Anvendelse af kunstig intelligens i et dataretligt lys

I forbindelse med brug af AI som støtte i sagsbehandlingen er det afgørende at overholde centrale principper som dataminimering og formålsbegrænsning. Disse principper er afgørende for en demokratisk og hensigtsmæssig teknologisk udvikling og har til formål at skabe tillid til myndigheder gennem respekt for rettigheder og beskyttelse af data. 

Vejen til at bruge AI som beslutningsstøtte kræver særlig opmærksomhed for at undgå såkaldt "automation bias," hvor systemets vurdering vægtes højere end menneskers. Et klart lovgrundlag er nødvendigt, hvis myndigheder ønsker at træffe automatiske beslutninger, og det er afgørende, at mennesker har autoritet til at tilsidesætte systemets anbefalinger.

Databeskyttelse i AI-løsningens livscyklus

AI skal være i besiddelse af data for at kunne resonere sig frem til den mest korrekte løsning. Hvis det er en offentlig myndighed, som skal anvende AI, vil den tilgængelige data og formålet med AI typisk basere sig på oplysninger fra borgere. For at skabe et overblik over, hvornår og hvordan beskyttelse af personoplysninger skal tænkes ind, kan man tale om, at AI har en livscyklus, som overordnet består af 3 faser. Faserne vil i det følgende blive beskrevet med fokus på, hvordan borgernes informationer beskyttes gennem hele processen – fra start til slut.

1. Afgrænsnings- og designfasen

Denne fase fokuserer på at identificere formålet med AI-løsningen og bestemme, hvilke typer personoplysninger der skal anvendes og i hvilket omfang. Det er afgørende at overveje, hvordan en løsning med brug af alene de oplysninger, der er nødvendige kan udvikles.

I denne fase skal offentlige myndigheder besvare to grundlæggende spørgsmål:
• Hvilket formål skal løsningen tjene?
• Hvilke personoplysninger vil blive behandlet?

Der skal foreligge et udtrykkeligt angivet og legitimt formål. Derudover skal man som offentlig myndighed altid være opmærksom på de øvrige krav, der følger af databeskyttelsesreglerne – herunder kravet om at sikre proportionalitet igennem hele løsningen.

2. Udviklings- og træningsfasen

Under udviklingen benyttes typisk allerede eksisterende træningsdata. I denne fase træffes beslutninger, og AI-modellen vurderes og justeres for b.la. at sikre dens statistiske rigtighed og generaliserbarhed.

Behandling af personoplysninger til udvikling og træning af løsningen anses som et separat formål ifølge Datatilsynet, adskilt fra de formål, der følger i driftsfasen.

Som en del af fasen afklares det, hvilke lovregler mv. der forpligter eller bemyndiger den konkrete myndighed, hvorfor fokus i første omgang er mindre på databeskyttelse. Derefter skal det vurderes, om lovgrundlaget er tilstrækkeligt klart og præcist til at danne grundlag for udviklingen af AI-løsningen.

3. Driftsfasen 

I den sidste fase tages den udviklede AI-løsning i brug, baseret på sammenhænge og mønstre fra træningsdata. Det er afgørende at sikre løbende monitorering for at opretholde retvisende output. 

Uanset om AI-løsningen støtter en eksisterende myndighedsopgave eller en ny, medfører anvendelsen typisk risici for borgernes informationer. Når AI-løsningen går i drift, skal myndigheden have et behandlingsgrundlag for håndtering af personoplysninger. Dette grundlag kan findes i databeskyttelsesforordningens artikel 6, stk. 1. 

Offentlige myndigheder behandler typisk personoplysninger for at overholde en retlig forpligtelse, eller med henblik på at udføre en opgave i samfundets interesse eller som led i sin offentlige myndighedsudøvelse. Behandlingen skal i disse tilfælde have et supplerende retsgrundlag i EU-retten eller dansk ret. 

Sikring af borgernes data og overholdelse af databeskyttelsesreglerne er afgørende for en ansvarlig og effektiv anvendelse af kunstig intelligens. Hold dig opdateret på nyheder om regulering af AI hos Bird & Bird. 

Find vejledningen her: Offentlige myndigheders brug af kunstig intelligens: Inden I går i gang (datatilsynet.dk)