GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Kunstig intelligens (AI)

Behandling af personoplysninger i forbindelse med udvikling og anvendelse af kunstig intelligens

Der er flere ting at overveje for virksomheder, når de behandler personoplysninger i forbindelse med udvikling og brug af kunstig intelligens. 

Hvad er kunstig intelligens (AI)?

Kunstig intelligens (AI) er en maskines evne til at vise menneskelige træk. For eksempel ræsonnement, planlægning, at være kreativ og andre ting, der har krævet menneskelig intelligens. AI er ikke nødvendigvis noget nyt, men har eksisteret i lang tid i brancher som medicin. Det er imidlertid blevet mere tilgængeligt, og i dag har mange mennesker adgang til AI-modeller, som mange bruger i deres hverdag. Der er mange fordele ved AI, men der er også ulemper og udfordringer. 

Personuppgifter som rör fällande domar i brottmål

Definition af personoplysninger

Når det er muligt at knytte en data til en fysisk levende person, repræsenterer den personoplysninger. Det er ligegyldigt, om det er muligt at forbinde direkte, f.eks. gennem et navn eller CPR-nummer, men også når det er muligt at forbinde tusindvis, f.eks. gennem en bagdørsidentifikation. Desuden er der en forskel mellem personoplysninger af subjektiv og objektiv karakter. Generelt anses personoplysninger af subjektiv karakter for at være vigtigere, hvilket betyder, at de er underlagt strengere regler. 

Eksempler på personoplysninger

  • Navn
  • Personaleidentifikationsnummer
  • Telefonnummer
  • Billeder og lydoptagelser, hvor en person kan identificeres
  • Sporbare cookies

Jo vigtigere personoplysningerne er, jo strengere er kravene

Jo vigtigere personoplysningerne er, jo strengere er kravene i GDPR. Det kan f.eks. påvirke de tekniske og organisatoriske sikkerhedsforanstaltninger, som virksomheden skal træffe for at beskytte oplysningerne. Der er fire grupper af privatlivsfølsomme data, der betragtes som særligt vigtige. En af grupperne er følsomme personoplysninger såsom oplysninger om religion, politiske holdninger og fagforeningsmæssigt tilhørsforhold, som er specifikt reguleret i databeskyttelsesforordningens artikel 9. En anden af grupperne er subjektivt privatlivsfølsomme personoplysninger, såsom kreditkortoplysninger. 

Forskellige ting at overveje, når man behandler personoplysninger i forbindelse med udvikling og brug af kunstig intelligens

Der er flere ting, der kan være vigtige at overveje, når man udvikler og bruger kunstig intelligens i forhold til GDPR. 

Forordningen om kunstig intelligens

Forordningen om kunstig intelligens i EU er en generel forordning om kunstig intelligens (AI) i Unionen. Målet er at skabe et sikkert og etisk bæredygtigt miljø for innovation i EU og samtidig beskytte borgernes rettigheder og frihedsrettigheder. 

Dele af forordningen om kunstig intelligens er allerede begyndt at træde i kraft, men i 2026 vil hele forordningen om kunstig intelligens i princippet finde anvendelse.

Risikobaseret tilgang

Forordningen om kunstig intelligens opdeler risici i fire kategorier: begrænset risiko, høj risiko, begrænset risiko og minimal risiko. Hvis et AI-system er kvalificeret til opfattet risiko, er AI-systemet ikke tilladt. 

Uacceptabel risiko

AI-modeller, der opfylder kriterierne for forholdsmæssig risiko i henhold til AI-forordningen, er forbudt. Der kan dog være undtagelser, f.eks. med henblik på retshåndhævelse. Eksempler på en AI-model med forholdsmæssig risiko er sociale scoringer.

Høj risiko

Disse AI-modeller kan have en negativ indvirkning på menneskers og samfundets sikkerhed. Alternativt borgernes grundlæggende rettigheder. Sådanne modeller vil blive vurderet, inden de kommer ind på markedet, og også i løbet af deres livscyklus.

Begrænset risiko

Såkaldt "generativ kunstig intelligens" klassificeres i de fleste tilfælde som AI-modeller med begrænset risiko. Det gælder f.eks. chat GPT. Disse systemer skal bl.a. overholde EU's krav om ophavsret og gennemsigtighed. Bemærk, at kraftig generativ kunstig intelligens skal gennemgå mere omfattende undersøgelser, hvis de kan udgøre systemiske risici.

Minimumsrisiko

Der er ingen obligatoriske krav i forordningen om kunstig intelligens for AI-modeller med minimal risiko, som der er for de øvrige risici. Bemærk dog, at der kan være andre love, der pålægger obligatoriske krav.

Ansvar for personoplysninger

Den virksomhed, der bestemmer midlerne og formålene med behandlingen af personoplysninger, er den dataansvarlige. Det er virksomheden, der bestemmer, hvordan og hvorfor behandlingen skal finde sted, men det behøver ikke nødvendigvis at være den virksomhed, der udfører behandlingen i praksis. Det er muligt at overlade udførelsen af selve behandlingen, men ikke ansvaret for den. Hvis en virksomhed behandler personoplysninger på vegne af en anden virksomhed, er den databehandler. 

Eksempler på roller i udviklingen og anvendelsen af AI-modeller

Measures that companies need to take to comply with GDPR
Den registeransvarlige

En virksomhed bestiller et fuldt udviklet AI-system, hvor de selv kan bestemme formålet med behandlingen, da det ikke er bygget til et bestemt formål. I sådanne tilfælde er virksomheden dataansvarlig.

What is the definition of anonymised data?
Forarbejdningsvirksomhed

En virksomhed arbejder på at udvikle systemer til andre virksomheder og er motiveret til at udvikle en AI-model. Det er virksomheden, der bestiller systemet, der afgør formålet med behandlingen og derfor er dataansvarlig. Den virksomhed, der udvikler AI-systemet, er en processor, da de behandler personoplysninger på vegne af en anden i henhold til instruktioner.

Fælles dataansvarlige

To virksomheder ønsker at udvikle et AI-system for at strømline deres arbejde, men da det kan være dyrt at gøre det, vælger to virksomheder at gøre det sammen for at reducere omkostningerne. Med andre ord samarbejder de om at udvikle systemet til et fælles formål, og de er således fælles dataansvarlige.

Grundlæggende databeskyttelsesprincipper

Virksomheder skal altid overholde de syv (7) grundlæggende databeskyttelsesprincipper i GDPR, når de behandler personoplysninger. Hvis udviklingen eller anvendelsen af en AI-model indebærer behandling af personoplysninger, finder GDPR og principperne anvendelse.  

To principper, der er vanskelige at følge ved behandling af personoplysninger i forbindelse med udvikling og brug af kunstig intelligens
Princippet om formålsbegrænsning

Virksomheder må kun behandle personoplysninger, hvis formålet er specifikt, udtrykkeligt og berettiget. Hvis en virksomhed behandler personoplysninger til et bestemt formål, men senere ønsker at bruge de samme personoplysninger til at udvikle en AI-model, kan det være vanskeligt at overholde kravene i princippet om formålsbegrænsning. Dette kan dog tillades, hvis den nye behandling er forenelig med det oprindelige formål.

Princippet om dataminimering

Virksomheder må ikke behandle flere personoplysninger end nødvendigt for formålet med behandlingen. I machine learning får modellen normalt bedre resultater, jo flere data den er blevet trænet med. Dette kan være en udfordring i forhold til princippet om dataminimering, da der er risiko for, at der behandles for mange personoplysninger for at forsøge at opnå det bedst mulige resultat.

Diskriminerende algoritmer

Hvis en AI-model er partisk, kan den diskriminere mod visse enkeltpersoner eller grupper af personer. I nogle tilfælde kan dette være vanskeligt at opdage, og det er derfor vigtigt konstant at teste AI-modellen for at sikre, at den ikke er diskriminerende. 

Diskriminerende algoritmer er i strid med princippet om retfærdighed

Retfærdighedsprincippet betyder, at behandlingen af personoplysninger er rimelig, rimelig og rimelig. Desuden skal den være forholdsmæssig. Hvis behandlingen er diskriminerende, er det ikke fair behandling og derfor i strid med rimelighedsprincippet. Det er imidlertid vigtigt at træffe tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre, at algoritmer ikke diskriminerer. 

Retsgrundlag for behandling af personoplysninger i forbindelse med udvikling og anvendelse af kunstig intelligens

Enhver individuel behandling af personoplysninger kræver et retsgrundlag, der skal godkendes. GDPR har seks (6) retsgrundlag, men kun tre af dem er egnede til udvikling og anvendelse af AI-modeller. Det korrekte retsgrundlag afhænger af situationen og omstændighederne. 

Her er tre retsgrundlag, der kan være hensigtsmæssige at anvende i forbindelse med udvikling og anvendelse af AI-modeller:
Sensitive personal data according to GDPR
Samtykke

Når der udvikles en AI-model, kan det være vanskeligt at anvende samtykke som retsgrundlag, da det kan være administrativt byrdefuldt. Betingelserne er dog bedre, når der anvendes en AI-model.

What is the definition of anonymised data?
Opfyldelse af en kontrakt med den registrerede

Virksomheder kan behandle de personoplysninger, der er nødvendige for indgåelse og opfyldelse af en kontrakt. For eksempel skal sælgere, der driver en e-handelsvirksomhed, behandle kundernes navne og adresser for at levere produkterne til dem. Det er usædvanligt at anvende kontrakter med registrerede som retsgrundlag i udviklingen af AI-modeller, men det er så meget desto mere almindeligt at anvende, hvis det drejer sig om anvendelsen af en allerede trænet AI-model.

Subjektivt integritetskänsliga personuppgifter
Legitim interesse

Legitim interesse er det mest fleksible retsgrundlag og anvendes ofte af virksomheder. For at afgøre, om en virksomhed har en legitim interesse i behandling, dvs. at virksomhedens interesse vejer tungere end den registreredes interesse, skal virksomheden foretage en vurdering af den legitime interesse. I nogle tilfælde kan dette retsgrundlag tillades i forbindelse med anvendelse og udvikling af AI-modeller i visse typer situationer, men ikke altid.

Ret til information

En af de rettigheder, som registrerede har i henhold til GDPR, er retten til information. Det betyder, at de bør informeres om behandlingen. For eksempel formålet med behandlingen, retsgrundlaget, om en anden kan få adgang til personoplysningerne, opbevaringens varighed og hvilke rettigheder de registrerede har osv. Disse oplysninger skal angives i en meddelelse om beskyttelse af personoplysninger, som virksomheden helst skal offentliggøre på sit officielle websted.

Automatiseret beslutningstagning

Hvis en AI-model træffer en beslutning om en person, uden at en fysisk person er involveret i beslutningstagningen, er det et spørgsmål om automatiseret beslutningstagning. I GDPR er der særlige regler for behandling i forbindelse med automatiseret beslutningstagning. Ifølge hovedreglen er sådanne processer forbudt, men der er undtagelser. Det er f.eks. tilladt, hvis den registrerede giver sit udtrykkelige samtykke, eller hvis det er nødvendigt for opfyldelsen af en kontrakt. 

Vanskeligheder med at opfylde oplysningspligten i henhold til GDPR i forbindelse med automatiseret beslutningstagning

Hvis en virksomhed ønsker at anvende en AI-model til at strømline sin beslutningstagning, er det godt, hvis den også kan gennemføres med en kombination af en menneskelig indsats, således at reglerne om automatiseret beslutningstagning ikke finder anvendelse. Med andre ord, at en fysisk person er den, der i sidste ende træffer beslutningen, men kan have taget hjælp fra et AI-værktøj. 

Deep learning og maskinlæring

For at skabe en AI-model skal systemet trænes med data gennem en algoritme, så det resulterer i en matematisk model. Matematisk model er et andet ord for AI-model. 

Maskinlæring

Et system, der kan efterligne menneskelig intelligens ved at lære af erfaring. Med andre ord en proces for computere til at udvikle evnen til at adskille og tilpasse sig en opgave, selvom den ikke er programmeret specielt til det.

Dyb læring

Deep learning handler om at opbygge en AI-model, så den efterligner det neuronale netværk i den menneskelige hjerne. Det er en form for machine learning.

Uddannelse af AI-modeller

Det er vigtigt at forsyne en AI-model med træningsdata, så den kan opnå de bedst mulige resultater. Hovedreglen er, at jo flere data, jo bedre resultater producerer det normalt. Men det er ikke altid tilfældet. Det er vigtigt, at oplysningerne er relevante.

GDPR kræver, at virksomheder ikke behandler flere personoplysninger end nødvendigt til formålet, og det er derfor vigtigt at analysere, hvilke træningsdata AI-modellen bør modtage, for ikke at behandle flere personoplysninger end nødvendigt, hvis dataene indeholder personoplysninger.

Forskellige træningsmetoder for AI-modeller

Der findes forskellige træningsmetoder for AI-modeller. 

Measures that companies need to take to comply with GDPR
Overvåget læring

AI-modellen får mærket data, så den kan genkende det samme selv. For eksempel tusindvis af billeder af både, der skal bruges til at genkende både.

Subjektivt integritetskänsliga personuppgifter
Læring uden opsyn

Algoritmer lærer at finde mønstre uden forudbestemte svar. Med andre ord anvendes umærkede data til træning af AI-modellen.

What is the definition of anonymised data?
Styrkelse af læringen

Ved at værdsætte handlinger positivt og negativt baseret på slutresultatet eller målet kan forstærkningslæring føre til, at en AI-model opdager, hvilke handlinger der fører til slutresultatet.

Sensitive personal data according to GDPR
Halvovervåget læring

Gennem semi-overvåget læring anvendes en kombination af både overvåget og uovervåget læring.

Læs mere om GDPR

Skab en god databeskyttelsesstruktur for at optimere resultaterne med GDPR

Jo større virksomheden er, jo bedre er databeskyttelsesstrukturen normalt påkrævet. 

Vil du lære mere?

Læs mere
Scroll to Top