Personvern og AI: Ikke nødvendigvis helt rett frem
Debatt: Det stilles mange regulatoriske krav til bruk og utvikling av AI, og personvern blir ofte fremhevet som et av de aller viktigste – med god grunn.
Hvordan personopplysninger blir representert varierer avhengig av hva slags AI-applikasjon som utvikles eller brukes. Opplysningene kan for eksempel være en del av tekstmaterialet som brukes i en språkmodell, bilder som brukes til bildegjenkjenning, eller opplysninger om mennesker i et datasett som brukes til å gjøre prediksjoner.
Alle som skal utvikle eller bruke AI bør være klar over om prosessen involverer personopplysninger. Gjør den det, er det viktig å finne ut av hvordan personvernregelverket kan overholdes – det er nemlig ikke nødvendigvis helt rett frem.
Er personvern og AI en dårlig kombinasjon?
Et gjennomgående dilemma er om GDPR, altså det sentrale regelverket for behandling av personopplysninger, lar seg forene med bruken av kunstig intelligens. GDPR gir blant annet regler om at det ikke skal brukes mer personopplysninger enn nødvendig, at de ikke fritt kan brukes til andre formål enn de ble samlet inn for, at de skal være korrekte og brukes på en rettferdig måte og at hver enkelt skal kunne forstå hvordan deres personopplysninger behandles.
Kravene kan være vanskelige å oppfylle i kombinasjon med mange former for AI. Det kan blant annet handle om at vi må bruke store mengder data, at dataen kan være samlet inn for andre formål enn noe AI-relatert, at det er utfordrende å forklare hvordan en AI fungerer eller at det er en risiko for at bruken av AI kan ha diskriminerende resultater.
Et eksempel på sistnevnte er da Amazon skulle bruke en algoritme for å velge ut kandidater i en ansettelsesprosess. Fordi de som tidligere hadde blitt ansatt hovedsakelig var menn, foretrakk algoritmen CV-er fra menn fremfor kvinner.
Godt personvern har mange fordeler
Bedrifter som har personvern og AI på agendaen, og som evner å kombinere disse, vil utvilsomt ha en bedre posisjon både nå og i fremtiden.
For å sikre tillit til de vi behandler personopplysninger om, og i samfunnet for øvrig, er overholdelse av kravene til personvern helt avgjørende. En virksomhet som tar personvern på alvor oppleves som ansvarlig og trygg og vil få konkurransefordeler i markedet, enten de selger eller bruker AI i en tjeneste.
Årene som kommer vil være preget av økt konkurranse for alle virksomheter, og tillit og compliance vil være avgjørende for å klare å hevde seg. Bedrifter som har personvern og AI på agendaen, og som evner å kombinere disse, vil utvilsomt ha en bedre posisjon både nå og i fremtiden.
Utfordringene kommer når teori skal bli til praksis
Når AI-løsninger skal settes ut i live og implementeres i virksomheten kan utfordringer komme til syne.
Skal vi utvikle og ta i bruk en egen AI-løsning blir utfordringen hvordan vi selv kan sørge for at personvernet blir ivaretatt gjennom hele denne prosessen – fra utvikling og helt frem til den endelige løsningen blir tatt i bruk. Skaffer vi en AI-løsning fra en tredjepart blir utfordringen hvordan vi kan sørge for at løsningen vi velger og leverandøren av denne overholder nødvendige krav til personvern, både lovregulerte og som er i tråd med den aktuelle virksomhetens krav.
Tips til å sikre overholdelse av personvernkrav
Heldigvis finnes det gode råd og veiledninger til hvordan personvern trygt kan ivaretas i et AI-prosjekt. Vår første anbefaling er å jobbe etter prinsippene for innebygget personvern. Disse er sentrale regler gitt i personvernforordningen og stiller krav til at det skal tas hensyn til personvernet i alle utviklingsfaser av et AI-prosjekt – hele veien fra idé til løsning. Jobber vi etter disse prinsippene kan vi i tillegg unngå kostbare endringer underveis eller etter at løsningen er ferdig utviklet.
Noen eksempler på innebygget personvern kan være:
- Bruk av syntetiske eller anonymiserte data der det lar seg gjøre
- Å lage funksjonalitet for å forklare et resultat en algoritme har kommet til – for eksempel at et verktøy som brukes til å detektere føflekkreft ved sykehus har funksjonalitet for å forklare hvorfor et funn er blitt klassifisert som positivt, såkalt «explainable AI»
- Å velge en maskinlæringsteknikk som er minst mulig inngripende for personvernet, men som samtidig gjør at vi oppnår formålet med prosjektet, for eksempel ved å bruke enklere modeller fremfor store nevrale nettverk som trenger tilgang til svært mye data
Det bør også gjøres en personvernkonsekvensvurdering (DPIA) om det kan være høy risiko knyttet til ivaretakelse av personvernet. Dette er ofte tilfelle ved bruk av ny og innovativ teknologi. En DPIA er nyttig for å identifisere hvilke personvernrisikoer det må tas hensyn til i arbeidet med innebygget personvern.
Et siste tips er å gjøre seg kjent med Datatilsynets regulatoriske sandkasse sine råd og anbefalinger. Den regulatoriske sandkassen er et prosjekt startet av Datatilsynet som skal stimulere til personvernvennlig innovasjon og digitalisering der Datatilsynet hjelper enkeltaktører med å følge regelverket og utvikle løsninger med godt personvern.
Kort forklart har vi en sjekkliste på fem punkter du bør vurdere for å sikre at du har personvernkrav under kontroll:
- Skaff deg oversikt. Vil det bli behandlet personvernopplysninger i løsningen du skal utvikle og/eller bruke?
- Gjennomfør en personvernkonsekvensvurdering (DPIA) hvis det sannsynligvis er høy risiko for personvern i AI-prosjektet
- Bruk prinsippene for innebygget personvern for å sørge for ivaretakelse av personvernkrav og risikoer fra idé til endelig produkt
- La hensyn til personvern være en faktor i valg av leverandør ved anskaffelse av AI-løsninger fra tredjepart
- Husk andre krav etter personvernregelverket slik som behandlingsgrunnlag, databehandleravtaler, behandlingsprotokoll og personvernerklæring
Innlegget ble først publisert på KPMG sine sider.