Med den snabba utvecklingen inom artificiell intelligens (AI) ställs företag inför både stora möjligheter och utmaningar. GDPR (General Data Protection Regulation) har satt en tydlig ram för hur personuppgifter får hanteras inom EU, och påverkar därmed hur AI-system kan utvecklas och användas. Men vad innebär detta i praktiken, och hur kan företag förhålla sig till regelverket utan att bromsa innovationen?
GDPRs grundprinciper och AIs datahungriga natur
AI-modeller är ofta beroende av stora mängder data, inklusive personuppgifter, för att kunna lära sig och dra korrekta slutsatser. Till exempel behöver en träffsäker AI-modell för kundservice först tillgång till data som speglar verkliga mänskliga interaktioner för att lära sig om mänskliga mönster, beteenden, dialekter och uttryck. Ett brett spektrum av data från olika individer hjälper AI-modellen att öka sin förmåga att generalisera och förstå kontextuella nyanser. Samtidigt sätter GDPR strikta regler för insamling, lagring och bearbetning av personuppgifter. Detta skapar en konflikt mellan AI-modellens behov av data och GDPRs krav, till exempel när det gäller principerna om transparens, ändamålsbegränsning och uppgiftsminimering. Det finns flera krav i GDPR som är av betydelse för AI men i det följande fokuserar vi på dessa tre.
Proaktivt arbete för ökad transparens
Att uppfylla transparenskraven i GDPR när det kommer till personuppgiftsbehandling i AI-system är svårt i praktiken och innebär en komplex utmaning för företag. För att följa GDPR måste företag kunna förklara hur AI-modeller och AI-system hanterar personuppgifter och fattar beslut. AI-modellernas interna beslutsprocesser är dock ofta svåra att tolka och insynen ofta begränsad, vilket gör det utmanande att förmedla begriplig information om hur personuppgifter används och hur beslut som påverkar enskilda individer fattas.
Ett sätt att säkerställa transparens är att tillämpa principerna om ”Privacy by Design” och ”Privacy by Default”, vilka GDPR föreskriver. Ett transparent AI-system måste från början vara designat för att ge individer klar och tydlig information om hur deras data behandlas och vilka konsekvenser detta kan få för dem som individer. Dataskydd ska vara inbyggt i AI-systemets arkitektur. För att undvika merarbete bör företag ha ett proaktivt förhållningssätt till dataskydd i alla verksamhetsled, oavsett grad av mognad i en aktuell produkt eller tjänst.
Ändamålsbegränsning i en dynamisk situation
Eftersom AI-modeller ofta är dynamiska och har kapacitet att analysera data på nya sätt, är det svårt för företag att förutse alla möjliga syften med databehandlingen redan från början. Detta står i kontrast mot kraven i GDPR om att endast använda personuppgifter för specifika, tydligt angivna och legitima ändamål. Det tidigare nämnda behovet av att ge AI-modellen tillgång till stora mängder data för träning innebär en risk för att personuppgifter används utanför sitt ursprungliga syfte, vilket innebär att företag måste vara noggranna med att undvika ”ändamålsglidning” där insamlade personuppgifter återanvänds för nya syften utan att en ny rättslig grund finns för användningen.
För att möta kraven på ändamålsbegränsning bör företag tidigt i utvecklingsprocessen fastställa tydliga syften för personuppgiftsbehandling och begränsa mängden insamlade personuppgifter till vad som är nödvändigt för dessa syften. Det är viktigt att ha transparens gentemot individen om hur deras data kommer att användas och att vara beredd att inhämta nytt samtycke, eller finna en annan rättslig grund, om ändamålen förändras. Att utföra regelbundna konsekvensbedömningar av dataskydd (DPIA) kan vara ett effektivt verktyg för att säkerställa att GDPR-kraven efterlevs.
Uppgiftsminimering vs. AI-modellens prestanda
I ljuset av att AI-modeller ofta kräver stora mängder data för att tränas och leverera korrekta resultat uppstår omedelbart svårigheter med att följa krav på uppgiftsminimering i GDPR. GDPR kräver att företag endast behandlar de personuppgifter som är nödvändiga för ett specifikt ändamål, men i samband med träning av AI-modeller tenderar företag att samla in och behandla mer data, inklusive personuppgifter, än vad som kanske är absolut nödvändigt.
För att uppfylla uppgiftsminimeringskraven bör företag noggrant överväga vilka specifika personuppgifter som krävs för att uppnå AI-systemets syfte och undvika att samla in data som kan anses överflödig. En datastyrningsstrategi som inkluderar tydliga syften för datainsamling och behandling är rekommenderad, tillsammans med tekniker som anonymisering och pseudonymisering för att minska riskerna. På detta sätt kan företag balansera behovet av tillräckliga mängder data för AI-modellernas prestanda samtidigt som de följer kravet om uppgiftsminimering i GDPR.
Till sist…
Har ni frågor som rör AI och GDPR är ni välkomna att kontakta oss på Bergenstråhle. Vi har kompetens inom GDPR och bistår gärna med svar på era funderingar!