Oplysninger om AI og GDPR
Oplysningspligt i forbindelse med udvikling og anvendelse af AI-værktøjer
Det er vanskeligt for virksomhederne at opfylde deres oplysningsforpligtelser, når de udvikler og anvender AI-værktøjer i overensstemmelse med GDPR.
Ret til information
Registrerede har flere rettigheder i henhold til GDPR, hvoraf den ene er retten til information i henhold til artikel 13 og 14 i GDPR. Med andre ord bør de registrerede informeres om behandlingen af deres personoplysninger. Dette gælder både, når personoplysningerne indsamles, og hvis de anmoder om oplysningerne.
Eksempler på, hvad registrerede har ret til at modtage oplysninger om
- Formålet med behandlingen
- Det retsgrundlag, som behandlingen er baseret på
- Oplagringsperioden
- Hvem har adgang til personoplysningerne, f.eks. tredjeparter?
- Hvilke rettigheder har de registrerede i henhold til GDPR?
Vanskeligheder med at opfylde oplysningsforpligtelser
Det er ikke altid let at opfylde kravene vedrørende oplysningspligten i henhold til GDPR, når der udvikles og anvendes AI-værktøjer. Det kan være svært at forklare, hvordan en AI-model fungerer, og for de registrerede at få indsigt i den.
Dyb læring og den sorte boks
Deep learning er ofte en metode, der anvendes til at udvikle en AI-model. Det er en form for maskinlæring. Ved hjælp af denne metode er det muligt at behandle meget store mængder information, som en fysisk person umuligt kan se. Desuden er det vanskeligt for fysiske personer at kortlægge de forskellige parametre, og hvordan de hænger sammen, og dermed hvordan AI-modellen opnår sine resultater.
Den sorte boks
Når en bruger af en AI-model kun kender input og output, betragtes det som en sort boks.
Det er vanskeligt at leve op til oplysningspligten, når en AI-model anvendes til at træffe beslutninger om fysiske personer. Bemærk, at det ikke fritager en virksomhed fra at informere de registrerede, selv om AI-modellen betragtes som en sort boks, og det er vanskeligt at forklare, hvordan AI-modellen fungerer.
Tjekliste til opfyldelse af kravene i overensstemmelse med oplysningsforpligtelsen i forbindelse med udvikling og anvendelse af AI-modeller
1. Undgå automatiserede beslutninger
Det er godt at forsøge at undgå at bruge automatiseret beslutningstagning, da reglerne er strengere og sværere at følge derefter. Analyser omhyggeligt, om det er nødvendigt at bruge automatiseret beslutningstagning. Om nødvendigt er det nyttigt at undersøge, om det er muligt at supplere den med en menneskelig indgriben for ikke udelukkende at basere sig på den automatiske afgørelse.
2. Holde de registreredes rettigheder i tankerne
Det er godt altid at have de registreredes rettigheder i tankerne, når AI-modellen udformes og anvendes. Derudover er det vigtigt at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger. Hvis det er muligt at anonymisere personoplysningerne, bør virksomheden gøre det.
3. Regelmæssig opfølgning
Der bør løbende følges op på en AI-model for at skabe så god en forståelse af den som muligt. F.eks. hvordan resultatet udarbejdes, og hvordan det sikres, at de anvendte algoritmer er ikkediskriminerende.
4. Dokumentinput og endelige resultater
Virksomheder skal kunne vise, at de overholder GDPR, og derfor er det godt altid at dokumentere GDPR-arbejdet. F.eks. hvordan forskellige inputdata påvirker resultatet, og hvordan de registrerede kan påvirke resultatet. Derudover er det godt at dokumentere konklusionerne omhyggeligt.
Mere om AI
Diskriminerende algoritmer
Det er vigtigt at huske på ikke at anvende diskriminerende algoritmer i udviklingen og anvendelsen af AI-modeller, da det er forbudt. Dette gælder, uanset om en sådan anvendelse er tilsigtet eller ej. Derfor er det godt konstant at teste AI-værktøjerne for at sikre, at de ikke er diskriminerende. Diskriminerende algoritmer krænker det grundlæggende princip om lovlighed, retfærdighed og gennemsigtighed, som er et af de syv (7) principper i GDPR, som virksomheder skal overholde.