AI er allerede i dag en del af hverdagen i mange virksomheder. Den medvirker til effektivisering, bedre beslutningsgrundlag og nye muligheder. Men den skaber også en ny type risiko, som ikke altid er lige synlig.
Med EU’s AI-forordning bliver grænserne nu tydeligere: Nogle anvendelser af AI er ikke bare problematiske; de er direkte forbudte.
Det ændrer præmissen. Det handler ikke længere kun om, hvad der er muligt. Det handler om, hvad der er ansvarligt og lovligt.
Når AI bliver et compliance-spørgsmål
AI kan analysere store datamængder, identificere mønstre og automatisere beslutninger i en målestok, vi ikke tidligere har set. Men netop de egenskaber gør teknologien kompleks at styre.
I vores arbejde med AI og databeskyttelse fremhæver vi ofte, at de reelle udfordringer ikke er i teknologien selv, men i anvendelsen.
Når AI anvendes i praksis, ser vi typisk udfordringer som:
- manglende gennemsigtighed i beslutninger
- brug af persondata uden tilstrækkeligt overblik
- automatiserede afgørelser med stor betydning for den enkelte
- risiko for bias og diskrimination
Konsekvensen er klar: Jo mere værdi AI skaber, desto større krav stilles der til dokumentation, kontrol og governance.
Digitaliseringsstyrelsen: De forbudte anvendelser kort fortalt
Digitaliseringsstyrelsen har i sin vejledning gjort det mere konkret, hvilke AI-praksisser der falder uden for det tilladte.
Det gælder blandt andet løsninger, som manipulerer mennesker på en måde, der underminerer deres frie valg, eller som udnytter sårbare grupper som børn eller personer i udsatte situationer. Det gælder også såkaldt social scoring, hvor mennesker vurderes og kategoriseres på baggrund af adfærd, samt visse former for biometrisk identifikation f.eks. ansigtsgenkendelse i offentlige rum.
Derudover er der stigende fokus på systemer, der forsøger at aflæse følelser i f.eks. arbejdssituationer eller undervisning, hvor både validitet og proportionalitet er stærkt udfordret.
Fælles for de forbudte anvendelser er, at de enten krænker grundlæggende rettigheder eller skaber en uacceptabel skævhed i magtbalancen mellem system og menneske.
AI-forordningen og GDPR – to sider af samme sag
En vigtig pointe er, at AI-forordningen ikke står alene. Den skal ses i sammenhæng med GDPR.
AI-forordningen fokuserer på selve AI-systemet og dets risikoniveau. Den introducerer kategorier som forbudt, høj risiko og begrænset risiko og knytter krav til hver kategori.
GDPR har derimod fokus på behandlingen af personoplysninger og beskyttelsen af den enkelte.
I praksis betyder det, at I skal navigere i begge regelsæt samtidig. En AI-løsning kan godt være lav risiko efter AI-forordningen, men stadig problematisk efter GDPR eller omvendt.
Det er netop i krydsfeltet mellem de to, at mange organisationer får udfordringer.
Hvad betyder det konkret for jer?
For de fleste organisationer handler det ikke om, at de bevidst arbejder med forbudt AI. Udfordringen opstår typisk mere indirekte.
Vi ser det for eksempel, når AI bruges til at understøtte HR-beslutninger uden tilstrækkelig gennemsigtighed, eller når kunder profileres uden et klart og dokumenteret formål. Det kan også dreje sig om automatiserede beslutninger, hvor der ikke er reel mulighed for menneskelig indgriben.
Derudover ser vi ofte, at datagrundlaget ikke er tilstrækkeligt dokumenteret.
Det er her, risikoen opstår. Ikke nødvendigvis fordi intentionen er forkert, men fordi strukturen mangler.
Vores tilgang i GapSolutions
Hos GapSolutions ser vi ikke AI-forordningen som en begrænsning. Vi ser den som en anledning til at skabe overblik og struktur.
Vores tilgang er praktisk:
Vi starter med at forstå formålet med jeres AI-anvendelse. Hvad skal løsningen konkret anvendes til, og er det nødvendigt? Derefter ser vi på datagrundlaget og identificerer, hvor der indgår personoplysninger eller følsomme data.
I nogle tilfælde vil det være relevant at gennemføre en konsekvensanalyse (DPIA). Ikke som en formalitet, men som et værktøj til at identificere og håndtere risici, særligt i forhold til bias, fejl, gennemsigtighed og påvirkning af den enkelte.
Et centralt fokus er også at sikre, at der altid er en grad af menneskelig kontrol. AI må ikke blive en “black box”, hvor beslutninger ikke kan forklares eller udfordres.
Endelig arbejder vi systematisk med dokumentation og interne retningslinjer, så det er tydeligt, hvad AI må bruges til og hvordan.
AI kræver ikke perfektion, men struktur
AI er kommet for at blive. Spørgsmålet er ikke, om I skal anvende det, men hvordan I gør det ansvarligt.
De organisationer, der lykkes, er ikke dem, der implementerer hurtigst. Det er dem, der har styr på deres data, deres formål og deres beslutningsgrundlag.
Hos GapSolutions hjælper vi jer med at gøre netop det:
At gøre compliance forståeligt, håndterbart og praktisk anvendeligt. Også når det gælder AI.
Vil I have et overblik over jeres AI-anvendelse?
Vi tager gerne en konkret gennemgang og viser, hvordan I kan arbejde struktureret med AI og compliance i praksis.
