Hopp til hovedinnhold

Personvern og KI

Bruker virksomheten KI-systemer som behandler personopplysninger, gjelder personvernregelverket. Finn ut hva det betyr i praksis, hvilke roller og ansvar som følger med, og hva som bør være på plass før et KI-system tas i bruk.

Stadig flere norske virksomheter tar i bruk kunstig intelligens (KI). Det brukes i saksbehandling, juridiske søk, chatboter og analyse av store datamengder. KI-verktøy gir nye muligheter for effektivisering og forenkling, men vil også medføre en del krav til personvern dersom verktøyene behandler personopplysninger. En chatbot som svarer på kundespørsmål behandler som regel personopplysninger. Et KI-verktøy som støtter saksbehandling, behandler opplysninger som angår enkeltpersoner. I Norge er dette regulert gjennom personopplysningsloven, som gjennomfører EUs personvernforordning (GDPR) i norsk rett. Ansvaret ligger hos virksomheten som bruker KI-verktøyet, uavhengig av hvem som har bygget løsningen.

Datatilsynet er tilsynsmyndigheten for personvern i Norge. Datatilsynet veileder blant annet om regelverket og fører tilsyn med hvordan personopplysninger behandles.

Les mer om personvern på Datatilsynets nettsider

GDPR: Står for General Data Protection Regulation og er EUs personvernforordning. Den ble vedtatt av EU i april 2016 og trådte i kraft 25. mai 2018. Forordningen gjelder i alle EU- og EØS-land og setter regler for hvordan personopplysninger kan samles inn, lagres og brukes.

Personopplysningsloven: Den norske loven som gjør GDPR gjeldende i Norge. Norge er ikke EU-medlem, men er gjennom EØS-avtalen forpliktet til å følge EUs personvernregler.

Personvern er en menneskerettighet

Personvern er en grunnleggende menneskerettighet, nedfelt i både Grunnloven og Den europeiske menneskerettskonvensjonen. Dette er ikke alltid like kjent, og personvern havner derfor lett i kategorien tekniske etterlevelseskrav. Ved utvikling og bruk av KI-systemer som behandler personopplysninger, er det viktig at virksomheter forstår dette perspektivet. En tidlig personvernvurdering styrker grunnlaget for ansvarlig bruk av kunstig intelligens.

Roller og ansvar

Mange virksomheter kjøper KI-systemer fra eksterne leverandører. Men det betyr ikke nødvendigvis at det er leverandøren som har ansvaret for å ivareta personvernet. Personvernregelverket skiller mellom to roller: behandlingsansvarlig og databehandler. Virksomheten som bestemmer formålet og midlene for behandlingen av personopplysninger er behandlingsansvarlig og har det overordnede ansvaret for at personopplysninger behandles lovlig. Leverandøren er databehandler og handler etter instruks. Forholdet skal reguleres i en databehandleravtale.

Les mer om roller og ansvar på Datatilsynets nettsider

Risikovurdering

Alle som behandler personopplysninger, har en plikt til å vurdere risikoen knyttet til behandlingen.

Ivaretakelsen av personvernforordningen sine krav til behandlingsgrunnlag, formålsbegrensning, dataminimering, åpenhet og innebygget personvern er også gjeldende for KI-systemer som skal behandle personopplysninger. De må inngå som en viktig del av risikovurderingen som gjøres før behandlingen av personopplysninger i et KI-system starter opp.

Dersom det viser seg at den planlagte behandlingen kan utgjøre en høy risiko for de registrerte, og at risikoen ikke kan reduseres ved at den behandlingsansvarlige iverksetter tiltak, skal Datatilsynet involveres i forhåndsdrøftelser.

Sjekkliste for virksomheter som kjøper inn KI-systemer som skal behandle personopplysninger

  1. Gjør en risikovurdering og utred personvernkonsekvensene før systemet kjøpes, når det settes i bruk og dersom bruken endrer seg.

  1. Still krav til at løsningen oppfyller kravene til innebygd personvern. 

  1. Gjør regelmessige tester for å sikre at løsningen etterlever kravene i regelverket.

  1. Sørg for at løsningen ivaretar rettighetene til brukerne, slik som retten til innsyn, retting og sletting.

Viktige juridiske definisjoner fra GDPR

Personopplysning

Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»). Personopplysninger deles opp i to hovedkategorier – «vanlige» og «særlige kategorier».

Grunnleggende personvernprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper, jf. GDPR art. 5. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. 

Behandlingsansvarlig

En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes

Databehandler

En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige

Les mer om personvern og KI på Datatilsynets nettsider

Hva leter du etter?