Datahøst og GDPR
Hvad er det?
AI – især maskinlæring og store sprogmodeller – kræver enorme mængder data for at kunne trænes og fungere effektivt. Men netop dette behov for “mere data, hurtigere” kolliderer ofte med grundlæggende principper i GDPR. I EU er det et kerneprincip, at man kun må indsamle de data, der er nødvendige til det konkrete formål – et princip, som står i skarp kontrast til AI-udvikleres ønske om at “høste alt”, fordi flere data typisk giver bedre modeller.
Mange AI-systemer trænes på enorme mængder web-indhold, dokumenter og tekstdata – ofte uden eksplicit samtykke fra dem, der har skabt eller ejer dataene. Det betyder, at personoplysninger og følsomme informationer i værste fald bliver brugt uden viden eller accept, hvilket er i strid med GDPR’s grundprincipper om lovlighed, gennemsigtighed og dataminimering.
Men problemet stopper ikke ved træningen. Også når almindelige brugere benytter AI i praksis, opstår nye risici. Mange oplever, at AI-modeller som ChatGPT eller Claude giver bedre svar, hvis man deler rapporter, undersøgelser, e-mails eller rå data – men det indebærer alvorlige databeskyttelsesudfordringer.
Eksempler
En medarbejder uploader en intern rapport til en AI-model for at få lavet et sammendrag eller forslag til næste skridt. Rapporten indeholder både personoplysninger og forretningskritisk viden – og pludselig er data potentielt eksponeret over for en ekstern AI-tjeneste, hvor man ikke ved præcist, hvordan data opbevares eller bruges.
Selv hvis modellen ikke gemmer data til træning, kan oplysningerne alligevel blive behandlet under forhold og på fysiske lokationer, der ikke lever op til GDPR’s krav om databeskyttelse, formålsbegrænsning og datasikkerhed. Og i nogle tilfælde bliver oplysninger utilsigtet brugt i senere samtaler eller lækket via systemfejl.
Hvad skal man overveje?
Hvis du træner egne AI-modeller, skal du sikre, at dine datakilder er lovligt indsamlet, og at du overholder GDPR’s krav om dataminimering. Brug kun de oplysninger, du har behov for – og vær opmærksom på, at selv “anonyme” data kan blive personhenførbare i stor skala.
Hvis du bruger generativ AI i det daglige, bør du undgå at uploade personoplysninger, medmindre du har eksplicit samtykke og ved, hvordan data behandles. Det samme gælder for følsomme virksomhedsoplysninger og copyrightbeskyttet materiale.
Overvej at indføre interne retningslinjer for brug af AI – både for at sikre GDPR-overholdelse og for at beskytte virksomheden mod datalæk og juridiske risici. Transparens, samtykke og sikkerhed skal være grundstenene i ansvarlig AI-brug.