Vad är riskerna med AI ur ett dataskyddsperspektiv? Användningen av generativ AI ökar snabbt, både i privata och offentliga organisationer. Verktyg som ChatGPT, Copilot och Gemini har blivit en del av vår vardag. Samtidigt som möjligheterna är stora, växer också riskerna. Hur hanterar vi data på ett ansvarsfullt sätt och hur vi säkerställer att vi inte matar AI-tjänster med information som aldrig borde lämnat våra interna system?
När vi interagerar med AI-tjänster är det lätt att glömma att vi ofta delar mer än vi tror. En projektplan, ett utkast till en rapport eller ett stycke kundinformation kan verka oskyldigt, men kan innehålla affärskritisk eller personrelaterad data. I värsta fall kan sådan information sparas, användas för vidareutveckling av modellen eller till och med hamna i framtida svar till andra användare.
I Sverige är det framför allt GDPR som sätter gränserna
Dataskyddsförordningen (GDPR) kräver att organisationer har kontroll över hur personuppgifter behandlas. Det ska finnas en rättslig grund för att använda personuppgifter i AI-system. Samtycke är ett alternativ, men inte alltid tillräckligt. I vissa fall krävs en noggrann konsekvensbedömning, en så kallad DPIA, särskilt om det finns risk för individers rättigheter eller friheter. Det gäller till exempel om AI används inom rekrytering, hälsoanalys eller kundprofilering. Läs mer hos Integritetsskyddsmyndigheten
Även DIGG (Myndigheten för digital förvaltning) betonar vikten av att informationsklassa data, se till att endast behöriga har åtkomst till AI-verktyg, logga användningen och dokumentera vilka datakällor som används. Det handlar inte om att stoppa teknikutvecklingen, utan om att använda den ansvarsfullt.
En viktig rutin att sätta, asap
En vanlig situation är att man inte har någon strategi alls, och att man från organisationens håll är för långsamma med att skapa förutsättningar för att använda AI på ett ansvarsfullt sätt. Rastlösa medarbetare börjar experimentera med AI-verktyg på eget initiativ, ofta i bästa välmening, men utan tydliga riktlinjer. Det kan leda till att känslig information oavsiktligt läcker ut. En annan risk är att data från AI-system används som beslutsunderlag utan att någon riktigt förstår hur svaren har genererats, vilket i sig kan leda till bristande ansvar eller diskriminering.
Det är lätt att dras med i teknikstressen, men när det gäller AI och datahantering måste vi ha koll på riskerna. Börja med en självcheck: Har ni koll på dessa punkter:
- Hur används AI i vår organisation idag?
- Vilken data matar vi systemen med?
- Finns det rutiner för att hantera personuppgifter?
- Har vi genomfört någon dataskyddsbedömning?
- Vet våra medarbetare vad som gäller?
I nästa inlägg kommer vi att gå vi vidare till hur man konkret kan arbeta med säker AI-användning. Men redan nu är det värt att titta över kunskapen och användningen av AI i er organisation och ta ansvar för datan.
Här vill vi gärna passa på att puffa för vår egen lösning. Vi har tagit fram mbpai för att göra det möjligt för fler att låta hela organisationen använda en smart, trygg AI-lösning, anpassad för vår svenska verklighet. Läs mer på mbpai.se