Info om AI och GDPR
Informationsskyldighet vid utveckling och användning av AI-verktyg
Det är svårt för företag att uppfylla sin informationsskyldighet vid utveckling och användning av AI-verktyg i enlighet med GDPR.
Rätten till information
Registrerade har ett flertal rättigheter enligt GDPR, varav en av rättigheterna är rätten till information enligt artiklarna 13 och 14 i GDPR. Med andra ord ska de registrerade bli informerade om behandlingen av deras personuppgifter. Det gäller både när personuppgifterna blir insamlade samt om de begär informationen.
Exempel på vad de registrerade har rätt att få information om
- Syftet med behandlingen.
- Vilken rättslig grund som behandlingen grundar sig på.
- Lagringstiden.
- Vilka som får ta del av personuppgifterna, såsom tredje man.
- Vilka rättigheter de registrerade har enligt GDPR.
Svårt att leva upp till informationsskyldigheten
Det är inte alltid lätt att leva upp till kraven gällande informationsplikten enligt GDPR vid utveckling och användning av AI-verktyg. Det kan nämligen vara svårt att förklara hur en AI-modell fungerar samt för de registrerade att få inblick i det.
Djupinlärning och den svarta lådan
Djupinlärning är ofta en metod som används för att utveckla en AI-modell. Det är en form av maskininlärning. Genom denna metod går det att behandla väldigt stora mängder information som en fysisk person omöjligen kan överblicka. Dessutom är det svårt för fysiska personer att kartlägga de olika parametrarna och hur de förhåller sig till varandra, och därmed hur AI-modellen får fram sina resultat.
Svart låda
När en användare av en AI-modell enbart känner till indatan och utdatan, anses det vara en svart låda.
Det är svårt att leva upp till informationsskyldigheten när en AI-modell används för att fatta beslut om fysiska individer. Observera att det inte befriar ett företag från att informera de registrerade, även fast AI-modellen betraktas som en svart låda och det är svårt att förklara hur AI-modellen fungerar.
Checklista för att uppnå kraven i enlighet med informationsskyldigheten vid utveckling och användning av AI-modeller
1. Försök undvika automatiserade beslut
Det är bra att försöka undvika att använda automatiserat beslutsfattande, eftersom reglerna är striktare och svårare att följa då. Analysera noggrant om det är nödvändigt att använda automatiserat beslutsfattande. Om det är nödvändigt, är det bra att undersöka ifall det går att komplettera det med en mänsklig insats för att inte enbart förlita sig på det automatiserade beslutet.
2. Ha de registrerades rättigheter i åtanke
Det är bra att alltid ha de registrerades rättigheter i åtanke vid utformningen och användningen av AI-modellen. Dessutom är det viktigt att vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder. Om det går att anonymisera personuppgifterna, bör företaget göra det.
3. Följ upp regelbundet
En AI-modell bör ständigt följas upp, för att skapa en så god förståelse för den som möjligt. Exempelvis hur resultatet produceras och säkerställa att algoritmerna som används inte är diskriminerande.
4. Dokumentera indata och slutresultat
Företag måste kunna visa att de följer GDPR och därför är det bra att alltid dokumentera GDPR-arbetet. Exempelvis hur olika indata påverkar resultatet, och hur de registrerade kan påverka resultatet. Dessutom är det bra att dokumentera slutsatserna noggrant.
Mer om AI
Diskriminerande algoritmer
Det är viktigt att tänka på att inte använda diskriminerande algoritmer vid utveckling och användning av AI-modeller, ftersom det är förbjudet. Detta gäller oavsett om sådan användning sker avsiktligt eller inte. Därför är det bra att ständigt testa AI-verktygen, för att se till att de inte är diskriminerande. Diskriminerande algoritmer strider mot den grundläggande principen om laglighet, korrekthet och öppenhet, vilket utgör en av de sju (7) principerna i GDPR som företag måste följa.