Anbefalinger for godt personvern i utvikling og bruk av kunstig intelligens

Som en oppsummering har vi utformet et knippe anbefalinger for personvernvennlig utvikling og bruk av kunstig intelligens.

Forskning og utvikling av kunstig intelligens

Disse anbefalingene er rettet mot aktører som driver med grunnutvikling av kunstig intelligens. Det vil i hovedsak være forskningsmiljøer på universiteter og store kommersielle virksomheter. Dette er en viktig målgruppe fordi det er aktørene som utvikler grunnteknologien som er forutsetningen for videre bruk av kunstig intelligens.

  • Forsk på hvordan man kan gjøre teknologien mer personvernvennlig
    Hvordan man kan utvikle teknologi som gjør det enkelt for brukere av teknologien å etterleve regelverket? Det kan for eksempel forskes på løsninger som bruker mindre treningsdata, anonymiserings-teknikker og løsninger som forklarer hvordan systemene behandler data og hvordan de konkluderer. Andre interessante forskningsområder er hvordan legge til rette for revisjon av systemene, gjerne i regi av tredjeparter.
  • Tenk tverrfaglig
    Kunstig intelligens er mer enn bare teknologi. Det er viktig å sette sammen tverrfaglige team som kan vurdere de etiske og samfunnsmessige konsekvensene av systemene som utvikles. Forskning kan også belyse hvor bruk av kunstig intelligens kan ha stor samfunnsmessig verdi, og på hvilke områder det kan være mer problematisk.

Løsningsleverandører

Anbefalingene er ment for virksomheter som benytter seg av grunnteknologi utviklet av andre – virksomheter som benytter kunstig intelligens i egne prosjekter eller i løsninger som tilbys andre. De kan være databehandlere eller selger av selve systemet. Anbefalingene er også relevante for forskningsmiljøer som bruker grunnteknologi utviklet av andre.

  • Sett dere inn i personvernregelverket
    Gjør dere kjent med hvilke plikter dere har, og hvilke rettigheter og plikter bestilleren eller brukeren av løsningen har.
  • Velg modeller som er tilpasset personvernbehovene til bestilleren
    For eksempel kan ikke alle typer modeller forklare hvordan den kom fram til et spesifikt resultat.
  • Relevant og nødvendig
    Begrens mengden personopplysninger i treningsdata til det som er relevant og nødvendig for formålet.
  • Innebygd personvern
    Sørg for, og dokumenter, at løsningen dere utvikler oppfyller kravene om innebygd personvern.
  • Dokumenter
    Dokumenter hvordan kravene i personvernregelverket oppfylles. Dette er et krav i regelverket, og kunder eller brukere av teknologien vil spørre etter dette.
  • Informasjon og veiledning
    Gi kundene veiledning i hvordan ulike løsninger ivaretar personvernet, for eksempel om løsningen kan bidra til å oppfylle informasjonsplikten og hvordan kunden kan teste eller revidere løsningen for å sikre at den etterlever regelverket og interne krav.

Kjøp og bruk av systemer basert på kunstig intelligens

Disse anbefalingene er rettet mot virksomheter som kjøper inn og bruker IT-løsninger som er basert på kunstig intelligens-teknologi. Denne målgruppen må stille krav.

  • Gjør en risikovurdering
    Ved behov, utred også personvernkonsekvensene før du kjøper et system, setter det i bruk og etter at systemet er tatt i bruk.
  • Innebygd personvern
    Still krav til at løsningen dere bestiller oppfyller kravene til innebygd personvern.
  • Gjør regelmessige tester
    Testing er nødvendig for å sikre at løsningen etterlever kravene i regelverket, for eksempel for å unngå skjult forskjellsbehandling.
  • Ivareta brukernes rettigheter
    Sørg for at løsningen ivaretar rettighetene til brukerne dine, for eksempel retten til å begrense behandlingen. Sørg også for å ha gode systemer for å ivareta de registrertes rettigheter, slik som retten til informasjon, innsyn og sletting. Systemet må også legge til rette for samtykkehåndtering, inkludert tilbaketrekking av samtykke.
  • Adferdsnorm?
    Vurder å etablere adferdsnormer (bransjenormer), etiske retningslinjer eller et «personvernpanel» bestående av eksterne eksperter på teknologi, samfunn og personvern. Disse kan gi innspill på juridiske, etiske og teknologiske utfordringer – og muligheter – forbundet med bruk av kunstig intelligens.

Sluttbrukere

En sluttbruker vil si den registrerte som bruker en tjeneste eller som er gjenstand for behandling av personopplysninger ved bruk av kunstig intelligens. Her er en oppsummering av deres rettigheter:

  • Rett til informasjon
    Sluttbruker har rett på forståelig og lett tilgjengelig informasjon om at egne personopplysninger blir behandlet. Denne retten gjelder både når virksomheter innhenter opplysninger fra bruker direkte, og når de hentes fra andre kilder. Brukeren skal blant annet få vite hva opplysningene skal brukes til (formål) og hvilket behandlingsgrunnlag virksomheten baserer behandlingen på. Det kan for eksempel være hjemmel i lov, en avtale eller ditt uttrykkelige samtykke.
  • Samtykke
    I mange sammenhenger må den som skal behandle personopplysninger om brukeren få samtykke fra bruker før behandlingen kan settes i gang. Den som behandler opplysningene er ansvarlig for å dokumentere at gyldig samtykke er gitt, det vil si at bruker har gitt en frivillig, spesifikk, informert og utvetydig erklæring om at man godtar at egne personopplysninger blir behandlet. Bruker har også rett til å trekke samtykker som er gitt tidligere.
  • Rett til innsyn
    Bruker har rett til å kontakte virksomhetene og be om å få vite om de behandler opplysninger om bruker, og i så fall hva som er registrert. Bruker har som regel rett til å få en kopi av de registrerte opplysningene. Det er imidlertid noen unntak fra innsynsretten, for eksempel innen justissektoren.
  • Retten til å korrigere og slette opplysninger
    Bruker har rett til å kreve at uriktige eller unødvendige opplysninger blir korrigert eller slettet.
  • Retten til å komme med innsigelse mot at opplysninger om deg blir behandlet
    Bruker kan ha rett til å protestere mot at personopplysninger blir behandlet. Dersom bruker protesterer mot direkte markedsføring, skal den stoppes uten at bruker trenger å gi noen nærmere begrunnelse. I andre sammenhenger kan det være at bruker må begrunne innsigelsesretten med forhold som er knyttet til sin situasjon. Da må virksomheten stoppe behandlingen, med mindre de kan påvise at de har tvingende berettigede grunner til å behandle opplysningene, og at disse grunnene veier tyngre enn brukerens interesser, rettigheter og friheter.
  • Retten til å kreve begrenset behandling
    Om bruker mener at noen opplysninger er feil, behandles ulovlig, eller at retten til å protestere mot behandlingen er benyttet, kan virksomheten bli nødt til å stoppe bruken av opplysningene, men fortsatt lagre disse fram til uenigheten er avklart.
  • Dataportabilitet
    Dersom bruker etter avtale eller samtykke har gitt fra seg opplysninger om seg selv, kan bruker kreve disse opplysningene utlevert fra virksomheten i en strukturert, alminnelig anvendt og maskinlesbar form.

Myndigheter

Disse anbefalingene er for lovgivere og politiske beslutningstakere som er premissgivere for utvikling og bruk av kunstig intelligens.

  • Gode forbilder
    Sørg for at offentlig sektor går foran som et godt eksempel ved bruk av kunstig intelligens. Det krever at offentlig sektor har høy bevissthet rundt etikk og personvernkonsekvensene ved løsningene de bruker, og at de utvikler en bestillerkompetanse som gjør at løsningene har innebygd personvern og oppfyller lovkravene.
  • Bevilg midler til forskning
    Bevilg midler som sikrer at teknologien håndterer personopplysningene i samsvar med personvernregelverket. Dette er ikke bare et lovkrav, men kan også være en konkurransefordel for norsk næringsliv.
  • Relevant kompetanse
    Sørg for at tilsynsmyndigheter har relevant kompetanse, og legg til rette for erfarings-utveksling og kunnskapsdeling på tvers av sektorene.
  • Oppdatert lovgivning
    Sørg for at lovgivningen holder følge med den teknologiske utviklingen. Dette gjelder all lovgivning som er relevant for bruk av personopplysninger.
21