Risikokatalog og mitigering
Dette risikokatalog indeholder et overblik over typiske risici, der er forbundet med virksomheders behandling af personoplysninger i systemer baseret på kunstig intelligens (”AI-løsninger”).
Hvad er formålet med risikokataloget?
Formålet med risikokataloget er at give vejledning til dataansvarlige virksomheder, der skal lave en konsekvensanalyse vedrørende databeskyttelse i forbindelse med behandling af personoplysninger i en AI-løsning, jf. databeskyttelsesforordningens artikel 35.
Kataloget kan bruges som inspiration til at identificere typiske risici vedrørende databeskyttelse i AI-løsninger og give forslag til tilhørende tekniske og organisatoriske afhjælpende foranstaltninger til at håndtere disse risici, så disse kan dokumenteres i konsekvensanalysen og der kan opnås et acceptabelt risikoniveau, inden AI-løsningen idriftsættes.
Kataloget indeholder, ud over et overblik over typiske risici, også forslag til tekniske og organisatoriske foranstaltninger, som du kan implementere for at håndtere de pågældende risici.
Fokusområder
Risikokataloget har særligt fokus på typiske risici i AI-løsninger, der involverer automatisk beslutningstagen – enten i form af fuldautomatiske afgørelser eller beslutningsstøtte.
Men kataloget kan også anvendes til andre former for brug af AI, f.eks. til modeller til svigbekæmpelse eller risikovurdering af kunder samt profilering til brug for målrettet vejledning af kunder, markedsføring m.v.
Kataloget skal tilpasses den konkrete brug af kunstig intelligens
Risiciene og de tilhørende afhjælpende foranstaltninger er ikke udtømmende, og valg af risici og foranstaltninger skal tilpasses til de konkrete omstændigheder.
Ikke alle risici og afhjælpende foranstaltninger er relevante i alle projekter, systemer m.v., og valget heraf vil bero på den konkrete konsekvensanalyse samt den specifikke teknologi, der er tale om, samt organisationens kompetencer, modenhed m.v. Risikokataloget er således til inspiration og vejledning – ikke en facitliste.
Databeskyttelse
Kataloget indeholder afslutningsvist en ikke-udtømmende oversigt over mulige databeskyttelsesretlige skadevirkninger, som de oplistede risici kan medføre for de registrerede.
Det er således vigtigt, at den dataansvarlige virksomhed i konsekvensanalysen vedrørende databeskyttelse for hver enkelt identificeret risiko vurderer, hvilken konkret skadevirkning det vil have for de registrerede, hvis den pågældende risiko realiseres.
---
Risikokataloget er udarbejdet af Poul Smith/Kammeradvokaten i samarbejde med Dansk Industri. [Publiceret 20.02.24]