Forskning og utvikling av kunstig intelligens
Disse anbefalingene er rettet mot aktører som driver med grunnutvikling av kunstig intelligens. Det vil i hovedsak være forskningsmiljøer på universiteter og store kommersielle virksomheter. Dette er en viktig målgruppe fordi det er aktørene som utvikler grunnteknologien som er forutsetningen for videre bruk av kunstig intelligens.
- Forsk på hvordan man kan gjøre teknologien mer personvernvennlig
Hvordan man kan utvikle teknologi som gjør det enkelt for brukere av teknologien å etterleve regelverket? Det kan for eksempel forskes på løsninger som bruker mindre treningsdata, anonymiserings-teknikker og løsninger som forklarer hvordan systemene behandler data og hvordan de konkluderer. Andre interessante forskningsområder er hvordan legge til rette for revisjon av systemene, gjerne i regi av tredjeparter.
- Tenk tverrfaglig
Kunstig intelligens er mer enn bare teknologi. Det er viktig å sette sammen tverrfaglige team som kan vurdere de etiske og samfunnsmessige konsekvensene av systemene som utvikles. Forskning kan også belyse hvor bruk av kunstig intelligens kan ha stor samfunnsmessig verdi, og på hvilke områder det kan være mer problematisk.
Løsningsleverandører
Anbefalingene er ment for virksomheter som benytter seg av grunnteknologi utviklet av andre – virksomheter som benytter kunstig intelligens i egne prosjekter eller i løsninger som tilbys andre. De kan være databehandlere eller selger av selve systemet. Anbefalingene er også relevante for forskningsmiljøer som bruker grunnteknologi utviklet av andre.
- Sett dere inn i personvernregelverket
Gjør dere kjent med hvilke plikter dere har, og hvilke rettigheter og plikter bestilleren eller brukeren av løsningen har.
- Velg modeller som er tilpasset personvernbehovene til bestilleren
For eksempel kan ikke alle typer modeller forklare hvordan den kom fram til et spesifikt resultat.
- Relevant og nødvendig
Begrens mengden personopplysninger i treningsdata til det som er relevant og nødvendig for formålet.
- Innebygd personvern
Sørg for, og dokumenter, at løsningen dere utvikler oppfyller kravene om innebygd personvern.
- Dokumenter
Dokumenter hvordan kravene i personvernregelverket oppfylles. Dette er et krav i regelverket, og kunder eller brukere av teknologien vil spørre etter dette.
- Informasjon og veiledning
Gi kundene veiledning i hvordan ulike løsninger ivaretar personvernet, for eksempel om løsningen kan bidra til å oppfylle informasjonsplikten og hvordan kunden kan teste eller revidere løsningen for å sikre at den etterlever regelverket og interne krav.
Kjøp og bruk av systemer basert på kunstig intelligens
Disse anbefalingene er rettet mot virksomheter som kjøper inn og bruker IT-løsninger som er basert på kunstig intelligens-teknologi. Denne målgruppen må stille krav.
- Gjør en risikovurdering
Ved behov, utred også personvernkonsekvensene før du kjøper et system, setter det i bruk og etter at systemet er tatt i bruk.
- Innebygd personvern
Still krav til at løsningen dere bestiller oppfyller kravene til innebygd personvern.
- Gjør regelmessige tester
Testing er nødvendig for å sikre at løsningen etterlever kravene i regelverket, for eksempel for å unngå skjult forskjellsbehandling.
- Ivareta brukernes rettigheter
Sørg for at løsningen ivaretar rettighetene til brukerne dine, for eksempel retten til å begrense behandlingen. Sørg også for å ha gode systemer for å ivareta de registrertes rettigheter, slik som retten til informasjon, innsyn og sletting. Systemet må også legge til rette for samtykkehåndtering, inkludert tilbaketrekking av samtykke.
- Adferdsnorm?
Vurder å etablere adferdsnormer (bransjenormer), etiske retningslinjer eller et «personvernpanel» bestående av eksterne eksperter på teknologi, samfunn og personvern. Disse kan gi innspill på juridiske, etiske og teknologiske utfordringer – og muligheter – forbundet med bruk av kunstig intelligens.
Sluttbrukere
En sluttbruker vil si den registrerte som bruker en tjeneste eller som er gjenstand for behandling av personopplysninger ved bruk av kunstig intelligens. Her er en oppsummering av deres rettigheter:
- Rett til informasjon
Sluttbruker har rett på forståelig og lett tilgjengelig informasjon om at egne personopplysninger blir behandlet. Denne retten gjelder både når virksomheter innhenter opplysninger fra bruker direkte, og når de hentes fra andre kilder. Brukeren skal blant annet få vite hva opplysningene skal brukes til (formål) og hvilket behandlingsgrunnlag virksomheten baserer behandlingen på. Det kan for eksempel være hjemmel i lov, en avtale eller ditt uttrykkelige samtykke.
- Samtykke
I mange sammenhenger må den som skal behandle personopplysninger om brukeren få samtykke fra bruker før behandlingen kan settes i gang. Den som behandler opplysningene er ansvarlig for å dokumentere at gyldig samtykke er gitt, det vil si at bruker har gitt en frivillig, spesifikk, informert og utvetydig erklæring om at man godtar at egne personopplysninger blir behandlet. Bruker har også rett til å trekke samtykker som er gitt tidligere.
- Rett til innsyn
Bruker har rett til å kontakte virksomhetene og be om å få vite om de behandler opplysninger om bruker, og i så fall hva som er registrert. Bruker har som regel rett til å få en kopi av de registrerte opplysningene. Det er imidlertid noen unntak fra innsynsretten, for eksempel innen justissektoren.
- Retten til å korrigere og slette opplysninger
Bruker har rett til å kreve at uriktige eller unødvendige opplysninger blir korrigert eller slettet.
- Retten til å komme med innsigelse mot at opplysninger om deg blir behandlet
Bruker kan ha rett til å protestere mot at personopplysninger blir behandlet. Dersom bruker protesterer mot direkte markedsføring, skal den stoppes uten at bruker trenger å gi noen nærmere begrunnelse. I andre sammenhenger kan det være at bruker må begrunne innsigelsesretten med forhold som er knyttet til sin situasjon. Da må virksomheten stoppe behandlingen, med mindre de kan påvise at de har tvingende berettigede grunner til å behandle opplysningene, og at disse grunnene veier tyngre enn brukerens interesser, rettigheter og friheter.
- Retten til å kreve begrenset behandling
Om bruker mener at noen opplysninger er feil, behandles ulovlig, eller at retten til å protestere mot behandlingen er benyttet, kan virksomheten bli nødt til å stoppe bruken av opplysningene, men fortsatt lagre disse fram til uenigheten er avklart.
- Dataportabilitet
Dersom bruker etter avtale eller samtykke har gitt fra seg opplysninger om seg selv, kan bruker kreve disse opplysningene utlevert fra virksomheten i en strukturert, alminnelig anvendt og maskinlesbar form.
Myndigheter
Disse anbefalingene er for lovgivere og politiske beslutningstakere som er premissgivere for utvikling og bruk av kunstig intelligens.
- Gode forbilder
Sørg for at offentlig sektor går foran som et godt eksempel ved bruk av kunstig intelligens. Det krever at offentlig sektor har høy bevissthet rundt etikk og personvernkonsekvensene ved løsningene de bruker, og at de utvikler en bestillerkompetanse som gjør at løsningene har innebygd personvern og oppfyller lovkravene.
- Bevilg midler til forskning
Bevilg midler som sikrer at teknologien håndterer personopplysningene i samsvar med personvernregelverket. Dette er ikke bare et lovkrav, men kan også være en konkurransefordel for norsk næringsliv.
- Relevant kompetanse
Sørg for at tilsynsmyndigheter har relevant kompetanse, og legg til rette for erfarings-utveksling og kunnskapsdeling på tvers av sektorene.
- Oppdatert lovgivning
Sørg for at lovgivningen holder følge med den teknologiske utviklingen. Dette gjelder all lovgivning som er relevant for bruk av personopplysninger.