
Frågor och svar från webbinarium om den regulatoriska sandlådan och generativ AI
Generella frågor
Kommer det att anordnas fler webbinarier med samma inriktning under hösten?
Integritetsskyddsmyndigheten (IMY) planerar att arrangera ytterligare webbinarier under hösten. De exakta teman och datum är ännu inte fastställda. Följ oss gärna på LinkedIn eller besök vår hemsida där vi lägger ut information om våra kommande evenemang!
Webbinarier, konferenser och filmer | IMY
Regulatorisk sandlåda – utlämnande av allmänna handlingar med hjälp av AI
Vad har hänt med maskeringstjänsten hos kommunen efter att ni publicerade rapporten? Kan jag läsa mer någonstans?
Lidingö stad, tillsammans med Kungsbacka kommun, Skaraborgs kommunalförbund, Linköpings universitet och Advokatfirman Kahn Pedersen, har beviljats Vinnovastöd för projektet "Rätt till insyn". Du kan läsa mer på projektdeltagarnas gemensamma sida.
Regulatorisk sandlåda – informationsdelning mellan banker
Vilken information om en flaggad person delades tillbaka till den frågande banken? Vilka slutsatser drogs om vilken information bankerna kunde dela?
Projektet undersökte två modeller för delning av vissa kunduppgifter:
- Delning av namn, personnummer och flaggstatus.
-
Delning av namn, personnummer och flaggstatus samt delning av anledningen till en flaggning.
Om en individ inte var flaggad av någon annan bank, och således inte hade bedömts utgöra en risk för penningtvätt, terroristfinansiering eller bedrägerier, skulle individen inte dyka upp i systemet. Ingen bank skulle heller veta vilken annan bank som flaggat en viss individ.
Slutsatsen i projektet blev att det både kan vara ett allmänt intresse och ett berättigat intresse att bekämpa ekonomisk brottslighet, men att nationell lagstiftning som den ser ut idag inte möjliggör den här typen av delning som bankerna önskade göra i det aktuella fallet.
Hur bör riskerna med felaktig flaggning hanteras om systemet bygger på en potentiell felbedömning?
I projektet tittade vi på rättslig grund i förhållande till bankernas tilltänkta delning, det vill säga om det över huvud taget var möjligt att dela uppgifterna mellan bankerna. Vi tittade inte på de operationella riskerna.
Regulatorisk sandlåda – syntetisering av data
Vad skiljer syntetisering från anonymisering, och leder syntetisering till att personuppgifter blir anonyma? Finns det vägledning?
Syntetisering innebär i korthet att man skapar nya dataset som innehåller samma statistiska egenskaper som originaldatasetet. Anonymisering enligt GDPR innebär att den registrerade inte längre kan identifieras, varpå GDPR inte längre är tillämpligt. Den europeiska dataskyddsstyrelsen (EDPB) arbetar med vägledning om anonymisering och kriterier för när data kan anses vara anonymiserade i GDPR:s mening. I sammanhanget kan nämnas att personuppgifter enligt GDPR är ett brett, juridiskt begrepp som inkluderar betydligt mer än vad man menar med personuppgifter i vardagligt tal.
Syntetiserad data kan nå anonymitetsnivå som innebär att aktuella data inte anses innehålla några personuppgifter, men en bedömning måste göras i varje enskilt fall. Om syntetisering inte når full anonymitet kan den ändå minska riskerna för personuppgiftsbehandlingen och användas som en integritetshöjande åtgärd vid AI‑utveckling.
Kan man träna AI-modeller med data som innehåller personuppgifter? Är det en fråga ni tittar på i projektet och när presenteras resultatet?
Om man kan träna AI-modeller med hjälp av data som innehåller personuppgifter beror på omständigheterna i det specifika fallet. I till exempel ett av de tidigare projekten i den regulatoriska sandlådan bedömde IMY att det var möjligt att träna en AI-modell med personuppgifter med stöd av bestämmelser om verksamhetsutveckling. Det bör dock noteras att det också fanns andra aspekter som behövde beaktas och som man behöver ha med sig. I avsnitt 3 i rapporten "Federerad maskininlärning mellan två vårdgivare" finns ett vidare resonemang.
Resonemang om hur man kan träna en AI-modell för verksamhetsutveckling (pdf, 595 kB)
I det pågående projektet i den regulatoriska sandlådan undersöker IMY ett annat fall där frågan om träning av AI-modeller med personuppgifter aktualiseras. Rapporten från detta projekt är planerad att vara klar i oktober och kommer då att publiceras på IMY:s webbplats för den regulatoriska sandlådan så håll utkik där!
Riktlinjer för generativ AI
Kan privata aktörer hitta stöd i lagen för att effektivisera sin verksamhet med hjälp av att behandla personuppgifter i AI?
Det finns stöd i EU-domstolens praxis gällande annat än AI för att behandla personuppgifter i syfte att effektivisera en privat aktörs verksamhet, se till exempel domen den 4 juli 2023 i mål C-252/21, Meta v. Bundeskartellamt, ECLI:EU:C:2023:537, s. 122. Det lagliga stödet är då det som brukar kallas intresseavvägning, artikel 6.1 f i GDPR.
Mer allmänt kan kommersiella eller ideella intressen utgöra grund för att behandla personuppgifter med stöd av en intresseavvägning. Några av de frågor som den privata aktören behöver ställa sig i sammanhanget är om behandlingen av personuppgifter är nödvändig för den eftersträvade effektiviseringen och om intresset av skydd för personuppgifterna i fråga väger tyngre än intresset av effektiviseringen.
Intresseavvägning som rättslig grund
När betraktas personuppgifter som "efterfrågade" i AI-modellens utdata? Krävs det att man specifikt ställer frågan i sin prompt om att ta fram ett svar som innehåller personuppgifter?
En instruktion som begär personuppgifter utgör en behandling av personuppgifter, exempelvis "Vem är statsminister i Sverige?" Det gäller även om uppgifterna införs direkt i prompten, exempelvis "Är Ulf Kristersson Sveriges statsminister?".
Finns det dokument som kan användas som stöd inför implementering av generativ AI?
För att få stöd i överväganden gällande dataskydd innan en AI-lösning implementeras hänvisar vi till våra riktlinjer GDPR vid användning av generativ AI. Även om dessa riktlinjer är framtagna för offentlig sektor, kan de i stor utsträckning också användas av privata aktörer.
GDPR vid användning av generativ AI (pdf, 735 kB)
Vilka AI-tjänster kan användas av offentlig förvaltning enligt IMY?
IMY kan inte generellt rekommendera någon specifik tjänst. Varje organisation måste själv bedöma lämplighet utifrån syfte, verksamhet och vilka data som behandlas. Våra riktlinjer beskriver skillnaden mellan allmänt tillgängliga och inbyggda generativa AI-tjänster och kan vara till nytta för både offentliga och privata aktörer inför bedömningen kring en specifik AI-tjänst.