AI: hjælp eller risiko for GDPR?

AI udfordrer håndtering af persondata

Kunstig intelligens er blevet hverdag i mange organisationer – fra rekruttering til kundeservice og softwareudvikling. Det rejser en række nye spørgsmål om databeskyttelse og ansvar. 

Hvor går grænsen mellem innovation og lovbrud, når AI bruger eller genererer personoplysninger? Og hvordan forener du GDPR’s krav med AI’s appetit på data? 

Tre centrale dilemmaer  

1. Dataminimering vs. datamængder

AI-modeller kræver store mængder data for at fungere. GDPR insisterer på, at der kun må behandles data, der er nødvendige og relevante.  

Spørgsmålet er, hvordan du balancerer behovet for datamængder med princippet om dataminimering. 

2. Gennemsigtighed og forklaring

GDPR kræver, at de registrerede forstår, hvordan deres data behandles. Men mange AI-modeller fungerer som “black boxes”.  

Hvordan forklarer du fx en ansøger, hvorfor deres jobansøgning blev sorteret fra af et screeningssystem? Eller en kunde, hvorfor en algoritme har vurderet deres energiforbrug som unormalt højt? 

3. Internationale dataoverførsler: Hvor havner dine data?

GDPR stiller klare krav til, at du altid ved, hvor personoplysninger behandles og opbevares. Det gælder også, når I bruger cloudbaserede AI-tjenester. 

Hvis data forlader EU/EØS, skal der være et gyldigt overførselsgrundlag – fx EU’s standardkontraktbestemmelser (SCCs) eller EU–US Data Privacy Framework. Schrems II-dommen viste, hvor komplekst dette kan være, fordi USA ikke automatisk anses for at give et tilstrækkeligt beskyttelsesniveau. 

Det betyder, at du skal kunne dokumentere: 

• hvor data ender,
• hvilke garantier der er på plads, og
• hvilke supplerende sikkerhedsforanstaltninger I har truffet.

AI kan gøre det vanskeligt at bevare overblikket, men uden dette overblik kan du ikke leve op til GDPR’s krav om gennemsigtighed, lovlighed og ansvarlighed. 

Sådan håndterer du AI i dit GDPR-arbejde

AI kan hurtigt føles som en ekstra byrde oven i de eksisterende opgaver. Men med en systematisk tilgang kan du bruge de samme redskaber, du allerede kender fra GDPR-arbejdet, til også at styre AI.  

Her er fire praktiske skridt, der gør det lettere at bevare overblikket:

1. Inddrag AI i jeres risikovurderinger og konsekvensanalyser

Når nye AI-værktøjer tages i brug, bør de indgå i en DPIA (Data Protection Impact Assessment).  

Kortlæg, hvilke personoplysninger værktøjet behandler, hvilke risici der følger med, og hvordan I reducerer risikoen. En simpel tjekliste kan være nok til at opdage problemer, før de vokser sig store. 

2. Spørg kritisk ind til leverandørers dokumentation og databehandleraftaler

AI-tjenester fungerer ofte som black boxes. Stil krav til leverandøren:  

• Hvor lagres data?  
• Bliver oplysninger brugt til at træne modeller?  
• Hvordan håndteres sletning?  

Sørg for, at det står klart i databehandleraftalen – og undgå leverandører, der ikke vil svare. 

3. Sørg for at ledelsen forstår, at AI ikke fritager for GDPR – men skærper kravene

AI kan give fornemmelsen af, at “systemet klarer det hele”. Men det er stadig organisationen, der har ansvaret for lovligheden af databehandlingen.  
 
Tag initiativ til korte orienteringer af ledelsen, så de ved, at AI kræver governance og dokumentation på linje med – eller mere end – andre systemer.

4. Hold øje med udviklingen af AI Act, som vil supplere – ikke erstatte – GDPR

AI Act klassificerer systemer efter risikoniveau og pålægger særlige krav til bl.a. højrisiko- og generelle AI-systemer. Følg med i, hvordan loven rulles ud – og overvej allerede nu, hvordan jeres GDPR-dokumentation kan genbruges i en kommende AI Act-ramme. 

AI åbner for nye muligheder, men det ændrer ikke på, at organisationer stadig skal overholde GDPR. Det betyder et større behov for risikovurderinger, klare databehandleraftaler og skarp kommunikation til både ledelse og medarbejdere. Jo bedre du forstår samspillet mellem AI og GDPR, desto stærkere står du, når nye teknologier og krav rammer din organisation.