Ansvarsfull AI-utveckling och hantering av personuppgifter (GDPR)

Utvecklingen av stora språkmodeller (LLM), träning av chatbottar och andra AI-applikationer kräver hantering av mycket data. Ofta innehåller datan stora mängder personuppgifter, vilket innebär en stor utmaning i att balansera innovation och integritetsskydd. I den här bloggposten utreder vi frågor som: Hur gör vi för att utveckla AI på ett ansvarsfullt sätt? Vilken data kan vi använda för att träna våra AI-modeller? Och vad ska vi tänka på när vi skapar eller köper dataset?

Tuff utmaning för GDPR 

När GDPR infördes 2018 stramades hanteringen av personuppgifter åt inom EU. Även tidigare lagstiftning, Personuppgiftslagen, innehöll tuffa regler med fokus att begränsa kartläggning av individer genom samkörning av register. Denna lag uppfattades dock som ganska tandlös och när GDPR infördes adderades stora sanktionsbelopp som en påtryckning för efterlevnad. Genom GDPR tog EU ett stort steg i arbetet med att skydda personers integritet och införde ett mer komplext regelsystem för att hantera den moderna datavärlden. Ansatsen vara att göra lagstiftningen teknikoberoende genom att anlägga ett antal grundläggande principer.  

Idag står GDPR inför nya utmaningar. Leverantörer av stora språkmodeller, såsom Open AI, Google DeepMind, Anthropic och Cohere har ett omättligt behov av data för att träna sina modeller. Mycket av den data som kan skrapas från internet innehåller personuppgifter och dessa har sannolikt stoppats in i LLM:ernas svarta lådor, utan att detta har godkänts av berörda personer. 

Hur ska GDPR förhålla sig till denna utmaning? Och hur ska vi som företag kunna agera på ett ansvarsfullt sätt men ändå ta vara på innovationsmöjligheterna som AI innebär? AI-kommissionens Färdplan för Sverige förordar en förändring av tillämpningen av GDPR för att öppna upp för mer datadelning mellan myndigheter och innovatörer. 

EDPB:s yttrande: Ny vägledning om AI och GDPR 

Den 18 december publicerade Europeiska dataskyddsstyrelsen (EDPB) sitt yttrande om hur personuppgifter ska hanteras vid utveckling och användning av AI-modeller (EDPB Opinion 28/2024). Det här dokumentet innehåller viktiga riktlinjer och insikter för organisationer som jobbar med AI. Yttrandet innehåller relativt konkret vägledning för vilka bedömningar och säkerhetsåtgärder som behövs men det är också tydligt att det är ytterst komplext att balansera dataskydd med innovation.  

Kan en AI-modell anses anonymiserad? 

Om datan i en AI-modell anonymiseras behöver GDPR inte tillämpas på själva modellen. Detta underlättar således betydligt den fortsatta förvaltningen och användningen av modellen. Däremot tillämpas GDPR om själva användningen involverar personuppgifter, exempelvis om man promptar för att bearbeta en lista över kundkontakter.  

EDPB konstaterar att det är möjligt att anonymisera data men att det måste ske på ett sådant sätt att det är osannolikt att någon ska kunna identifiera enskilda personer vars uppgifter användes för att skapa AI-modellen och att någon ska kunna få fram personuppgifter vid sökningar som sker med hjälp av AI-modellen. Det krävs tydlig dokumentation som visar att anonymiseringen fungerar.  

Anonymisering är generellt inte en enkel lösning. Det krävs teknisk expertis för att säkerställa att anonymiseringen är robust, och risken för reidentifiering måste kontinuerligt bedömas. Listan på kriterier som kan användas för att visa att uppgifterna som EDPB sammanställer är lång och här krävs det god förståelse för GDPR. 

Hur ska en intresseavvägning genomföras? 

När personuppgifter samlas in i stora mängder för att träna AI måste ofta grunden intresseavvägning användas. EDPB har tidigare tagit fram en riktlinje för hur den lagliga grunden intresseavvägning ska tillämpas. Där beskrivs bedömningen i tre steg:

  1. Är intresset berättigat?
  2. Är behandlingen nödvändig?
  3. Väger den enskildes fri- och rättigheter tyngre?  

I det senaste yttrandet vidareutvecklar EDPB sina tankar applicerat på AI-modeller. EDPB ger vissa exempel på när träning och användning av AI-modeller kan anses ske för ett berättigat intresse och tillhandahåller en checklista till hjälp för att göra den bedömning som krävs. Faktorer som spelar roll är:

  • om datan kommer direkt från individen (förstahandsdata) eller från en tredje part
  • förekomsten av tekniska lösningar som skyddar integriteten (så kallade ”PET” – Privacy Enhancing Technologies)
  • förekomsten av åtgärder som gör det lättare för personer att utöva sina rättigheter, som att få tillgång till, rätta eller radera sina uppgifter.  

Detta är en komplex bedömning och EDPB understryker vikten av att företag noggrant dokumenterar sina intresseavvägningar och säkerställer att dessa kan granskas av tillsynsmyndigheter eller andra intressenter vid behov. 

Hantering av AI-modeller utvecklade på ett olagligt sätt 

Vad händer om en modell bygger på data som inte insamlats på ett lagenligt sätt? Vilket ansvar har en tillhandahållare/användare? 

Företag som använder AI-modeller måste enligt EDPBs yttrande kontrollera att modellen har utvecklats enligt GDPR. Detta är särskilt relevant för företag som köper in färdigutvecklade modeller eller använder öppna dataset, där ursprunget och datakvaliteten inte alltid är tydligt definierade. EDPB rekommenderar att man granskar leverantörens dokumentation, till exempel en Declaration of Conformity som kommer vara ett krav för vissa AI-system när AI-förordningen successivt börjar tillämpas.  

Om modellen är helt anonymiserad gäller dock inte GDPR och om det kan fastställas med tillräcklig säkerhet riskerar tillhandahållaren inte att ”smittas” av leverantörens olagliga insamling av data. 

Frågor som återstår 

EDPB:s yttrande ger inte svar på alla frågor. Det framgår uttryckligen att man har valt att inte uttala sig om:

  • hur känsliga personuppgifter ska hanteras
  • hur organisationer ska designa system med integritet i fokus (”Privacy by Design”)
  • hur man ska applicera och utvärdera principen om ändamålsbegränsning. 

Fler riktlinjer förväntas, bland annat ännu om hur personuppgifter som skrapas från webben ska hanteras (web scraping).  

Hur påverkar detta din organisation? 

EDPB:s yttrande ger viktiga råd om vad som krävs för att följa GDPR i AI-projekt. Men det är tydligt att området är komplext och att organisationer både måste analysera och dokumentera sitt arbete noggrant. För att lyckas måste företag kombinera teknisk kompetens med kunskap om dataskyddsregler. Regelbunden utbildning och samarbete mellan juridik, teknik och compliance är avgörande.  

AI-förordningen ställer ytterligare specifika krav kring datainsamling och datahantering för system med hög risk. Dessa krav löper som en röd tråd under hela AI-systemets livscykel. Det finns alltså en tydlig, men inte alltid lätt-tolkad överlappning mellan GDPR och AI-förordningen. 

Wisepoint hjälper dig

Vi på Wisepoint vill gärna vara en del av ditt AI-projekt från start. Med vår kombination av  expertis inom AI-förordningen och GDPR samt praktisk erfarenhet från komplexa projekt får du handfast hjälp med att fatta kloka beslut och dokumentera dina överväganden på ett riktigt sätt. 

Kontakta oss för en första AI-Act Check-up eller kika in på wisepoint.se för att ta del av kommande utbildningar

Publicerat: 2024-12-19
Författare: Emelie Terlinder

Anmäl dig till vårt nyhetsbrev

Q

Fler nyheter