Tänk säkert hela året - om generativ AI och personuppgiftsansvar

Generativ AI har blivit en allt mer naturlig del i många verksamheter, som ett verktyg som används internt men också som en tjänst som erbjuds kunder och medborgare. Generativ AI erbjuder stora möjligheter men det finns risker som man behöver ta itu med. I detta blogginlägg kommer vi att se på några av dessa risker.

Risker och fallgropar

När man använder generativ AI som exempelvis chatbottar internt i verksamheten eller erbjuder det till medborgare eller kunder finns det en hel del att ta hänsyn till.

• Vanligtvis sparas allt som skrivs (promtas) till chatbotten. Därför är det viktigt att veta var dessa uppgifter sparas. Sparas de hos leverantören eller i en lokal miljö som endast behöriga i den egna verksamheten har tillgång till? Överförs informationen till ett tredjeland och behöver man ta hänsyn till det?
• Tränas modellen på informationen som skrivs till den? Är det möjligt att personuppgifter överförs till andra verksamheter? Är överföringen förenlig med GDPR? Om man kommer fram till att det inte är den att förenlig med GDPR, går det då att exempelvis stänga av den funktionen?
• Om en verksamhet tränar eller finjusterar en modell så behöver man säkerställa kvaliteten på träningsdatan, att den är korrekt och representativ samt följer principen om uppgiftsminimering.
• Vid användning av generativ AI behandlas nästan alltid personuppgifter. Den personuppgiftsansvarige måste då se till att de registrerades rättigheter tas tillvara, som exempelvis rätten att får sina uppgifter borttagna.
• En generativ AI kan ibland hallucinera. Man kan säga att modellen gissar och att metoder belönar träffsäkerhet. Det gör att modellen hellre gissar än säger ”jag vet inte”.  Man behöver ha en process för att hantera det i sitt AI-system.

Vad kan du göra som personuppgiftsansvarig?

• Ha kontroll på hela processen: modellen, träning, användning och utfall. Det är viktigt att ha med mänsklig kontroll i alla steg när man jobbar med AI-system.  
• Ha policyer och instruktioner för hur AI får användas inom verksamheten. Alla ska veta hur en generativ AI får användas och vilken data som eventuellt får delas med den. Alla behöver få förståelse vad systemet kan göra och vad det inte kan göra.
• Om modellen tränas eller finjusterats behöver man se till att datan som den tränas på är korrekt och representativ. Följ principen om uppgiftsminimering. Använd anonymiserad, pseudonymiserad eller syntetiska data vid om det är möjligt.
• Se till att leverantören av chatbotten har förmågan att följa kraven i GDPR. Relevanta avtal och skyddsmekanismer ska finnas på plats. Följ upp kontinuerligt och anpassa efter de risker som kommer fram i den kontinuerliga riskanalysprocessen.
• Informera de registrerade om användningen av AI. Information om behandlingen av personuppgifter ska lämnas både när uppgifterna samlas in och när den registrerade begär det.
• Ha processer på plats för att hantera de registrerades rättigheter. Se till att det sker i alla delar av behandlingen, exempelvis vid begäran om rättelse eller radering.
• Bestäm lämplig nivå av mänsklig kontroll samt tekniska och organisatoriska åtgärder så att modellen agerar som förväntat och att resultaten är korrekta. Även här behöver man titta på hela processen: systemets tekniska design, utbildning av anställda samt hur systemet ska avvecklas den dag det blir dags.