ChatGPT var ordet i 2023, og mens den teknologiske udvikling brager afsted, har Datatilsynet udgivet “Vejledning om AI for offentlige myndigheder” og har samtidig varslet, at AI bliver et fokusområde for tilsyn i 2024.

Med udgangspunkt i vejledningen og seneste praksis får du her fem steps til, hvordan du databeskyttelsesretligt kommer godt i gang med dit AI-projekt.

1. Forstå teknologiens kendetegn

Udvikling og brug af AI inddeles i en databeskyttelsesretlig sammenhæng i faser. I hver fase skal det afklares, hvilke personoplysninger der behandles, hvad formålet er, og efter hvilket retligt grundlag personoplysningerne behandles. Der kan være forskellige formål - og forskellige retlige grundlag - afhængig af hvilken fase behandlingen vedrører. Fx er der forskel på formålet ved udvikling henholdsvis drift af AI.

2. Formål, lovlighed og proportionalitet

Implementering af AI kræver fokus på en række databeskyttelsesretlige aspekter. Det første er formålet med at bruge personoplysninger og lovligheden heraf. Det er vigtigt at præcisere løsningens formål i de enkelte faser. Man skal i den forbindelse også være opmærksom på, om formålet med AI ændrer sig over tid.

Desuden skal det retlige grundlag for behandlingen af personoplysninger i forbindelse med den konkrete myndighedsudøvelse dokumenteres. Offentlige myndigheder kan typisk anvende behandlingsgrundlagene vedrørende overholdelse af en retlig forpligtelse, udførelse af en opgave i samfundets interesse eller udførelse af en opgave som del af offentlig myndighedsudøvelse. Der vil dog i disse situationer være krav om yderligere retligt grundlag for behandlingen i EU-retten eller dansk ret, fx serviceloven eller sundhedsloven.

Kravene til den danske lovs klarhed og præcision skal vurderes i forhold til formålet med at bruge AI, og dermed hvordan borgerens rettigheder påvirkes under udviklingen og brugen af AI. Jo mere indgribende behandlingen er, jo klarere og mere præcist et retsgrundlag kræves.

Som en tommelfingerregel er brugen af personoplysninger i udviklingsfasen mindre indgribende over for borgere end brugen af personoplysninger i driftsfasen, der forventeligt genererer forudsigelser og anbefalinger, som potentielt kan påvirke borgerens livssituation. Desuden anses brugen af AI til mere generelle myndighedsopgaver, uden direkte involvering af borgere, som mindre indgribende.

Forskellen på kravene til de retlige grundlag i de forskellige faser illustreres ved en udtalelse fra Datatilsynet (journalnummer 2023-212-0015) om en kommunes brug af AI som støtte i afgørelser om vedligeholdende træning og rehabiliterende indsats efter serviceloven. Datatilsynet vurderede, at kommunen havde det nødvendige retlige grundlag til at udvikle og gentræne en specifik AI, som behandlede personoplysninger. Dette skyldtes, at behandlingen kunne finde sted inden for rammerne af serviceloven, som pålagde kommunen at træffe beslutninger om vedligeholdende træning og rehabiliterende indsats.

Behandling af personoplysninger i forbindelse med løsningens drift kunne imidlertid ikke ske inden for de nævnte bestemmelser, da der manglede et klart retsgrundlag, særligt i lyset af behandlingens indgribende karakter. AI kunne potentielt have en væsentlig indflydelse på borgernes liv. Desuden kunne det ikke nødvendigvis anses som forudsigeligt og gennemsigtigt for borgerne, at deres behov blev vurderet af AI, især når målgruppen var sårbare borgere. Det var derfor nødvendigt med et klart, supplerende (nationalt) retsgrundlag, for at behandlingen kunne være i overensstemmelse med databeskyttelsesforordningen.

Det er desuden væsentligt at foretage en proportionalitetsvurdering, som sikrer, at databehandlingen er egnet, nødvendig og forholdsmæssig i forhold til de fastsatte formål. Øvrige databeskyttelsesretlige principper skal også overvejes, fx dataminimering, formålsbestemthed og ajourføring af oplysninger.

3. Konsekvensanalyse

I de fleste tilfælde vil det som følge af teknologien, omfanget af personoplysninger, deres karakter og målgruppen være relevant at lave en konsekvensanalyse. Behandling af personoplysninger i forbindelse med AI har altså en potentiel høj risiko for at påvirke borgerens rettigheder og frihedsrettigheder. I konsekvensanalysen skal anføres overvejelserne i forbindelse med 2. step (ovenfor).

Konsekvensanalysen skal som minimum indeholde en systematisk beskrivelse af den planlagte behandling af personoplysninger og formålet med den. Desuden skal man beskrive vurderingen af nødvendighed og proportionalitet. Man skal også evaluere risici for borgernes rettigheder og frihedsrettigheder og beskrive, hvilke tiltag (foranstaltninger) man har iværksat for at imødegå disse risici. Konsekvensanalysen bidrager til at dokumentere, at databeskyttelsesretten bliver overholdt.

4. Overvej datakvalitet, databrug mv.

Data er brændstoffet i AI, og hvis AI skal køre langt og sikkert, skal den bruge data af god kvalitet og i tilstrækkeligt omfang.

Man kan understøtte god datakvalitet ved at være opmærksom på konteksten for den oprindelige indsamling af oplysningerne. Man kan også sikre kvaliteten ved at implementere AI på et begrænset datasæt i et kontrolleret miljø for at identificere eventuelle svagheder eller fejl i data. Efter implementeringen skal man løbende overvåge outputtet for at sikre, at det forbliver retvisende.

Det anbefales at anvende anonymiserede data eller syntetiske data. Bemærk, at hensyn til omkostninger ikke alene kan begrunde fravalg af brug af anonymiserede data. Hvis det i et konkret tilfælde er nødvendigt at behandle personoplysninger, bør man tilstræbe at pseudonymisere oplysningerne.

5. Overvej de registreredes rettigheder fra start

En borger har ret til indsigt og til at blive informeret om behandlingen af personoplysninger (oplysningspligten), herunder når der sker ændringer i behandlingen og/eller formålet hermed.

Der gælder et særligt krav til oplysningspligt i indsigtsafgørelser, hvis brug af AI kan karakteriseres som en automatisk afgørelse eller profilering. I sådanne tilfælde skal man som minimum give (meningsfulde) oplysninger om logikken i AI samt betydningen og de forventede konsekvenser for borgeren af at behandle oplysningerne i AI.

Kom godt fra start

Succes med implementering af AI afhænger af, om processen gribes rigtigt an, og at der sikres rettidig inddragelse af alle relevante kompetencer, herunder tekniske, operationelle og juridiske. Det er særlig væsentligt at indtænke databeskyttelse allerede fra begyndelsen dit AI-projekt.


Forfattere

Anne Baandrup

Partner

Emilie Loiborg

Director, advokat