Personverndagen 2024 oppsummert: Kunstig intelligens møter personvern
Nylig gikk den 12. markeringen av den internasjonale personverndagen av stabelen i regi av Teknologirådet og Datatilsynet. Etter både fysisk og digitalt oppmøte å dømme, er årets tema brennhett.
2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.
Hva skjedde i 2023?
Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.
Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.
Av andre saker med stor betydning i 2023 trakk Line frem følgende:
- EU-U.S. Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.
- Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
- Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.
Trender i 2024
Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.
AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.
2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.
Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).
Kan man trene språkmodeller med data fra nettet?
I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.
Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.
Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?
Kunstig intelligens og personvern i den virkelige verden
Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.
Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.
Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.
Er politikken tilpasset terrenget?
På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.
En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.
Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med.
Når reklamen ser deg
Du er kanskje vant til å se reklame overalt du beveger deg. Har du noen gang tenkt på at reklamen kanskje ser deg også? Noen reklameskilt har et innebygget kamera som analyserer ansiktene til forbipasserende. På denne måten kan reklamebudskapet tilpasses til...
Barn fortjener bedre personvern i skolen
Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå. Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar. I dag markeres den internasjonale...
Hvorfor kunstig intelligens krever økt fokus på personvern og etikk
Dette innlegget ble holdt på fremleggelsen av regjeringens strategi for kunstig intelligens den 15. januar 2020. Personvern er svært viktig når vi skal utvikle gode løsninger for kunstig intelligens. Innsatsfaktoren i mange av de løsningene som de neste årene vil bli...
Intellektuell gjeld – den skjulte kostnaden ved kunstig intelligens
Det er ikke bare den kunstige intelligensen som feiler som bør bekymre oss. Vi må også ha oppmerksomheten rettet mot den kunstige intelligensen som gir gode svar, men svar vi ikke kan forklare. (Artikkelen sto på trykk i Dagens Næringsliv den 10. januar 2020) I 1897...
Samisk etnisitet for statistikk- eller forskningsformål
Dette innlegget ble holdt på Sametingets høring 20. november 2019 Først vil jeg si mange takk for invitasjonen. Jeg er veldig glad for å bli invitert hit for å diskutere denne viktige saken. Målet mitt er å gi et innspill til debatten om statistiske data om samer i...
Barns rett til personvern og foreldres eksponering
Høyesterett har nylig avsagt dom i en historisk sak, der en mor er straffedømt for å ha krenket sitt barns rett til privatliv. Dommen bidrar til å trekke en grense for foreldres deling av barns private øyeblikk på sosiale medier. Den belyser et stadig tilbakevendende...
Kloke råd fra ett personvernombud til oss 1 700 andre
I mine to roller som henholdsvis Datatilsynets eget personvernombud og kontaktperson for de over 1 700 personvernombudene «der ute», har jeg fått god kjennskap til hvor spennende, men også utfordrende, ombudsrollen kan være. Personvernombudene opplever å ha...
Menneskerettigheter er ingen synsesak
(Dette innlegget sto på trykk i Dagens Næringsliv 7. oktober 2019.) Føyen og Langeland stiller seg kritiske til en mulig lovendring som de mener «vil gi Datatilsynet mer makt». De mistolker innholdet i lovendringen, unnlater å nevne bakgrunnen og hopper bukk over...
En personvernguide til Arendalsuka 2019
Et av årets personvernhøydepunkter nærmer seg, nemlig Arendalsuka! Datatilsynet har vært aktivt tilstede de siste årene, og 2019 blir intet unntak. Vi ser med glede at personvern er på agendaen i mange sesjoner, og selv om det ikke alltid er hovedtema, er personvern...
Ikke mulig å omgå personvernreglene
Tenk deg at virksomheter bestemte selv hvilke personopplysninger de kunne behandle. La oss for eksempel si at de digitale tjenestene du bruker hver dag, plutselig skrev inn i vilkårene sine at de vil spore deg overalt alltid, og så måtte du bare finne deg i det. Høres...