AI-compliance i praksis: Datatilsynets udtalelse om brugen af AI til sundheds- og omsorgsområdet
- marts 15, 2024
Selvom AI-forordningen endnu ikke er trådt i kraft, har vi set eksempler på, hvordan brugen af AI i høj grad er og bliver påvirket af databeskyttelsesretten.
Vær med, når vi dykker ned i ét eksemplerne med denne case om Københavns Kommune.
Kommunen anmodede Datatilsynet om en vurdering af hjemmel til udvikling, drift og gentræning af en AI-løsning til identifikation af borgere med behov for træning og rehabilitering.
Du kan glæde dig til at læse om:
Sagen i korte træk
Københavns Kommune ønskede at udvikle, idriftsætte og gentræne en AI-løsning baseret på egne data.
Formålet var at identificere borgere med behov for vedligeholdende træning og have beslutningsstøtte i kommunens sundheds- og omsorgsforvaltning.
Kommunen ønskede at minimere eller udskyde behovet for hjælp fra forvaltningen ved at fastholde borgeres funktionsniveau gennem træning.
AI-løsningen ville understøtte medarbejderens vurdering af, hvilke borgere der kunne drage fordel af træningsforløb.
Kommunen ville behandle personoplysninger, som kom fra tre primære kilder:
- Kommunale sygeplejesager
- Visitation til ydelser efter serviceloven
- Personoplysninger, der var nødvendige for at udføre tildelte ydelser
Det betød, at kommunen ville behandle personoplysninger om borgerens personnummer, helbredsoplysninger, træningsforløb og brug af hjælpemidler.
Vidste du, at…
70 % af forbrugerne er enten meget bekymrede eller til dels bekymrede over organisationer brug af AI-værktøjer? (Kilde: Forbes)
Datatilsynets vurdering: Delt op i to
Datatilsynet forholdt sig alene til behandlingsgrundlaget for Københavns Kommunes ønskede behandling.
Derfor delte de deres vurdering op i forhold til 1) udvikling af AI-løsningen og driften af denne.
Udvikling, herunder gentræning, af AI-løsningen
Datatilsynet vurderede, at udviklingen af løsningen ikke direkte påvirkede borgerne. Derfor vurderede Datatilsynet, at Københavns Kommune kunne designe og udvikle AI-løsninger.
Københavns Kommune burde dog foretage en samlet vurdering af hele AI-løsningens livscyklus for at sikre, at der var et behandlingsgrundlag for driften af AI’en.
Drift af AI-løsningen
- Personoplysninger ville blive behandlet for at forudsige borgeres behov for træning og rehabilitering i henhold til serviceloven.
- Brugen af AI-løsninger i administrativ sagsbehandling var potentielt indgribende for borgerne, da det kunne påvirke deres helbredsmæssige situation, i forhold til hvilke sundhedsydelser de blev tilbudt.
- Der var risiko for, at medarbejdere ville tillægge løsningens vurdering større betydning end deres egen – og det ville derfor føre til en yderligere risiko for borgeren.
- Behandling af store mængder personoplysninger og følsomme oplysninger gjorde behandlingen indgribende, især ved brug af AI-løsninger. Dét krævede et klart supplerende nationalt retsgrundlag.
Datatilsynets konklusion var, at servicelovens bestemmelser ikke udgør et tilstrækkeligt grundlag for hjemmel for den type behandling, som en AI-løsning ville indebære.
Datatilsynets samlede vurdering
- Udvikling og gentræning af en AI-løsning til at forudsige borgeres behov for og gavn af genoptræning for at undgå funktionsnedsættelse var i overensstemmelse med GDPR.
- Artikel 6, stk. 1, litra e og artikel 9, stk. 2, litra g, tillod behandling af personoplysninger og særlige kategorier af personoplysninger, men krævede et supplerende nationalt retsgrundlag.
- Der er eksisterende bestemmelser i serviceloven, som pålægger kommunen at træffe afgørelse om og levere vedligeholdende træning og rehabiliterende indsats. Disse regler kunne ikke danne grundlag for driften af AI-løsningen. Både fordi løsningen udgjorde en øget risiko for den registrerede, og fordi hjemmelsgrundlaget for den påtænkte behandling ikke var klart nok.
Vores 3 bemærkninger
Som vi ser det, er der 3 interessante perspektiver i sagen:
- Datatilsynet har vurderet, hvordan de enkelte faser af udvikling og brug af AI indebærer forskellige risici og kræver forskellige hjemmelsgrundlag. Her stiller Datatilsynet altså højere krav til selve driften af et AI-værktøj end til udviklingen af det.
- Hvis hjemlen til behandling er nationalt retsgrundlag, skal retsgrundlagets klarhed vurderes ud fra, hvor direkte og indgribende behandlingen er for borgerne.
- Ved brug af AI skal man foretage en DPIA, hvis behandlingen udgør en høj risiko for de registreredes rettigheder, jf. Datatilsynets vejledning om offentlige myndigheders brug af kunstig intelligens. En DPIA skal foretages tidligt og løbende.
Flere måder at blive klar til EU’s AI Act
Hvis du vil nå at blive klar til AI-forordningen i tide, giver eksemplet med Københavns Kommune et fingerpeg om, hvad du skal forberede dig på.
Men en anden vigtig del er forberedelsen er at have styr på ‘the basics’, så du ved, hvad en AI-løsning er, hvilken risiko den udgør, og hvornår de forskellige compliance-tidsfrister træder i kraft.
Al den viden kan du få i blogindlægget her.
Få basisviden om EU's AI Act på plads
Brænder du inde med AI Act-spørgsmål á la hvad, hvordan, hvornår, hvem og hvorfor?
