GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Kunstig intelligens (AI)

Behandling av personopplysninger i forbindelse med utvikling og bruk av kunstig intelligens

Det er flere ting å vurdere for bedrifter når de behandler personopplysninger i utvikling og bruk av kunstig intelligens. 

Hva er kunstig intelligens?

Kunstig intelligens (AI) er en maskins evne til å vise menneskelige egenskaper. Slik som resonnement, planlegging, kreativitet og andre som har krevd menneskelig intelligens i det siste. AI er ikke nødvendigvis nytt, men har lenge eksistert i bransjer som medisin. Det har imidlertid blitt mer tilgjengelig, og i dag har mange mennesker tilgang til AI-modeller som mange bruker i hverdagen. Det er mange fordeler med AI, men det er også ulemper og utfordringer. 

Personuppgifter som rör fällande domar i brottmål

Definisjon av personopplysninger

Der det er mulig å knytte et stykke informasjon til en fysisk levende person, utgjør det personopplysninger. Det spiller ingen rolle om det er mulig å koble direkte, for eksempel gjennom et navn eller personnummer, men også når det er mulig å koble indirekte, for eksempel gjennom en backway-identifikasjon. I tillegg er det forskjell på subjektive og objektive personopplysninger. Generelt anses personopplysninger av subjektiv karakter som viktigere, noe som betyr at de er underlagt strengere regler. 

Eksempler på personopplysninger

  • Navn.
  • Personlig identifikasjonsnummer. 
  • Telefonnummer.
  • Bilder og lydopptak som identifiserer en person.
  • Sporbare informasjonskapsler.

Jo viktigere personopplysninger, desto strengere krav

Jo viktigere personopplysningene er, desto strengere er kravene i GDPR. Det kan for eksempel påvirke de tekniske og organisatoriske sikkerhetstiltakene som enheten må iverksette for å beskytte dataene. Det er fire grupper av personvernsensitive data som anses som spesielt viktige. En av gruppene er sensitive personopplysninger, for eksempel angivelse av religion, politiske meninger og fagforeningsmedlemskap, som er spesielt regulert i artikkel 9 i GDPR. En annen gruppe er subjektivt personvernsensitive personopplysninger, for eksempel kredittkortopplysninger. 

Ulike hensyn ved behandling av personopplysninger ved utvikling og bruk av kunstig intelligens

Det er flere ting som kan være viktig å huske på når man utvikler og bruker kunstig intelligens i forhold til GDPR. 

AI-regelverket

AI-loven i EU er en generell regulering av kunstig intelligens (AI) i EU. Målet er å skape et trygt og etisk bærekraftig miljø for innovasjon i EU, samtidig som borgernes rettigheter og friheter beskyttes. 

Deler av AI-loven har allerede begynt å tre i kraft, men i 2026 vil hele AI-loven gjelde i prinsippet.

Risikobasert tilnærming

AI-loven deler risiko inn i fire kategorier: uakseptabel risiko, høy risiko, begrenset risiko og minimal risiko. Hvis et AI-system oppfyller kravene til uakseptabel risiko, er AI-systemet ikke tillatt. 

Uakseptabel risiko

AI-modeller som kvalifiserer for uakseptabel risiko i henhold til AI-loven, er forbudt. På den annen side kan det være unntak, for eksempel for rettshåndhevelsesformål. Eksempler på en AI-modell med uakseptabel risiko er sosial scoring.

Høy risiko

Disse AI-modellene kan ha en negativ innvirkning på sikkerheten til mennesker og samfunn. Alternativt folks grunnleggende rettigheter. Slike modeller vil bli vurdert før de kommer inn i markedet og også i løpet av livssyklusen.

Begrenset risiko

Såkalt «generativ AI» klassifiseres i de fleste tilfeller som lavrisiko AI-modeller. Slik som Chat GPT. Disse systemene må blant annet oppfylle kravene til opphavsrett i EU og åpenhet. Merk at kraftig generativ AI må gå gjennom mer omfattende undersøkelser, hvis de kan utgjøre systemiske risikoer.

Minimal risiko

Det er ingen obligatoriske krav i AI-loven for minimal risiko AI-modeller, som det er for de andre risikoene. Vær imidlertid oppmerksom på at det kan være andre lover som pålegger obligatoriske krav.

Ansvar for personopplysninger

Aktiviteten som bestemmer midler og formål for behandling av personopplysninger er kontrolleren. Det er virksomheten som bestemmer hvordan og hvorfor behandlingen skal gjennomføres, men ikke nødvendigvis virksomheten som utfører behandlingen i praksis. Det er mulig å overlate gjennomføringen av selve behandlingen, men ikke ansvaret for det. Hvis et selskap behandler personopplysninger på vegne av et annet selskap, er det en behandler. 

Eksempler på roller i utvikling og bruk av AI-modeller

Measures that companies need to take to comply with GDPR
Behandlingsansvarlig

Et selskap bestiller et modent AI-system der de står fritt til å bestemme formålet med behandlingen, da det ikke er bygget for et bestemt formål. I slike tilfeller er det selskapet som er kontrolløren.

What is the definition of anonymised data?
Prosessor

Et selskap jobber med å utvikle systemer for andre selskaper og har til oppgave å utvikle en AI-modell. Selskapet som bestiller systemet bestemmer formålet med behandlingen og er derfor behandlingsansvarlig. Selskapet som utvikler AI-systemet er en prosessor, da de behandler personopplysninger på vegne av noen andre i henhold til instruksjonene.

Felleskontrollere

To selskaper ønsker å utvikle et AI-system for å gjøre arbeidet mer effektivt, men da det kan være dyrt å gjøre det, velger to selskaper å gjøre det sammen for å redusere kostnadene. Med andre ord, de jobber sammen for å utvikle systemet til et felles formål og er derfor felles kontrollører.

Grunnleggende prinsipper for vern av personopplysninger

Bedrifter må alltid overholde de syv (7) grunnleggende databeskyttelsesprinsippene i GDPR ved behandling av personopplysninger. Hvis utviklingen eller bruken av en AI-modell innebærer behandling av personopplysninger, gjelder GDPR og de grunnleggende prinsippene.  

To prinsipper som er vanskelige å følge ved behandling av personopplysninger ved utvikling og bruk av kunstig intelligens
Prinsippet om formålsbegrensning

Bedrifter kan bare behandle personopplysninger hvis formålet er spesifikt, uttrykt og legitimt. Hvis et selskap behandler personopplysninger for et bestemt formål, men senere ønsker å bruke de samme personopplysningene til å utvikle en AI-modell, kan det være vanskelig å overholde kravene i prinsippet om formålsbegrensning. På den annen side kan det være tillatt dersom den nye behandlingen er forenlig med det opprinnelige formålet.

Prinsippet om dataminimering

Bedrifter skal ikke behandle flere personopplysninger enn det som er nødvendig for formålet med behandlingen. I maskinlæring oppnår modellen vanligvis bedre resultater, jo mer data den har blitt trent med. Det kan være utfordrende i forhold til prinsippet om dataminimering, da det er risiko for å behandle for mye personopplysninger for å forsøke å oppnå best mulig resultat.

Diskriminerende algoritmer

Hvis en AI-modell er partisk, kan den diskriminere mot visse individer eller grupper av personer. I noen tilfeller kan dette være vanskelig å oppdage, og derfor er det viktig å hele tiden teste AI-modellen for å sikre at den ikke er diskriminerende

Diskriminerende algoritmer bryter med rettferdighetsprinsippet

Prinsippet om rettferdighet betyr at behandlingen av personopplysninger er rettferdig, rettferdig og rimelig. I tillegg må det være forholdsmessig. Hvis behandlingen er diskriminerende, er den ikke rettferdig og derfor i strid med rettferdighetsprinsippet. Derfor er det viktig å få på plass tilstrekkelige tekniske og organisatoriske tiltak for å sikre at algoritmer ikke er diskriminerende. 

Rettslig grunnlag for behandling av personopplysninger ved utvikling og bruk av kunstig intelligens

Enhver individuell behandling av personopplysninger krever et rettslig grunnlag for å være lovlig. GDPR har seks (6) juridiske grunnlag, men bare tre av dem har en tendens til å være egnet for utvikling og bruk av AI-modeller. Riktig rettslig grunnlag avhenger av situasjonen og omstendighetene. 

Her er tre juridiske grunnlag som kan være aktuelle for utvikling og bruk av AI-modeller:
Sensitive personal data according to GDPR
Samtykke

Ved utvikling av en AI-modell kan det være vanskelig å bruke samtykke som rettslig grunnlag, da det kan være administrativt belastende. På den annen side er forholdene bedre når du bruker en AI-modell.

What is the definition of anonymised data?
Kontrakt med den registrerte

Foretak kan behandle personopplysninger som er nødvendige for inngåelse og gjennomføring av en kontrakt. For eksempel må e-handelsselgere behandle kundenes navn og adresser for å kunne levere produktene til dem. Mens bruk av kontrakter med registrerte som juridisk grunnlag er sjelden i utviklingen av AI-modeller, er det desto mer vanlig når det gjelder bruk av en allerede moden AI-modell.

Subjektivt integritetskänsliga personuppgifter
Berettiget interesse

Legitime interesser er det mest fleksible rettslige grunnlaget og brukes ofte av selskaper. For å avgjøre om et foretak har en berettiget interesse i behandlingen, det vil si at foretakets interesse veier tyngre enn den registrertes interesse, må foretaket avveie de berørte interessene. I noen tilfeller kan dette rettslige grunnlaget være tillatt ved bruk og utvikling av AI-modeller i visse typer situasjoner, men ikke alltid.

Rett til informasjon

En av de registrertes rettigheter i henhold til GDPR er retten til informasjon. Dette betyr at de bør informeres om behandlingen. For eksempel formålet med behandlingen, det juridiske grunnlaget, om personopplysningene utleveres til noen andre, oppbevaringsperioden og rettighetene til de registrerte, etc. Denne informasjonen bør gjenspeiles i en personvernmelding, som selskapet med fordel skal publisere på sin offisielle nettside.

Automatiserte avgjørelser

Hvis en AI-modell tar en beslutning om noen uten at noen fysisk person er involvert i beslutningsprosessen, er det et spørsmål om automatisert beslutningstaking. GDPR fastsetter spesifikke regler for behandling av operasjoner knyttet til automatisert beslutningstaking. Som hovedregel er slik behandling forbudt, men det finnes unntak. For eksempel er det tillatt hvis den registrerte gir sitt uttrykkelige samtykke eller hvis det er nødvendig for å oppfylle en kontrakt. 

Vanskeligheter med å oppfylle informasjonsforpliktelsen i henhold til GDPR i tilfelle automatisert beslutningstaking

Hvis et selskap ønsker å bruke en AI-modell for å strømlinjeforme sin beslutningsprosess, er det bra om kombinasjonen av en menneskelig intervensjon også kan implementeres, slik at reglene om automatisert beslutningstaking ikke gjelder. Med andre ord, det er en naturlig person som til slutt tar avgjørelsen, men kan ha blitt assistert av et AI-verktøy. 

Dyp læring og maskinlæring

For å lage en AI-modell må systemet trenes med data gjennom en algoritme slik at det resulterer i en matematisk modell. Matematisk modell er et annet ord for AI-modell. 

Maskinlæring

Et system som kan etterligne menneskelig intelligens ved å lære av erfaring. Med andre ord, en prosess for datamaskiner for å utvikle evnen til å differensiere og tilpasse seg en oppgave, selv om den ikke er programmert spesielt for den.

Dyp læring

Dyp læring handler om å bygge en AI-modell for å etterligne det nevrale nettverket av den menneskelige hjernen. Dette er en form for maskinlæring.

Opplæring av AI-modeller

Det er viktig å gi opplæringsdata til en AI-modell for at den skal oppnå best mulig resultater. Som en generell regel, jo mer data, jo bedre resultater har det en tendens til å produsere. Dette er imidlertid ikke alltid tilfelle. Det er viktig at dataene er relevante.

GDPR krever at selskaper ikke behandler flere personopplysninger enn det som er nødvendig for formålet, og derfor er det viktig å analysere hvilke opplæringsdata AI-modellen skal motta, for ikke å behandle flere personopplysninger enn nødvendig hvis dataene inneholder personopplysninger. 

Ulike opplæringsmetoder for AI-modeller

Det finnes ulike opplæringsmetoder for AI-modeller. 

Measures that companies need to take to comply with GDPR
Overvåket læring

AI-modellen får merkede data slik at den kan gjenkjenne det samme selv. For eksempel tusenvis av bilder av båter, som skal brukes til å gjenkjenne båter.

Subjektivt integritetskänsliga personuppgifter
Læring uten tilsyn

Algoritmer lærer å finne mønstre uten forhåndsbestemte svar. Med andre ord brukes umerkede data til opplæring av AI-modellen.

What is the definition of anonymised data?
Styrking av læring

Ved å verdsette handlinger positivt og negativt basert på sluttresultatet eller målet, kan forsterkningslæring lede en AI-modell for å oppdage hvilke handlinger som fører til sluttresultatet.

Sensitive personal data according to GDPR
Semi-overvåket læring

Semi-veiledet læring bruker en kombinasjon av både veiledet og veiledet læring.

Mer om GDPR

Lag en god databeskyttelsesstruktur for å optimalisere resultatene med GDPR

Jo større selskapene er, desto bedre er databeskyttelsesstrukturen vanligvis nødvendig.

Lyst til å lære mer?

Les mer
Skroll til toppen