European Data Protection Board (EDPB) har publisert sin årsrapport for 2024. Den gir en grundig oversikt over utviklingen innen databeskyttelse i en tid hvor teknologi utvikler seg raskt. For Norge, som er bundet av GDPR gjennom EØS-avtalen, er rapporten full av innsikt, særlig når det gjelder bruk av kunstig intelligens, eller KI. Bruken av KI endrer arbeidslivet, men den bringer også med seg krevende personvernutfordringer.
EDPBs råd om bruk av persondata i opplæring av KI
Et viktig punkt i rapporten er uttalelsen om bruk av personopplysninger for å trene KI-modeller. I Opinion 28/2024 sier EDPB at det kan være lov å bruke slike data på grunnlag av «legitime interesser», men bare hvis strenge krav oppfylles. Dette er særlig relevant for norske virksomheter som utvikler eller benytter seg av KI-løsninger.
For å vurdere lovligheten foreslår EDPB en test i tre trinn:
- Formål: Er det et legitimt mål for databruken?
- Nødvendighet: Er det nødvendig å bruke persondata for å oppnå målet?
- Balanse: Er nytten for virksomheten større enn inngrepet i personvernet?
Det betyr at norske selskaper må tenke nøye gjennom hva slags persondata de bruker i KI-prosjekter, og hvorfor. EDPB legger også vekt på åpenhet, slik at folk forstår hva dataene deres brukes til. Hvis en norsk tjeneste bruker KI for å forbedre kundeservice, må det være tydelig hvordan opplysningene behandles, og at det ikke går utover kundenes rettigheter.
Innovasjon og personvern i balanse
KI gir store muligheter for utvikling og effektivisering, men personvernet må ikke ofres i prosessen. Veiledningen fra EDPB gir et rammeverk for å oppnå balanse. Det er ikke nok å bare samle inn data. Det må også tas grep for å begrense bruken og beskytte dataene godt.
Ta for eksempel en norsk bedrift som bruker KI for å analysere kundeadferd. De kan kanskje vise til legitime interesser, men de må likevel dokumentere at det er nødvendig og at tiltakene er forholdsmessige. Kanskje bør dataene anonymiseres, eller kundene få mulighet til å reservere seg. Slike vurderinger krever både teknisk innsikt og juridisk forståelse. Dette blir stadig viktigere i Norge, der Datatilsynet har en aktiv rolle i GDPR-oppfølgingen.
Samarbeid med andre europeiske tilsyn, som EU AI Office, trekkes også frem. For Norge kan det bety mer koordinering mellom Datatilsynet og andre myndigheter, noe som gir et mer helhetlig regelverk.
Praktiske tiltak og norske utfordringer
Å følge EDPBs anbefalinger krever innsats. Norske virksomheter må sørge for at personvern er integrert i teknologien fra starten av, altså privacy by design. Dette kan være dyrt, men er viktig for å bevare tillit og unngå sanksjoner.
En konkret tilnærming kan være å:
- Kartlegge hvilke data som brukes i KI-prosjektene
- Bruke EDPBs tre-trinns test for å vurdere om behandlingen er lovlig
- Informere kunder og ansatte klart og tydelig om hvordan dataene brukes
Rapporten nevner en konkret norsk sak der en (ikke navngitt) kommune fikk en bot på 21 500 euro for manglende datasikring. Det viser at konsekvensene kan bli alvorlige. Samtidig gir EDPBs veiledning gode verktøy for å gjøre ting riktig. Utfordringen ligger i å gå fra teori til praksis, spesielt for mindre aktører med begrensede ressurser.
Mine tanker om årsrapporten
Årsrapporten fra EDPB er mer enn en oppsummering. Den er en veiviser for hvordan vi i Norge kan bruke KI på en måte som ivaretar personvernet. Ved å bruke rapportens anbefalinger kan vi både fremme innovasjon og sikre rettighetene til enkeltpersoner. Rapporten er tilgjengelig her på EDPBs nettsider, og alle som jobber med teknologi og data bør ta seg tid til å lese den. Fremtiden blir digital, men den må også være trygg og rettferdig.
