AI och den personliga integriteten - möjligheter och risker

Privacy, eller integritet på svenska, handlar om individens rätt att skydda sin personliga information och att själv bestämma över vad som delas med andra. Det handlar också om att skydda sin rätt till privatliv och att kunna agera fritt utan att bli övervakad eller störd. Privacy är en grundläggande mänsklig rättighet och en förutsättning för demokrati och den enskilda människans frihet. Artificiell Intelligens (AI) innebär många möjligheter när det gäller privacy, men det finns även risker att beakta. EU har nyligen enats om ett lagförslag, som, om den antas, kommer att bli världens första lagstiftning om AI, EU:s så kallade rättsakt om Artificiell Intelligens eller AI Act.

För företag är hantering av integritetsrisker en viktig del av att skapa och bibehålla förtroende från kunderna. Genom att säkerställa att kundernas personuppgifter skyddas på rätt sätt kan företag bygga en lojal kundbas, skydda sig mot potentiella säkerhetsrisker och följa gällande lagstiftning. Med en ny lagstiftning i form av AI Act som kan ha stor påverkan på individers integritet är det viktigt att säkerställa regelefterlevnad av alla legala krav, och samtidigt upprätthålla en hög säkerhet vid behandlingen av data. 

EU:s nya rättsakt om AI

Den 9 december 2023 enades förhandlare i EU om ett lagförslag gällande hur AI ska regleras inom Europeiska Unionen. Detta innebär inte att den så kallade AI Act (rättsakt om Artificiell Intelligens) är antagen såsom lagstiftning. Det kvarstår fortsatt för EU-parlamentet att rösta om lagen, och viss justering av lagtexten kan komma att ske. Mest troligt kommer AI Act därför inte färdigställas förrän efter årsskiftet 2023/2024. Lagens ikraftträdande kan dock dröja till 2026 i vissa delar.  

Vad är AI Act? 

AI Act fastställer skyldigheter för leverantörer och användare beroende på den risknivå som AI kan generera. Lagförslaget klassificerar och delar in AI i olika riskklasser, till exempel förbjuden AI och AI-system med högrisk. Beroende på riskklass måste de bolag som utvecklar och/eller använder AI uppfylla och efterleva vissa specifika krav. AI finns i många av de produkter som vi omger oss med i vår vardag, och AI Act syftar till att säkerställa att EU:s medborgares rättigheter tillgodoses samtidigt som innovation främjas. Som utvecklande bolag är det därför viktigt att ta höjd för de krav som ställs i AI Act tidigt i produktutvecklingen. Lika viktigt är det, om man är ett bolag eller organisation som köper in en produkt med en AI-komponent, att genomföra en undersökning av produkten och komponenten för att säkerställa att den uppfyller alla lagkrav.  

Den överenskommelse som förhandlades fram den 9 december 2023 av Europeiska kommissionen, rådet och Europaparlamentet har förhandlats intensivt, och de tre parterna hittade slutligen en medelpunkt avseende knäckfrågor rörande reglering för så kallade foundation models och general purpose AI samt ansiktsigenkänning på allmänna platser. 

Vad innebär då AI Act i praktiken? 

Vad ett bolag måste göra innan AI lanseras eller används i verksamheten beror helt på vilken riskklass som AI:n omfattas av. Kortfattat bör ett bolag som avser använda AI som ett första steg göra en bedömning av riskklass, och därefter göra en riskanalys avseende AI:n och dess användning. Innan lansering bör bolaget även ha risk management-processer samt ett ramverk för kontroll och styrning på plats, som säkerställer efterlevnad av AI Act inom organisationen. Dessutom behöver bolaget kunna redogöra på ett transparent sätt rörande AI-produktens funktioner och eventuell påverkan på individer. Oavsett lagkrav bör dock alla som avser använda AI säkerställa att AI:n används på ett ansvarsfullt och etiskt vis. AI kan öppna upp för sårbarheter i organisationen som man tidigare inte utsatts för. Säkerställ därför att ni har koll på cybersäkerhetsrisker och hur AI:n kan öppna upp för integritetsrisker. 

Vem träffas av regleringen? 

AI Act är, likt GDPR, tillämplig på alla bolag som erbjuder sina tjänster till EU-medborgare och får därigenom global påverkan som kommer att kräva omställningsarbete för ett flertal multinationella bolag som erbjuder sina tjänster inom EU.  

Så påverkar AI personlig integritet

AI kan påverka privacy både positivt och negativt. Å ena sidan kan AI användas som ett verktyg för att förbättra säkerheten och skydda personuppgifter. Å andra sidan kan AI också användas för att samla in och analysera stora mängder personlig data, vilket kan vara en risk för individens integritet. AI är i grunden inte något negativt, men för en säker implementering av tekniken krävs det att verksamheten har ett etiskt förhållningssätt till AI och implementerar tydliga styrnings- och uppföljningsprocesser. 

Lyssna på paneldebatten Privacy och Cyber som konkurrensfördel

Ta del av seminariet från Cyber & Privacy-dagen 2023 som leds av Jenny Forsberg, rådgivare inom Advisory Legal och Privacy Lead på PwC. 

Tips på hur företag bygger en privacyorganisation och hur de kan omfamna AI:

• Hur bygger ett företag en bra privacyorganisation som är effektiv och hållbar samtidigt som den ger konkurrensfördelar och nya möjligheter?
  För att bygga en effektiv och konkurrenskraftig privacyorganisation behövs en tydlig struktur och styrning som genomsyrar hela verksamheten. Det krävs också en bredd av olika kompetenser, inklusive jurister, dataanalytiker, systemutvecklare och säkerhetsexperter, som samarbetar och lär av varandra. En organisation som verkligen lever upp till kraven på integritet behöver arbeta från grunden och i praktiken, eftersom individer och andra intressenter blir allt mer medvetna och kritiska. Det genomskådas när organisationen bara arbetat med privacyfrågor “på pappret”.
  
  
• Råd till företag och organisationer som vill omfamna ny teknik, som AI, och samtidigt värna individens rätt till privatliv
  Det är viktigt att ha rätt kompetens på plats och att göra noggrann research innan man implementerar tekniken. Förstår organisationen den teknik man vill använda? Passar tekniken för syftet och problemet den är tänkt att lösa? Det finns riktlinjer och etiska ramverk som måste följas för att minimera riskerna vid personuppgiftsbehandling. EU:s kommande AI act kommer att ställa ytterligare krav på riskbedömningar för utveckling och implementering av AI. Det är viktigt att dessa bedömningar görs innan man tar en lösning i bruk. Därför är det viktigt att implementera ett ramverk samt styrmodeller kring AI och ny teknikanvändning innan det att verksamheten implementerar tekniken. 
  
  
• Så påverkar EU:s lagstiftning arbetet med privacy, AI och cybersäkerhet
  Reglering av privacy, AI och cybersäkerhet innebär inte i sig att produktivitet och innovation hämmas. Det som hämmar produktivitet och innovation är osäkerheten kring vad regleringar innebär och hur de ska tillämpas. Den lagstiftning som redan finns och som kommer framöver har tillkommit av en anledning, det vill säga att aktörerna på marknaden delvis har misslyckats med att själva ta ansvar och självreglera - vilket gör att lagstiftaren ser ett behov av att agera. Därav är det viktigt att alla aktörer, oberoende av sektor eller bransch, tar ansvar för de produkter och innovationer som utvecklas och att lagkrav  och etiska ramverk följs vid implementering av till exempel AI-funktioner. 
  
  EU:s initiativ och strategi avseende lagstiftning inom området sänder också en viktig signal att EU vill ligga i framkant inom digitalisering genom att ta ansvar och digitalisera på ett sätt som är hållbart både tekniskt och etiskt i förhållande till individens rättigheter och friheter. EU hade som målsättning att anta AI Act under hösten 2022 men då förordningens text har justerats och förhandlats om har fördröjning uppstått. Arbetet pågår fortsatt men förhoppningen är att AI Act inom kort kommer att antas, mest troligt i början av 2024. Med det sagt är det viktigt att ha med sig att inte alla organisationer träffas av all ny lagstiftning eller alla nya krav, utan här behöver man läsa på och göra sig medveten om vilka krav som gäller för den egna verksamheten.

På PwC hjälper vi våra kunder att identifiera och hantera risker relaterade till integritetshantering, samt utveckla processer och kontroller för att skydda personuppgifter på ett korrekt sätt.