Skydd av individers rättigheter vid användning av AI

I en tid där användningen av artificiell intelligens (AI) och persondata blir alltmer central i företags och offentliga verksamheters arbete är det viktigt att förstå och bottna i de olika regulatoriska krav som finns på området. Krav på att analysera och hantera risker för att skydda individers rättigheter återfinns i både dataskyddsförordningen (GDPR) och den nyligen antagna AI-förordningen. Denna artikel diskuterar konsekvensbedömningar enligt artikel 27 i AI-förordningen och artikel 35 i GDPR, deras kopplingar och roll inom AI Governance.

FRIA: Konsekvensbedömning för AI-system 

FRIA (Fundamental Rights Impact Assessment), som beskrivs i artikel 27 i AI-förordningen, kräver att tillhandahållare av AI-system med hög risk i vissa fall ska genomföra en konsekvensbedömning avseende systemets inverkan på individers grundläggande rättigheter innan systemet tas i drift. Konsekvensbedömningen ska bland annat innehålla: 

1. En bedömning av användningsprocesser för AI-systemet och dess avsedda syfte. 
2. Tidsperiod och frekvens för användning av AI-systemet. 
3. Identifiering av de individer/grupper av individer som sannolikt kommer att påverkas. 
4. En utvärdering av specifika risker för skada för dessa individer/grupper av individer. 
5. En beskrivning av åtgärder för mänsklig kontroll i samband med systemets användning. 
6. Utarbetande av åtgärder för riskhantering om de identifierade riskerna skulle inträffa. 

Tillhandahållaren är skyldig att genomföra denna bedömning inför den första användningen av AI-systemet med hög risk. Om det under användningen framkommer att något av de bedömda elementen har ändrats, ska tillhandahållaren uppdatera informationen och vidta nödvändiga åtgärder. 

Tillhandahållaren är också skyldig att underrätta den utsedda marknadskontrollmyndigheten om resultaten av sin bedömning, vilket innefattar att tillhandahålla viss information till myndigheten. 

I vilka situationer uppstår skyldigheten att genomföra en FRIA? 

Enligt artikel 27 i AI-förordningen ska tillhandahållare som är offentligrättsliga organ eller privata enheter som tillhandahåller offentliga tjänster göra en bedömning av AI-systemets inverkan på grundläggande rättigheter. Samma krav gäller för tillhandahållare av AI-system med hög risk som: 

• är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier 
• är avsedda att användas för riskbedömning och prissättning i förhållande till fysiska personer när det gäller livförsäkring och sjukförsäkring. 

DPIA: Konsekvensbedömning avseende personuppgifter 

Användning och utveckling av AI-system innebär ofta att personuppgifter behandlas i stor omfattning. DPIA (Data Protection Impact Assessment) syftar till att identifiera och minimera risker för individers grundläggande fri- och rättigheter innan en personuppgiftsbehandling inleds. Enligt artikel 35 i GDPR ska en DPIA genomföras när en typ av behandling kan leda till en hög risk för registrerades fri- och rättigheter. Genom att noggrant bedöma potentiella risker och vidta lämpliga åtgärder kan organisationer säkerställa att de efterlever regulatoriska krav och bygger förtroende hos de vars personuppgifter behandlas. 

Kopplingen mellan DPIA, FRIA och AI Governance 

AI Governance handlar i korthet om att upprätta ett internt ramverk som säkerställer en rättvis, transparent och ansvarsfull användning av AI. Genom ett effektivt användande av både DPIA och FRIA kan organisationer inte bara stödja regelefterlevnad, utan också skapa förtroende hos till exempel användare, kunder och anställda och främja en hållbar användning av AI. 

Både DPIA och FRIA spelar en central roll i att säkerställa att AI-teknologier används på ett ansvarsfullt och korrekt sätt. Genom att integrera dessa två processer kan organisationer uppnå en mer heltäckande riskhantering. När en DPIA genomförs parallellt med en FRIA kan detta ge en mer komplett bild av de potentiella riskerna och hur dessa kan hanteras. 

Det ska dock framhållas att kraven på DPIA respektive FRIA inte alltid triggas samtidigt vilket kan exemplifieras genom följande: En chatbot kommer i de flesta fall att betraktas som ett AI-system med låg/medelhög risk. Om chatboten däremot används i ett känsligt sammanhang kan det dock leda till behandlingsaktiviteter som skulle klassificeras som högrisk enligt GDPR, även om själva användningen av AI-systemet i sig inte skulle betraktas som högrisk. I denna situation krävs sannolikt en DPIA men inte en FRIA. 

När skyldigheterna som framgår av artikel 27 i AI-förordningen redan uppfylls genom en DPIA kan en FRIA fungera som ett komplement till en mer omfattande DPIA.  

Avslutningsvis 

I takt med att AI-teknologier fortsätter att utvecklas och integreras i samhället, är det viktigt att utvecklingen sker på ett sätt där grundläggande mänskliga rättigheter beaktas. Både DPIA och FRIA utgör centrala verktyg för att skydda individens rättigheter och säkerställa att AI används på ett etiskt och ansvarsfullt sätt. Genom att effektivt kombinera dessa processer kan organisationer främja en stark och hållbar AI-styrning som gynnar organisationen och i förlängningen hela samhället. 

PwC har omfattande erfarenhet av att stödja organisationer med att genomföra olika typer av riskbedömningar såsom DPIA, FRIA samt upprätta ramverk för AI Governance. Vi finns här för att hjälpa din organisation att navigera och anpassa sig till de komplexa regelverk som gäller för användningen av AI. Välkommen att höra av dig så berättar vi mer om hur vi kan stötta din organisation.