Informasjon om AI og GDPR
Informasjonsplikt ved utvikling og bruk av AI-verktøy
Det er vanskelig for bedrifter å overholde sine informasjonsforpliktelser når de utvikler og bruker AI-verktøy i tråd med GDPR.
Rett til informasjon
Den registrerte har flere rettigheter i henhold til GDPR, hvorav den ene er retten til informasjon i henhold til artikkel 13 og 14 i GDPR. Med andre ord må de registrerte informeres om behandlingen av deres personopplysninger. Dette gjelder både når personopplysninger samles inn og når de ber om informasjonen.
Eksempler på hva de registrerte har rett til å motta informasjon om:
- Formålene med behandlingen.
- Det juridiske grunnlaget som behandlingen er basert på.
- Oppbevaringsperioden.
- Mottakere av personopplysninger, for eksempel tredjeparter.
- Rettighetene til de registrerte i henhold til GDPR.
Vanskeligheter med å oppfylle informasjonsplikten
Det er ikke alltid lett å overholde GDPRs informasjonsforpliktelser når du utvikler og bruker AI-verktøy. Faktisk kan det være vanskelig å forklare hvordan en AI-modell fungerer og for datasubjekter å få innsikt i den.
Dyp læring og svart boks
Dyp læring er ofte en metode som brukes til å utvikle en AI-modell. Dette er en form for maskinlæring. Denne metoden gjør det mulig å behandle svært store mengder informasjon som en fysisk person ikke er i stand til å se. I tillegg er det vanskelig for fysiske personer å kartlegge de ulike parametrene og hvordan de forholder seg til hverandre, og dermed hvordan AI-modellen produserer sine utganger.
Sort boks
Når en bruker av en AI-modell bare kjenner inngangs- og utgangsdataene, anses det å være en svart boks.
Det er vanskelig å overholde informasjonsplikten når man bruker en AI-modell til å ta beslutninger om naturlige individer. Vær oppmerksom på at det ikke fritar et selskap fra å informere datasubjekter, selv om AI-modellen anses som en svart boks, og det er vanskelig å forklare hvordan AI-modellen fungerer.
Sjekkliste for å oppfylle kravene til informasjonsplikt for utvikling og bruk av AI-modeller
1. Unngå automatiserte avgjørelser
Det er godt å prøve å unngå å bruke automatisert beslutningstaking, da reglene er strengere og vanskeligere å overholde. Analyser nøye om bruk av automatisert beslutningstaking er nødvendig. Om nødvendig er det nyttig å undersøke om det kan suppleres med et menneskelig inngrep for ikke å stole utelukkende på den automatiserte avgjørelsen.
2. Ta hensyn til de registrertes rettigheter
Det er lurt å alltid ha de registrertes rettigheter i tankene ved utforming og bruk av AI-modellen. I tillegg er det viktig å få på plass tilstrekkelige tekniske og organisatoriske sikkerhetstiltak. Der personopplysninger kan anonymiseres, bør selskapet gjøre det.
3. Følger opp regelmessig
En AI-modell bør overvåkes kontinuerlig for å oppnå best mulig forståelse av den. For eksempel hvordan resultatet er produsert og sikre at algoritmene som brukes ikke er diskriminerende.
4. Inndata fra dokumenter og endelige resultater
Bedrifter må kunne vise at de overholder GDPR, og det er derfor godt å ha oversikt over GDPRs arbeid til enhver tid. For eksempel hvordan ulike innganger påvirker utfallet, og hvordan datasubjekter kan påvirke utfallet. I tillegg er det nyttig å dokumentere konklusjonene nøye.
Mer om AI
Diskriminerende algoritmer
Det er viktig å huske på å ikke bruke diskriminerende algoritmer i utvikling og bruk av AI-modeller, da det er forbudt. Dette gjelder uavhengig av om slik bruk er tilsiktet eller ikke. Dette er grunnen til at det er bra å stadig teste AI-verktøy, for å sikre at de ikke er diskriminerende. Diskriminerende algoritmer bryter med det grunnleggende prinsippet om lovlighet, rettferdighet og åpenhet, som utgjør et av de syv (7) prinsippene i GDPR som selskapene må overholde.