Kunstig intelligens er en af de digitale teknologier, der anses for at have et enormt stort potentiale for både den private og offentlige sektor. Vi stiller skarpt på en række af de væsentlige juridiske spørgsmål for særligt offentlige aktører, der er relevante ved brug af kunstig intelligens ud fra nugældende lovgivning og regler, herunder navnlig de persondataretlige udfordringer.

Kunstig intelligens er et begreb for computerprogrammer og andre maskiner, som kan “tænke selv” og udføre op­­gaver, som normalt kræver menneskelig intelligens. Denne teknologi er navnlig baseret på såkaldt machine learning, hvorved et program kan finde sammen­hæng og mønstre i store mængder af data ved at lave matematiske algoritmer/ modeller uden programmering. Systemet skal først “lære” af oplysningerne i en stor database (“træningsdata”) og kan herefter med tiden selv tage stilling til komplicerede problemstillinger.

Kunstig intelligens kan anvendes til mange forskellige formål, som f.eks. billed- og talegenkendelse, chatbots, sikring af at mails til en organisation havner i den rette sagsbehandlers indbakke, automatiske opslag i forskellige registre, automatisk generering af svar­breve, optimering af vedligeholdelses­­arbejdet på infrastruktur eller at opdage udsatte børn tidligst muligt på bag­grund af digital profilering med henblik på hurtig iværksættelse af indsats.

Dataene, som anvendes af computer­programmer og maskiner ved kunstig intelligens, vil ofte indeholde person­oplysninger; dvs. relatere sig til en identificerbar fysisk person. På den baggrund skal der være særligt fokus på overholdelse af de persondataretlige regler.

De aspekter ved kunstig intelligens-teknologien, som er særligt relevante i en persondataretlig sammenhæng, er:

  • at teknologien anvender store mængder “træningsdata”, som ofte indeholder personoplysninger
  • at teknologien selv kan komme frem til/træffe afgørelser
  • at det kan være uklart, hvordan teknologien kommer frem til den enkelte beslutning (det såkaldte “black box-problem”).

De væsentligste persondataretlige overvejelser i forhold til kunstig intelligens drøftes nedenfor.

Dataminimering

Brugen af kunstig intelligens er baseret på en stor mængde “træningsdata”, som programmet/systemet “lærer af”. Princippet om dataminimering – at der ikke må behandles flere person­­op­lysninger end nødvendigt i forhold til de formål, hvortil de behandles – indebærer, at nødvendigheden af de oplysninger, som programmet “fodres” med, skal vurderes konkret. Et alternativ kan f.eks. være at anonymisere op­­lysningerne.

Formålsbestemthed

Princippet om formålsbestemthed inde­bærer, at formålet med be­­handlingen af personoplysningerne skal være tydeligt angivet og fastsat, når oplysningerne indsamles – og at senere behandling ikke må være uforenelig med dette første formål, som oplysningerne er indsamlet til. Princippet skal sikre, at oplysninger, der er indhentet til ét bestemt formål, ikke bliver anvendt til andre, medmindre der er den fornødne hjemmel.

Kunstig intelligens er skabt til at “tænke selv”, hvilket er problematisk, hvis den på egen hånd behandler oplysninger til formål, som ikke er forenelige med det formål, oplysningerne oprindeligt er indsamlet til. Ligeledes kan det være problematisk at anvende data fra tredje­parter indsamlet til andre formål. Indgår der f.eks. data indsamlet fra Facebook i en offentlig myndigheds profilering af lediges jobmuligheder, vil det formentlig ikke være i overens­stemmelse med det oprindelige formål, som oplysningerne er ind­­­samlet til.

Automatiske afgørelser

Kunstig intelligens kan bl.a. anvendes til at træffe automatiserede afgørelser. Efter databeskyttelsesforordningen er der som udgangspunkt et forbud mod automatiseret afgørelse, herunder profilering, som har retsvirkninger for en fysisk person, eller på tilsvarende vis betydeligt påvirker den registrerede. Det følger også af Datatilsynets vej­ledning, at afgørelsen eller profileringen skal indebære en evaluering af den registreredes personlige forhold.

Automatiserede afgørelser må dog i visse situationer træffes, herunder hvis det følger af lovgivningen, og denne fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder mv.

Set i sammenhæng med den digitalisering, som foregår i den offentlige sektor, tilfører data­beskyttelsesreglerne dermed, at der – ud over det almindelige krav om hjemmel til at træffe afgørelser over for borgere – skal være passende “beskyttelses­regler” i forhold til an­­vendelsen af person­oplysninger, når der træffes myndigheds­afgørelser via automatiserede processer.

De registreredes rettigheder og samtykke

Den dataansvarlige har efter for­ordningen pligt til at give en række oplysninger til den registrerede – både ved direkte og indirekte indsamling af personoplysninger. Anvendes der automatiserede afgørelser, herunder ved brug af kunstig intelligens, gælder der endvidere en udvidet oplysnings­pligt, hvor den dataansvarlige menings­fuldt – i et klart og enkelt sprog – skal forklare logikken, betydning og de forventede konsekvenser for den registrerede.

Dette kan volde problemer for den dataansvarlige, da de algoritmer, som den kunstige intelligens er baseret på, kan være svære at forstå og forklare i et enkelt sprog, ligesom der kan være en “black box” i forhold til, hvad systemet har “lært” sig selv.

Rimelig og gennemsigtig behandling

Det er et grundlæggende princip inden for persondataretten, at oplysningerne skal behandles rimeligt. Dette betyder, at oplysninger så vidt muligt ikke må lede til diskriminerende, usaglige eller direkte forkerte beslutninger. Man kan anspores til at tænke, at netop en kunstig intelligens vil kunne træffe mere objektivt korrekte afgørelser end en fysisk person, der kan påvirkes af for­hold som fordomme, venskabelige relationer eller andre uvedkommende forhold. Den kunstige intelligens er dog ikke mere objektiv end den database af oplysninger, den er baseret på. Hvis databasen ikke giver et retvisende billede af virkeligheden, kan det føre til urigtige eller direkte diskriminerende afgørelser.

Konsekvensanalyse og sikkerhed

Den dataansvarliges sikkerhedsniveau afhænger efter forordningen af den risikoanalyse, som den dataansvarlige skal foretage af sin databehandling. Såfremt kunstig intelligens anvendes, skal det klart fremgå af den data­ansvarliges risikoanalyse og derved tilsvarende i det fastsatte sikkerheds­niveau. Kunstig intelligens-løsninger
vil formentlig ofte blive omfattet af for­ordningens betegnelse “nye teknologier” samt opfylde de øvrige krav for, at den dataansvarlige skal foretage en konsekvensanalyse – en udvidet risikovurdering af et konkret system eller behandling – af sin på­­tænkte anvendelse af teknologien.

“Privacy by design” og “privacy by default”

Forordningen introducerer to nye principper i “privacy by design” og “privacy by default”. Efter disse skal der allerede under udviklingen tænkes persondatabeskyttelse ind i systemer og andre teknologier. Det norske data­tilsyn har allerede udtalt en række forhold, som de mener, udviklerne af kunstig intelligens bør tænke ind i deres udviklingsproces, heriblandt reduceringen af behovet for træningsdata i systemet, metoder, der kan sikre persondata­beskyttelsen uden at reducere data­grundlaget, og en metode, der kan undgå black box-problematikken.

Forvaltningsretlige regler

Ud over databeskyttelsesreglerne skal offentlige aktører ved brug af kunstig intelligens være særligt opmærksomme på at overholde øvrige regler, herunder særligt de forvaltningsretlige regler. Af relevans er her – afhængig af den konkrete løsning - særligt forbuddet mod forskels­behandling/diskrimination, forvaltnings­lovens krav om begrundelse ved afgørelser, herunder angivelse af hoved­hensyn, høringsregler, reglerne om videre­givelse af ikke-person­henførbare data mellem offentlige myndigheder samt reglerne om databasebeskrivelser.

ETIK

Dataetik er i stigende fokus - også i forhold til kunstig intelligens. Særligt kan henvises til “Declaration on Ethics and Data Protection in Artificial Intelligence” fra oktober 2018, som indeholder seks overordnede “guiding principles” om databeskyttelse og etik i kunstig intelligens, herunder med særligt fokus på bl.a. overholdelse af menneskerettighederne, “ethics by design”, systemtransparens og konsekvenser for individer og samfundet som helhed ved brugen af kunstig intelligens.

Forfattere

Charlotte Kunckel

Specialistadvokat

Lisbet Vedel Thomsen

Senioradvokat

Christoffer Alsted Skafte

Advokatfuldmægtig