Digitalisering
Personuppgifter i samband med RPA och AI?
Vid interaktion med RPA och AI kommer individens personuppgifter att genomgå behandling på sätt som inte nödvändigtvis är enkla, tydliga eller i värsta fall, ens möjlig att exakt beskriva. De praktiska möjligheterna försvåras gradvis desto mer komplex uppgiften och den teknik som används är. Konsekvensbedömning av den behandling som görs vid införande av RPA eller AI är dock ett måste för att säkerställa individens rättigheter. Allt detta leder oss till frågan om hur RPA, AI och GDPR praktiskt fungerar ihop.
Problemet med personuppgifter, RPA & AI i praktiken
I artikel 35 från GDPR ställs krav på företag och andra organisationer att genomföra en så kallad konsekvensbedömning avseende dataskydd med inriktning på personuppgifter. Syftet med denna konsekvensbedömning är att säkerställa att personuppgifter behandlas i enlighet med alla de krav som fastställs i förordningen.
Konsekvensbedömningen måste inte eliminera de risker som fastställs men det är av stor vikt att verksamheter fortlöpande arbetar för att minimera dessa risker samt att man tar beslut om konsekvenser av olika risker är godtagbara för den verksamhet man bedriver.
Inga risker får lämnas utan en aktiv värdering av konsekvenserna för de personuppgifter som hanteras.
I artikel 22 fastställs även att ”Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.” Med ‘enbart’ syftar man i detta fall på när en beslutsprocess är helt automatiserad och utesluter allt mänskligt inflytande på resultatet.
En beslutsprocess behöver ha någon form av mänsklig inblandning där man väger upp och tolkar resultatet av ett automatiserat beslut innan det appliceras på individen för att inte definieras som en enbart automatiserad process.
Ett problem som uppstår vid implementeringen av RPA- eller AI-lösningar är exempelvis att brittiska ICO:s tolkning av GDPR fastställer att en process fortfarande kan vara att betraktas som enbart automatiserad även om en människa matar in de data som ska behandlas, om beslutet sedan fattas av ett automatiserat system.
RPA och AI kommer framöver att påverka många viktiga områden i vår vardag. I framkant finns till exempel automatisering av administrativa processer och inom sjukvården.
Potentialen med båda teknikerna är hög, men implementering av RPA och AI ställer också nya frågor om hur människors rättigheter ska hanteras på ett lagenligt och säkert sätt. Insikt och förståelse för vad som sker är en förutsättning för att skapa en rättvis beskrivning och välavvägda bedömningar av riskerna.
Vid interaktion med RPA och AI kommer individens personuppgifter att genomgå behandling på sätt som inte nödvändigtvis är enkla, tydliga eller i värsta fall, ens möjlig att exakt beskriva. De praktiska möjligheterna försvåras gradvis desto mer komplex uppgiften och den teknik som används är. Konsekvensbedömning av den behandling som görs vid införande av RPA eller AI är dock ett måste för att säkerställa individens rättigheter.
Allt detta leder oss till frågan om hur RPA, AI och GDPR’s krav på hantering av personuppgifter praktiskt fungerar ihop.
Ny teknologi som RPA och AI ställer högre krav på manuella kontroller
De verktyg som finns tillhands för att hantera privacy bygger på att människan förstår och kan beskriva den behandling som görs. Historiskt har detta inte varit svårt då individer gjort alla moment i behandlingen. Med en ökad grad av automatisering får individen en allt mindre del i utförandet och förståelsen för exakt vilken behandling som görs minskar då endast ett färdigt resultat presenteras. Dokumentation kan uppväga denna brist.
Men självklart ställs då krav på att denna uppdateras och hålls aktuell och att åtminstone någon individ fortfarande har bilden klar för sig.
| Teknik | GDPR behandlingsregister | GDPR Konsekvensanalys |
|---|---|---|
| Datacenter Automations and Scripting | OK | OK |
| Robotic Process Automation (RPA) | OK | OK |
| Machine Learning | OK | Bristfällig |
| Artificiell Intelligence (AI) | Motsvarar inte behovet | Motsvarar inte behovet |
Om vi ser på vad som fastställs i Tabell 1 i relation till tekniker för automatisering i så är det uppenbart så att Datacenter Automatisering och Scripting har som förutsättning att det finns en förståelse för den behandling som utförs.
Nästa steg i automatiseringsutvecklingen är RPA. Processerna som robotarna ska arbeta i ställer som krav att det sker en analys och en utveckling av ett regelverk för vad roboten ska utföra. Uppenbarligen finns det också här en individ som i detalj kan beskriva den behandling som ska genomföras.
Vid maskininlärning finns en förståelse över datamaterialet som tillgängliggörs samt vad det avsedda ändamålet är. På vilka kriterier beslut tas är däremot svårare att beskriva då programvaran har kapacitet för att lära sig och justera utkomsten av beslut för högre precision. Detta gör också att beskrivningen i konsekvensanalysen påverkas vilket i sin tur kan leda till en sämre riskidentifiering och bedömning. Vad gäller beslutsförmåga för AI-system som har bredare arbetsområden definierar de själva sin strategi för att nå precision och bästa möjliga beslut.
Här förmår vi inte längre att på ett insiktsfullt sätt beskriva den behandling som görs. Istället höjer vi abstraktionsnivån i beskrivningen och den efterföljande analysen.
Utan ett bra underlag blir konsekvensbedömningen mindre relevant från ett GDPR-hänseende och det blir inte möjligt att deklarera på ett övertygande sätt att individers rätt till skydd för sitt privat- och familjeliv efterlevs.
AI-teknologin är för närvarande i sitt tidiga utvecklingsstadium och kräver fortfarande mänsklig kontroll. Då finns problemet i vad människan säger åt ett AI-system att göra. I ett senare utvecklingsstadium kan det se annorlunda ut med AI som inte behöver människan för att styra vad den ska göra.
Uppenbarligen finns ett behov av kontroll och ett regelverk.
Samtidigt är det viktigt att inte begränsa innovationer och de förtjänster som kan uppnås. Detta ställer krav på större samarbete mellan lagstiftare och innovatörer. Ändamålet bör vara att stödja utvecklingen och inte att stoppa den.
När ny teknologi utvecklas för nya ändamål följer oftast inte lagstiftningen med i samma takt och så är det även här. Lagstiftningsprocessen måste bli snabbare idag. Detta innebär att spridning av kunskap från innovatörer till beslutsfattare behöver ske i mycket större utsträckning. En av de viktigaste förutsättningarna för det är samarbete och spridning av kunskap gällande effekter av teknologins användning.
Trots svårigheterna i att öka transparensen och samtidigt hålla nya innovationer hemliga måste samarbetet ske vid ett tidigare skede. Detta för att inte lagstiftarna och innovatörer ska motarbeta varandra så till den grad att nya innovationer till viss grad är lagstridiga.
GDPR och AI tillsammans skapar nya utmaningar
Vid regelbaserad robotisering sker en ingående analys av processer som kommer automatiseras. Detta inkluderar att beskriva det datamaterial som kommer användas. Därmed kommer de personuppgifter som behandlas att identifieras och tydligt kopplas till ett syfte. Eftersom man därmed har full insikt i behandlingen kan man tillämpa samma förfarande av konsekvensanalys som vid annan behandling. En viktig punkt från GDPR är att möjliggöra mänsklig intervention om man som registrerad mottar automatiserade beslut som man anser inte stämmer.
Här pekar man snabbt ut en svaghet med robotisering då den mänskliga kompetensen att utföra den nu automatiserade processen snabbt försvinner när det dagliga behovet inte längre finns.
Denna risk bör man redan från början ta höjd för och säkerställa att det finns praktiska möjligheter för en fysisk person att kontrollera en utförd behandling.
Användandet av AI ställs inför samma utmaning. Under begreppet AI inkluderar vi i detta avsnitt även maskininlärning som avser algoritmer med förmåga att förbättra sin träffsäkerhet i återkommande bedömningar. Detta då båda områdena står inför likande problematik i framtiden. Här är dock den behandling som sker mycket mer komplex och finns inte tillgänglig i någon detaljerad beskrivning. En AI av idag som har tydliga uppgifter och fungerar som specialist på ett snävt område där personuppgifter behandlas kan man med en rimlig insats och precision beskriva med dagens verktyg. Men t.ex. mer avancerade digitala AI-assistenter ställer detta på sin ända då syftet här är att kunna bistå med svar på komplexa frågor om många olika områden. Och för att lösa uppgiften behöver de behandla stora datamängder på ett sätt som vi inte kan beskriva i dagsläget.
I artikel 5:2 GDPR fastställs det att ”Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet)”. Frågorna man måste ställa sig i relation till detta är; Vem kommer att ansvara för handlingarna i AI och maskininlärning? Är det företaget som har maskinen, personen som har skrivit koden eller de som har försett programmet med träningsdata?
När det gäller dessa frågor så kan man tydligt se att det finns luckor mellan lagstiftningen och den tekniska utvecklingen som på sikt kräver tydligare direktiv och spetsigare lagstiftning för att kunna hantera utvecklandet och användandet av AI. Den stora utmaningen ligger således inte inom det tekniska området idag utan snarare på det juridiska.
EKMR fastställer i 8:1 att ” Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.” Det är således alla världens lagstiftares skyldighet att tillse behovet av reglering för att marknaden på ett tryggt sätt ska kunna fortsätta utveckla framtida innovationer.
RPA och AI: Hög potential men efterlevnad kring hantering av personuppgifter en utmaning
Robotiserad Process Automation (RPA) och Artificiell Intelligens (AI) har stor potential och kan ge stora förtjänster för dess användare och samhället i stort. Samtidigt ställer det krav på att det finns regelverk – lagar, som skyddar individens rättigheter och däribland även personuppgifter då lagstiftningen inte hunnit ikapp.
En central fråga är här att definiera vem som kommer att ansvara för handlingarna i AI och maskininlärning.
Ett större samarbete mellan lagstiftare och innovatörer som inte begränsar innovationer tillsammans med en snabbare lagstiftningsprocess kan ge de förutsättningar som behövs för att hantera dessa frågeställningar. Inte heller de metoder och verktyg som idag används för att hantera riskerna med behandlingen av personuppgifter är tillräckliga.
En viktig faktor för att lyckas i sitt arbete med RPA och AI är att ta stöd i de frågor där man vet att man själv inte har tillräcklig kunskap, och hantering av individens personuppgifter och efterlevnad av GDPR är en av de mest centrala. Vill man idag ligga i framkant i nyttjandet av RPA och AI bryter man ofta ny mark och det är i dessa fall av stor vikt att man har kompetenta resurser tillgängliga för att lyckas tolka den snårskog som regleringarna är idag.
Idag är inte AI så utvecklat som det kommer att kunna bli i framtiden vilket innebär att man nu bör ta tillfället i akt att låta lagar och riktlinjer utvecklas i samma takt som tekniken för att inte hamna i ett lagstiftningsglapp i framtiden som kan utnyttjas av enskilda för att inskränka på individers enskilda rättigheter.
Definitioner
Robotic Process Automation (RPA)
RPA har som mål att automatisera regelbaserade processer med hjälp av robotprogram. Roboten interagerar med existerande applikationer på samma sätt som en fysisk person hade gjort utan att vara konstant övervakad av en människa.
Artificiell Intelligens (AI)
AI utför komplexa uppgifter som kräver beslutsförmåga samt tar oberoende beslut baserade på ett dataunderlag. I sin mest grundläggande form kan AI definieras som ett system som fattar självständiga beslut
Uppgifterna AI utför är ofta att duplicera eller efterlikna handlingar av mänsklig intelligens, som att känna igen ljud och objekt, lösa problem, förstå språk och använda sig av strategier för att uppnå specifika mål. Vissa AI-system är enorma, och utför miljontals beräkningar snabbt – medan andra jobbar snävare och är avsedda för en enda uppgift, som att exempelvis uppfatta och fånga upp skällsord i mailkonversationer.
Maskininlärning (ML)
ML är tillämpning av programvara som kan behandla datamaterial i syfte att lära sig ta beslut utifrån det utan att uttryckligt vara programmerad för ett visst beslut. Det är ett underområde inom AI och fokuserar på utveckling av datorprogram som kan ändras när de konfronteras med nya data.
EKMR
EKMR står för europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Det är Europarådets konvention för mänskliga rättigheter. Konventionen är inkorporerad i svensk lag genom Lag (1994:1219).
Information Commissioner’s Office (ICO)
ICO är det oberoende tillsynskontoret, och nationella dataskyddsmyndigheten, i Storbritannien som hanterar the Data Protection Act 2018 och GDPR samt även andra direktiv.
Dataskyddsförordningen (GDPR, The General Data Protection Regulation)
GDPR gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.
Tips: Läs vårt white paper Informationsklassificering vid RPA för mer inom ämnet!
