificere formålet med AI-løsningen og bestemme, hvilke typer personoplysninger der skal anvendes og i hvilket omfang. Det er afgørende at overveje, hvordan en løsning med brug af alene de oplysninger, der er nødvendige kan udvikles.

I denne fase skal offentlige myndigheder besvare to grundlæggende spørgsmål:
Hvilket formål skal løsningen tjene?
Hvilke personoplysninger vil blive behandlet?

Der skal foreligge et udtrykkeligt angivet og legitimt formål. Derudover skal man som offentlig myndighed altid være opmærksom på de øvrige krav, der følger af databeskyttelsesreglerne – herunder kravet om at sikre proportionalitet igennem hele løsningen.

2. Udviklings- og træningsfasen

Under udviklingen benyttes typisk allerede eksisterende træningsdata. I denne fase træffes beslutninger, og AI-modellen vurderes og justeres for b.la. at sikre dens statistiske rigtighed og generaliserbarhed.

Behandling af personoplysninger til udvikling og træning af løsningen anses som et separat formål ifølge Datatilsynet, adskilt fra de formål, der følger i driftsfasen.

Som en del af fasen afklares det, hvilke lovregler mv. der forpligter eller bemyndiger den konkrete myndighed, hvorfor fokus i første omgang er mindre på databeskyttelse. Derefter skal det vurderes, om lovgrundlaget er tilstrækkeligt klart og præcist til at danne grundlag for udviklingen af AI-løsningen.

3. Driftsfasen 

I den sidste fase tages den udviklede AI-løsning i brug, baseret på sammenhænge og mønstre fra træningsdata. Det er afgørende at sikre løbende monitorering for at opretholde retvisende output. 

Uanset om AI-løsningen støtter en eksisterende myndighedsopgave eller en ny, medfører anvendelsen typisk risici for borgernes informationer. Når AI-løsningen går i drift, skal myndigheden have et behandlingsgrundlag for håndtering af personoplysninger. Dette grundlag kan findes i databeskyttelsesforordningens artikel 6, stk. 1. 

Offentlige myndigheder behandler typisk personoplysninger for at overholde en retlig forpligtelse, eller med henblik på at udføre en opgave i samfundets interesse eller som led i sin offentlige myndighedsudøvelse. Behandlingen skal i disse tilfælde have et supplerende retsgrundlag i EU-retten eller dansk ret. 

Sikring af borgernes data og overholdelse af databeskyttelsesreglerne er afgørende for en ansvarlig og effektiv anvendelse af kunstig intelligens. Hold dig opdateret på nyheder om regulering af AI hos Bird & Bird. 

Find vejledningen her: Offentlige myndigheders brug af kunstig intelligens: Inden I går i gang (datatilsynet.dk) 

 

Seneste nyheder

Vis mere
NIS 2 sikkerhedskrav

Hvad indebærer det nye danske NIS 2 lovforslag – webinar forklarer de centrale juridiske krav

okt 02 2024

Læs mere
NIS 2 sikkerhedskrav

NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?

sep 10 2024

Læs mere

Principiel dom om fortolkning af ansvarsbegrænsningsklausul

aug 09 2024

Læs mere