get_queried_object(); $id = $cu->ID; ?>

Kunsten å invitere på teknologisk blåtur

Kunstig intelligens er som en ustoppelig arbeidshingst. Den kan kjapt kan se sammenhenger, som tradisjonell intelligens kanskje aldri ville oppdaget. Kunstig intelligens (KI) kan derfor gi mange nye muligheter. Akkurat til hva, kan likevel være vanskelig å spå før algoritmen er utviklet og tatt i bruk. Hva gjør du da, når regelverket krever at du vet hva du vil med verktøyet før du setter i gang?

I likhet med ekte intelligens, må kunstig intelligens lære selv, for å utføre en oppgave. Det ligger i kunstig intelligens’ natur at du ikke på forhånd kan bestemme akkurat hvordan den vil lære seg noe. Noen ganger oppstår også hell i uhell, og du oppdager at du kan bruke KI-en til flere, eller andre ting, enn den var utviklet for.

Åpenhet om formål

Når kunstig intelligens skal lære av eller brukes på personopplysninger, stiller regelverket krav om at man er åpen om formålene med bruken. Personene som opplysningene gjelder – de registrerte – har krav på å vite hva opplysningene skal brukes til. Denne informasjonen skal man få før personopplysningene samles inn.

Åpenhet har vært hovedtema for prosjektet Ruter har deltatt med i Datatilsynets KI-sandkasse. Ruter planlegger å bruke kunstig intelligens i sin app for å tilby kundene persontilpassede reiseforslag. I sandkasseprosjektet har Datatilsynet og Ruter diskutert hvordan de kan være åpne om behandlingen av personopplysninger i denne løsningen.

Les sluttrapporten fra Ruterprosjektet, «I rute med kunstig intelligens».

Det kan være vanskelig å på forhånd vite hvilken bruk av personopplysninger som trengs for å få den kunstige intelligensen til å virke som den skal. I tillegg kan den kunstige intelligensen vise seg å ha flere bruksområder når den er blitt opplært. I motsetning til Ruters bussruter, som skal være så forutsigbare som mulig, vil det være en styrke for Ruters app om den overrasker med nye måter å reise bedre på. Stenger da regelverket for å gjøre noe utover det du så for deg i utgangspunktet?

Hvor mye skal til?

Vi kan omformulere spørsmålet til hvor mye du må få vite før personopplysningene dine samles inn. Regelverket krever at formålene skal være spesifikke, uttrykkelig angitte og berettigede. Du kan altså ikke invitere på blåtur i forstand av så brede formål, at man i realiteten ikke forstår rekkevidden av hva personopplysningene kan brukes til. Når du har angitt formålene, setter de skranker for hvilken bruk som er tillatt. Oppdager du senere at det er verdifullt å bruke personopplysningene til et nytt formål? Ja, da må du gjøre nye vurderinger og finne et nytt rettslig grunnlag for bruken. Og ikke minst – la være å gå videre med det nye formålet, om du ikke finner dekning for det.

Et hovedhensyn er at måten personopplysningene behandles på skal være forutberegnelig. Bruken må knytte seg tett nok opp mot det formålet som var definert ved innsamling. På den måten får de registrerte en større grad av kontroll over hvordan noen bruker personopplysningene deres. Hvis man ser at bruken i realiteten knytter seg til et annet formål, skal den som hovedregel ikke skje, med mindre man starter på nytt med nye vurderinger og tiltak som kan gjøre bruken lovlig.

Forutsigbarhet for de registrerte er avgjørende for tillit. Tillit er viktig når man skal la kunstig intelligens jobbe med folks personopplysninger. Så hvordan skaper du forutsigbarhet ved bruk av et verktøy som (delvis) har uforutsigbarhet som sin styrke?

Å avgrense formål

Når du først har identifisert alle bruksområder du kan se for deg, og bestemt deg for hvilke formål du vil forfølge, kommer spørsmålet om hva som hører inn under ett og samme formål opp. Selv om ulik bruk av personopplysninger i den kunstige intelligensen kan utfylle ulike oppgaver, kan bruken høre til samme formål.

I sandkasseprosjektet diskuterte Ruter og Datatilsynet for eksempel om behandling av personopplysninger for å gi persontilpassede reiseforslag og etterlæring av den kunstige intelligensen er to separate formål. Ruter forklarte, at det er vanskelig å få til det ene uten det andre. For at den kunstige intelligensen skal klare å gi gode, persontilpassede reiseforslag, må den stadig læres opp. For eksempel må den tilpasse seg endringer i reisemønster.

Man kan altså se det slik at etterlæringen er en behandlingsaktivitet som hører inn under formålet om å gi persontilpassede reiseforslag. Det samme kan sies om retting av feil eller justering av elementer den kunstige intelligensen legger vekt på før den gir et reiseforslag.

Bruk for nye formål

Ruter har planlagt å legge til rette for god informasjon om formålene de kan se for seg allerede ved innsamling. Hvis det senere oppstår behov for å oppfylle nye formål, som de ikke så for seg ved innsamling, kan de i utgangspunktet ikke gå videre med bruken. Det finnes likevel mulighet for å oppfylle det nye formålet, dersom det er forenelig med det opprinnelige formålet.

En type bruk, som i regelverket er angitt som forenelig uansett opprinnelig formål, er bruk for statistiske formål. Såfremt du sørger for å avidentifisere og beskytte opplysningene i så stor grad som mulig, samt å informere om ny bruk, kan bruk for statistiske formål være mulig selv om det er et nytt formål. I den grad du ser for seg en slik bruk allerede på innsamlingstidspunktet, må du likevel informere om det som et eget formål allerede da.

Fordel å ha tunga rett i munnen fra starten av

Når du skal bruke personopplysninger, må du ta noen hensyn som kan være krevende ved utvikling og bruk av kunstig intelligens. Bruksmulighetene begrenses ut fra hva slags informasjon man har gitt til de registrerte ved innsamlingen.

Man må planlegge godt. Det betyr å informere godt – ved innsamling – om alt du planlegger å bruke personopplysningene til. Godt forarbeid på dette området vil kunne gjøre jobben med den kunstige intelligensen lettere i et langsiktig perspektiv. Da får man en vinn-vinn-situasjon for virksomheten og for de registrerte.

Hvor er norske politikere?

Tekgigantenes algoritmer påvirker hvem vi snakker med, hvilken informasjon vi får og hvilke valg vi tar. Våre rettigheter og demokratiske verdier er i ferd med å outsources til amerikanske og kinesiske selskaper. Skal vi bare sitte og se på? (Dette innlegget er...

les mer

Personvern i skolen er under press

Snart er det skolestart, og igjen tid for å åpne Chromebooken for tusenvis av skolebarn over hele landet.  Passer den offentlige skolen godt nok på barnas personopplysninger? Om lag 20 prosent av befolkningen er under 18 år. Dagens digitale virkelighet er at...

les mer

En personvernguide til Arendalsuka 2022

Like sikkert som at sommerferien snart er over, er det at Arendalsuka kommer. En rask gjennomgang av programmet viser at digitalisering, klimadebatter og effekten av krigen i Ukraina er temaer for flere av arrangementene. Spørsmål om personvern strekker seg inn i...

les mer

Når Google vet at du er skeiv

Hvem skal bestemme når vi kommer ut av skapet? Innsamling av personopplysninger brukes i stor grad for å tilpasse innhold til den enkelte av oss på nettet. Internasjonale selskaper som Google, Facebook og Amazon lager målrettet og persontilpasset markedsføring basert...

les mer

Overfladisk hagearbeid i det digitale økosystemet

Hvis big tech er et tre, trimmer Digital Markets Act greinene som skygger for sola. Imens graver røttene seg dypere inn i samfunnets grunnmur, og ugresset i adtech får stå. (Denne kommentaren sto på trykk i april-utgaven av Computerworld.) Data er makt, og noen har...

les mer

Trender og status for personvernet 2022

Vi er nå inne i et momentum for å få til endringer som stiller langt større personvernkrav. Dette innlegget ble holdt på KiNS-konferansen (Foreningen Kommunal Informasjonssikkerhet ) i april 2022, og er en forkortet versjon. KiNS-konferansen er en viktig tradisjon og...

les mer

Datatilsynets rapport fremmer samfunnets verdier

Dette innlegget ble først publisert på kom24.no og er skrevet av Janne Stang Dahl, kst. direktør, og Tobias Judin, seksjonssjef. Ståle Lindblad sparker i alle retninger i innlegget sitt mot Datatilsynet og Facebook-rapporten vi publiserte. Ikke bare er han...

les mer

Høring i EU-parlamentet

I dag var jeg invitert til å delta i en høring i EU-parlamentets LIBE-komité, altså "Committee on Civil Liberties, Justice and Home Affairs". Temaet for høringen var håndhevingen av GDPR, hvor vi i Datatilsynet mener det er rom for forbedringer. Nedenfor følger...

les mer

En strutsebasert tilnærming til personvern

Når strutser møter utfordringer, stikker de hodet i sanden eller sparker. Det kan forklare Wiersholms sleivspark til Datatilsynet. (Dette innlegget ble publisert på DN.no 21. februar 2022.) Tre jurister i Wiersholm skriver om at Google Analytics er i...

les mer

Siste kommentarer

    Arkiv