AI (kunstig intelligens) er ikke længere en teknologi forbeholdt fremtiden – Den er allerede en integreret del af vores hverdag. Fra tekstoptimering og databehandling til avancerede beslutningssystemer og kundeservice er AI blevet et værktøj, der åbner mange nye muligheder og udfordringer.
Men med muligheder følger også ansvar. Når AI skal implementeres i en virksomhed, er det afgørende at sikre, at brugen af teknologien sker på en gennemtænkt og forsvarlig måde.
I denne artikel kan du læse mere om AI-forordningen og AI compliance, og hvad du skal være særligt opmærksom på, når din virksomhed udvikler og implementerer AI.
AI-compliance
Helt grundlæggende er AI en teknologi, som kan udføre opgaver, der normalt kræver menneskelig intelligens.
AI er ikke en ny teknologi, men den har de seneste år været i stor udvikling og er i dag en teknologi, som mange virksomheder enten overvejer at anvende eller allerede anvender til fx at optimere og effektivisere alverdens processer og arbejdsopgaver i virksomheden.
AI bliver således en større og større del af både vores privatliv og vores arbejdsliv. De fleste kender i dag ChatGPT og andre generative AI-modeller, og mange anvender allerede AI til alt fra hjælp til at læse korrektur og optimering af tekster til at få overblik over større datamængder og understøtte forretningsgange og processer. AI kan dog anvendes til mange andre formål, og det er kun fantasien, der sætter grænserne.
Alt afhængig af, hvad AI anvendes til, er der dog en række complianceforhold, der er vigtige at være opmærksom på, når man anvender AI. Når virksomheder udvikler eller anvender AI, er det blandt andet særlig vigtigt at være opmærksom på, om der indgår behandling af personoplysninger i udviklingen, træningen eller brugen af AI, da de databeskyttelsesretlige regler i givet fald finder anvendelse.
Det er også vigtigt at være opmærksom på, om AI anvendes til at træffe automatiske beslutninger, som kan have konsekvenser for fysiske personer. Det følger nemlig af GDPR, at fysiske personer som udgangspunkt har ret til ikke at være genstand for afgørelser, der alene er baseret på automatisk behandling, herunder profilering, såfremt en sådan beslutning har retsvirkning for eller på tilsvarende vis betydeligt påvirker den fysiske person.
GDPR medfører endvidere, at virksomheden, som det er tilfældet ved alle øvrige behandlingsaktiviteter, hvori der indgår personoplysninger, skal sikre lovlig behandling. Dette betyder blandt andet, at virksomheden skal iagttage de grundlæggende principper om fx dataminimering og gennemsigtighed, ligesom virksomheden som udgangspunkt også skal udarbejde en konsekvensanalyse (DPIA), inden behandlingsaktiviteten påbegyndes.
Hertil kommer, at der med den nye AI-forordning (også kendt som AI Act) stilles en række yderligere AI compliancekrav til virksomheders anvendelse af kunstig intelligens. Alt afhængig af formålet med AI-modellen skal virksomheder fx sikre implementering af et risk management system og udarbejdelse af en ”Fundamental Rights Impact Assessment” (FRIA), ligesom der stilles krav til de datasæt, der anvendes i træningen af AI-modellen.
AI-forordningen
AI-forordningen regulerer udvikling og brug af AI og skal helt grundlæggende sikre beskyttelse af individers sikkerhed og rettigheder.
AI-forordningen trådte i kraft den 1. august 2024, og de første dele af AI forordningen får virkning fra den 2. februar 2025.
AI-forordningen kategoriserer overordnet set AI-modeller i en række forskellige risikoniveauer. Kategoriseringen fastsættes ud fra formålet med anvendelsen af AI-modellen og omfatter følgende kategorier:
◉ De forbudte AI-modeller:
Omfatter blandt andet systemer, som udnytter fysiske personers sårbarheder, foretager følelsesgenkendelse på arbejdspladser eller uddannelser og ansigtsgenkendelse i det offentlige rum.
Da brug af sådanne AI-modeller vil medføre en meget høj og uacceptabel risiko for fysiske personer, er der kun ganske få undtagelser til dette forbud, herunder fx i forbindelse med retshåndhævelse.
◉ Højrisiko AI-modeller:
Omfatter blandt andet anvendelse af AI-modeller inden for biometri, uddannelse, kritisk infrastruktur, beskæftigelse, forvaltning af arbejdstagere, retshåndhævelse og vurdering af livs- og sundhedsforsikringsvilkår.
Såfremt en virksomhed ønsker at gøre brug af AI-modeller til sådanne formål, er det vigtigt at være opmærksom på, at det medfører en række forpligtelser og compliancekrav efter AI forordningen, herunder krav til træningsdata, implementering af et risk management system, samt dokumentation for, at det ikke er AI-modellen, der foretager nogle endelige beslutninger i processen.
◉ Regulerede AI-modeller:
Omfatter blandt andet AI-modeller, som er indrettet til at interagere med og målrettet til fysiske personer. Ved brug af sådanne AI-modeller, er det et krav, at de fysiske personer, AI-modellen interagerer med, bliver oplyst herom, samt at der sikres en tydelig markering af AI-modellens outputs (fx mærkning af fotos eller AI generet tekst).
◉ General-purpose AI-modeller:
Omfatter AI-modeller som anvendes til generelle formål, men stadig besidder visse påvirkningsmuligheder. Disse AI-modeller har ikke samme indvirkning som ovenstående typer af AI-modeller, men der er dog en række forhold, som det er vigtigt at være opmærksom på, herunder fx at der skal foreligge teknisk dokumentation for AI-modellen, politik til overholdelse af EU-lovgivning om copyright, cybersecurity og rapportering af eventuelle hændelser.
◉ Ikke regulerede AI-modeller:
Omfatter de AI-modeller, som ikke besidder påvirkningsmuligheder og derfor ikke indgår i nogen af de ovenstående kategorier. Ved brug af disse AI-modeller er det dog stadig vigtigt at være opmærksom på fx udarbejdelse af politikker for anvendelse, eventuelle fortrolighedsproblematikker og immaterielle rettigheder samt brug af general purpose AI til ”egenudvikling”.
AI-forordningen er endeligt vedtaget og de første dele af forordningen har virkning fra februar 2025. Virksomheder bør således allerede nu sørge for at tage højde for de begrænsninger og AI compliancekrav, der følger af forordningen, i deres arbejde med udvikling og implementering af AI-tools. Disse krav og begrænsninger bør der tages højde for så tidligt som muligt i processen for at undgå unødig brug af ressourcer på udvikling og implementering af AI-tools, som i værste fald ikke kan bringes i anvendelse uden overtrædelse af AI-forordningen.
Konsekvensanalyse (DPIA)
Forud for implementeringen af et AI-tool, som behandler personoplysninger, vil det oftest være nødvendigt at gennemføre en konsekvensanalyse (DPIA) med henblik på at kortlægge risikobilledet for behandlingsaktiviteterne og konkludere, om Datatilsynet skal høres inden ibrugtagning af systemet.
Som led i konsekvensanalysen skal virksomheden blandt andet kortlægge datastrømme og identificere risici ved den påtænkte behandling af oplysningerne samt kortlægge, hvilke sikkerhedsforanstaltninger der er nødvendige for at tilpasse de konstaterede risici til et acceptabelt niveau. Såfremt det ikke er muligt at tilpasse de konstaterede risici, skal Datatilsynet høres om den påtænkte behandlingsaktivitet inden ibrugtagning af AI-toolet.
Lovgrundlag og legitime formål
Virksomheden skal også vurdere, hvilket lovgrundlag personoplysningerne kan behandles på baggrund af.
Det er i den forbindelse vigtigt at være opmærksom på, at allerede indsamlede personoplysninger ikke må anvendes til andre formål, som ikke er forenelige med de formål, hvortil de oprindeligt er indsamlet.
Herudover er det også nødvendigt, at der foretages en vurdering af, hvor få personoplysninger der er nødvendige for at kunne opnå den ønskede funktionalitet ved AI-toolet. Virksomheden bør således sikre dataminimering, anonymisering og pseudonymisering af personoplysninger i størst muligt omfang.
Det er derfor afgørende at skabe sig et overblik over de behandlingsaktiviteter, AI-toolet medfører. Denne proces medvirker i øvrigt til, at fejl og complianceudfordringer spottes løbende, ligesom processen er medvirkende til at skabe overblik over særlige risici og sikre hurtige responstider på eventuelle fejl eller mangler.
Følsomme personoplysninger
Der gælder ikke et generelt forbud mod anvendelse af AI til behandling af følsomme personoplysninger, men det er vigtigt at være opmærksom på, at lovgrundlaget for en sådan behandling ofte vil være datasubjekternes samtykke. Dette gælder fx ved brug af biometriske data i ansigtsgenkendelsesværktøjer til brug for adgangskontrol.
Datatilsynet har for nylig truffet afgørelse i en klagesag vedrørende et fitnesscenters brug af ansigtsgenkendelse, hvor Datatilsynet vurderede, at behandlingsaktiviteten forudsatte samtykke, og i øvrigt udtalte, at et gyldigt samtykke til en sådan behandlingsaktivitet også forudsætter, at der stilles et reelt alternativ til rådighed, da samtykket i modsat fald ikke kan betragtes som frivilligt.
I den konkrete sag vurderede Datatilsynet, at det udgjorde et reelt alternativ til behandlingen, at brugere af fitnesscenteret i stedet kunne anvende centeret i den bemandede åbningstid eller henvende sig telefonisk til en døgnsupport uden for den bemandede åbningstid.
Læs hele afgørelsen på Datatilsynets hjemmesideRetten til ikke at være genstand for afgørelser, der udelukkende er baseret på automatiske beslutninger
Det følger af GDPR, at datasubjekter har ret til ikke at være genstand for afgørelser, der udelukkende er baseret på automatiske beslutninger (herunder profilering), som har retsvirkning for eller på tilsvarende vis betydeligt påvirker den pågældende.
Påtænker man således at anvende AI i fx rekrutteringsprocesser, til understøttelse af lederes håndtering af medarbejderudviklingssamtaler eller til besvarelse af kundeservicehenvendelser, er det vigtigt at være opmærksom på at sikre, at der ikke træffes afgørelser alene baseret på AI.
Sikring af denne rettighed forudsætter således blandt andet en vurdering af, om de beslutninger, der træffes, har retsvirkning eller betydeligt påvirker et datasubjekt. Herudover er det en helt grundlæggende forudsætning, at medarbejdere, som arbejder med sådanne AI-understøttede processer, får grundig og løbende træning i brugen af AI-toolet samt de grænser, GDPR sætter herfor.
Oplysning om behandling af personoplysninger
Når en virksomhed behandler personoplysninger som dataansvarlig, er virksomheden også forpligtet til på en gennemsigtig måde at give datasubjekterne oplysninger om behandlingsaktiviteterne, herunder formålet med anvendelsen, og på hvilket lovgrundlag der behandles personoplysninger, samt om der forekommer automatiske afgørelser, og i givet fald som minimum meningsfulde oplysninger om logikken heri samt den betydning og de forventede konsekvenser, en sådan behandling kan medføre for datasubjekterne.
Hertil kommer, at kravet om gennemsigtighed forudsætter, at kommunikationen i et let forståeligt sprog er målrettet datasubjekterne, således at der fx tages højde for, om gruppen af datasubjekter inkluderer fx børn eller sårbare personer.
Korrekt efterlevelse af virksomhedens oplysningsforpligtelse kræver således et indgående kendskab til, hvordan virksomheden anvender AI til behandling af personoplysninger.
Sanktioner ved manglende overholdelse af GDPR og AI-forordningen
Det følger af GDPR, at Datatilsynet har en række sanktionsmuligheder overfor virksomheder og myndigheder, der ikke overholder de databeskyttelsesretlige regler. Datatilsynet kan således fx udstede påbud eller udtale kritik. Herudover kan private virksomheder også pålægges bøder på op til 20 mio. EUR eller 4 % af den samlede globale koncernomsætning, hvis det beløb er højere.
Efter samme principper medfører AI-forordningen, at der kan udstedes bøder på mellem 2 og 7 % af omsætningen eller op til 35 mio. EUR, såfremt anvendelsen af AI-modeller ikke overholder reglerne i AI forordningen.
I såvel GDPR som i AI-forordningen afhænger bøderammen af en række forhold, herunder blandt andet, hvilke konkrete regler der er overtrådt.
CLEMENS rådgiver om AI forordningen og AI compliance
Hos CLEMENS følger vi udviklingen i reglerne om AI forordningen og AI compliance samt databeskyttelse nøje, og vi sørger for at opdatere løbende med relevante nyheder om udviklingen inden for området.
Hvis du har spørgsmål til artiklen, GDPR eller AI Act, eller til, hvordan reglerne kan påvirke din forretning, eller har du brug for hjælp til at skabe et overblik over det juridiske ved udvikling af en AI-løsning, er du altid velkommen til at række ud til vores complianceteam