Spør oss om AI: Betydningen av godt personvern

Det stilles mange regulatoriske krav til bruk og utvikling av AI, og personvern blir ofte fremhevet som et av de aller viktigste – med god grunn. Personvernreglene gjelder for all bruk av personopplysninger. Personopplysninger brukes ofte både i datasett for utvikling og trening av en algoritme og til behandling etter at en AI er tatt i bruk for å løse en oppgave.

Hvordan personopplysninger blir representert varierer avhengig av hva slags AI-applikasjon som utvikles eller brukes. Opplysningene kan for eksempel være en del av tekstmaterialet som brukes i en språkmodell, bilder som brukes til bildegjenkjenning, eller opplysninger om mennesker i et datasett som brukes til å gjøre prediksjoner.

Alle som skal utvikle eller bruke AI bør være klar over om prosessen involverer personopplysninger. Gjør den det, er det viktig å finne ut av hvordan personvernregelverket kan overholdes – det er nemlig ikke nødvendigvis helt rett frem.

For å sikre tillit til de vi behandler personopplysninger om, og i samfunnet for øvrig, er overholdelse av kravene til personvern helt avgjørende. En virksomhet som tar personvern på alvor oppleves som ansvarlig og trygg og vil få konkurransefordeler i markedet, enten de selger eller bruker AI i en tjeneste.

Årene som kommer vil være preget av økt konkurranse for alle virksomheter, og tillit og compliance vil være avgjørende for å klare å hevde seg. Bedrifter som har personvern og AI på agendaen, og som evner å kombinere disse, vil utvilsomt ha en bedre posisjon både nå og i fremtiden.

Når AI-løsninger skal settes ut i live og implementeres i virksomheten kan utfordringer komme til syne.

Skal vi utvikle og ta i bruk en egen AI-løsning blir utfordringen hvordan vi selv kan sørge for at personvernet blir ivaretatt gjennom hele denne prosessen – fra utvikling og helt frem til den endelige løsningen blir tatt i bruk. Skaffer vi en AI-løsning fra en tredjepart blir utfordringen hvordan vi kan sørge for at løsningen vi velger og leverandøren av denne overholder nødvendige krav til personvern, både lovregulerte og som er i tråd med den aktuelle virksomhetens krav. 

Heldigvis finnes det gode råd og veiledninger til hvordan personvern trygt kan ivaretas i et AI-prosjekt. Vår første anbefaling er å jobbe etter prinsippene for innebygget personvern. Disse er sentrale regler gitt i personvernforordningen og stiller krav til at det skal tas hensyn til personvernet i alle utviklingsfaser av et AI-prosjekt – hele veien fra idé til løsning. Jobber vi etter disse prinsippene kan vi i tillegg unngå kostbare endringer underveis eller etter at løsningen er ferdig utviklet.

Noen eksempler på innebygget personvern kan være:

-       Bruk av syntetiske eller anonymiserte data der det lar seg gjøre

-       Å lage funksjonalitet for å forklare et resultat en algoritme har kommet til – for eksempel at et verktøy som brukes til å detektere føflekkreft ved sykehus har funksjonalitet for å forklare hvorfor et funn er blitt klassifisert som positivt, såkalt «explainable AI»

-       Å velge en maskinlæringsteknikk som er minst mulig inngripende for personvernet, men som samtidig gjør at vi oppnår formålet med prosjektet, for eksempel ved å bruke enklere modeller fremfor store nevrale nettverk som trenger tilgang til svært mye data

Det bør også gjøres en personvernkonsekvensvurdering (DPIA) om det kan være høy risiko knyttet til ivaretakelse av personvernet. Dette er ofte tilfelle ved bruk av ny og innovativ teknologi. En DPIA er nyttig for å identifisere hvilke personvernrisikoer det må tas hensyn til i arbeidet med innebygget personvern.

Et siste tips er å gjøre seg kjent med Datatilsynets regulatoriske sandkasse sine råd og anbefalinger. Den regulatoriske sandkassen er et prosjekt startet av Datatilsynet som skal stimulere til personvernvennlig innovasjon og digitalisering der Datatilsynet hjelper enkeltaktører med å følge regelverket og utvikle løsninger med godt personvern.

Kort forklart har vi en sjekkliste på fem punkter du bør vurdere for å sikre at du har personvernkrav under kontroll:

1.    Skaff deg oversikt. Vil det bli behandlet personvernopplysninger i løsningen du skal utvikle og/eller bruke?

2.    Gjennomfør en personvernkonsekvensvurdering (DPIA) hvis det sannsynligvis er høy risiko for personvern i AI-prosjektet

3.    Bruk prinsippene for innebygget personvern for å sørge for ivaretakelse av personvernkrav og risikoer fra idé til endelig produkt

4.    La hensyn til personvern være en faktor i valg av leverandør ved anskaffelse av AI-løsninger fra tredjepart

5.    Husk andre krav etter personvernregelverket slik som behandlingsgrunnlag, databehandleravtaler, behandlingsprotokoll og personvernerklæring 

KPMGs personvernjurister har lang erfaring med å sørge for ivaretakelse av krav til personvern ved utvikling og bruk av ny teknologi. Ikke nøl med å kontakte oss for en prat, så setter vi deg i kontakt med den riktige kompetansen.