DAEN

MENU

KL udgiver ny juridisk værktøjskasse for ansvarlig kunstig intelligens (AI)

Kommunernes Landsforening (KL) har udgivet værktøjskassen med henblik på at understøtte, at kommunerne kan overholde og håndtere de væsentligste juridiske krav og risici vedrørende databeskyttelse ved udvikling og anvendelse af AI-løsninger. Den indeholder konkrete skabeloner, tjeklister og kravkatalog til brug for håndtering af bl.a. konsekvensanalyser vedrørende databeskyttelse og privacy by design.

Kommunernes Landsforening (KL) har udgivet værktøjskassen med henblik på at understøtte, at kommunerne kan overholde og håndtere de væsentligste juridiske krav og risici vedrørende databeskyttelse ved udvikling og anvendelse af AI-løsninger. Den indeholder konkrete skabeloner, tjeklister og kravkatalog til brug for håndtering af bl.a. konsekvensanalyser vedrørende databeskyttelse og privacy by design.

Baggrund og formål

Flere kommuner er i gang med såkaldte AI-signaturprojekter, der har til formål at undersøge potentialet og udfordringerne ved brug af AI til forbedret service og beslutningsstøtte.

Hver enkelt kommune har som dataansvarlig ansvaret for at sikre, at regler overholdes og risici håndteres, når kommunen udvikler eller køber en AI-løsning.

To retlige krav er helt centrale og særligt relevante for kommuner, der ønsker at udvikle og anvende AI-løsninger med brug af personoplysninger. Det gælder kravet om indbygget databeskyttelse (privacy by design) – dvs. at databeskyttelse fra start tænkes ind i løsningen på en dokumenterbar måde – og pligten til at udarbejde en konsekvensanalyse vedrørende databeskyttelse.

Værktøjskassens primære formål er at understøtte kommuners overholdelse og håndtering af de væsentligste databeskyttelsesretlige krav og risici ved udvikling og anvendelse af AI-løsninger, dvs. i hele løsningens livscyklus. Det gælder f.eks. sikring af ligebehandling og transparens samt dataminimering.

Værktøjskassen understøtter også overholdelse af øvrige retlige krav, herunder bl.a. i forvaltningsloven og særlovgivningen, ligesom den giver gode råd til håndtering af immaterialretlige krav ved forhandling med leverandører af AI-løsninger.

Målgruppe og anvendelsesområde

Værktøjskassen kan anvendes, når kommuner

  • selv udvikler og anvender en AI-løsning,
  • overvejer at udvikle og anvende en AI-løsning, eller
  • anvender en AI-løsning fra en leverandør.

Værktøjskassen henvender sig til en bred persongruppe indenfor kommunerne, der udvikler og anvender AI-løsninger med behandling af personoplysninger, herunder f.eks. projektledere, udviklere, IT-arkitekter, systemejere, sikkerheds- og databeskyttelsesansvarlige (DPO’ere) m.v.

Værktøjskassen er dog ikke alene et nyttigt værktøj for projektgruppen, der er tilknyttet udviklingen og anvendelsen af en AI-løsning. Den kan ligeledes anvendes af den kommunale ledelse til at få en grundlæggende forståelse for de databeskyttelsesretlige krav og et overblik over de juridiske produkter, der skal være på plads i forbindelse med udviklingen og anvendelsen af AI-løsninger.

Værktøjerne

Værktøjskassens emner og værktøjer fremgår af figuren nedenfor, hvor de røde felter illustrerer værktøjerne.

Udover disse værktøjer indeholder værktøjskassen en overordnet præsentation, der giver et overblik over værktøjskassens kontekst, nærmere indhold og afgrænsning.

Værktøj nr. 1: Tjeklister til centrale aktiviteter i udviklingen af AI-løsningen

Dette værktøj indeholder en række tjeklister for, hvad man skal være særligt opmærksom på ved udvikling af AI-løsninger for dels at kunne understøtte håndteringen af risici vedrørende databeskyttelse, dels overholde de retlige krav til løsningen efter databeskyttelsesforordningen og -loven.

Værktøjet omfatter tjeklister for hver enkelt central aktivitet i udviklingen af AI-løsningen i løbet af hele løsningens livscyklus – fra opstart og udvikling til idriftsættelse og løbende kontrol.

Værktøj nr. 2: Skabelon til konsekvensanalyse vedrørende databeskyttelse for AI-løsningen (DPIA)

Dette værktøj udgøres af en skabelon, der har til formål at sikre, at kommunen udarbejder en konsekvensanalyse vedrørende databeskyttelse for den pågældende AI-løsning, der lever op til de indholdsmæssige retlige minimumskrav hertil i databeskyttelsesforordningens artikel 35 og håndterer de særlige databeskyttelsesrisici, der er forbundet med brug af AI.

Værktøj nr. 3: Risikokatalog over typiske databeskyttelsesrisici forbundet med AI-løsninger

Risikokataloget indeholder et overblik over en række typiske risici vedrørende databeskyttelse, der er forbundet med behandling af personoplysninger i AI-løsninger. Se risikotemaerne på illustrationen nedenfor.

Risikokataloget indeholder også et forslag til, hvilke tekniske og organisatoriske foranstaltninger der kan være relevante at implementere for at håndtere de pågældende risici.

Værktøj nr. 4: Kravkatalog over krav til AI-løsningen

Formålet med kravkataloget er at understøtte kommunen i at identificere og indtænke de relevante retlige krav til AI-løsningen så tidligt som muligt i udviklingsprocessen. Det gælder særligt de retlige krav og designprincipper efter reglerne om indbygget databeskyttelse og databeskyttelse som standardindstillinger i databeskyttelsesforordningen, samt at understøtte en effektiv håndtering af databeskyttelsesrisici for de registrerede.

Kravkataloget understøtter tillige overholdelsen af forvaltningsretlige krav samt krav i medfør af særlovgivningen, ligesom den giver gode råd til håndtering af immaterialretlige krav ved forhandling med leverandører af AI-løsninger.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.