En ny vejledning udgivet af Styrelsen for It og Læring (STIL) udarbejdet i samarbejde med Poul Schmith/Kammeradvokaten, rettet mod uddannelsessektoren, tilbyder et operationelt oplæg i form af en struktureret syvtrinsmodel til implementering af AI-løsninger med fokus på overholdelse af databeskyttelsesforordningen (GDPR), forvaltningsretten og AI-reglerne (herunder Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens mv. – kaldet ”AI-forordningen")
Vejledningen rummer en række principper og praktiske tilgange, der er direkte anvendelige i både offentlige og private sammenhænge. Vejledningen præsenterer en proces, som er relevant for alle organisationer, der behandler personoplysninger ved brug af AI-systemer. Modellen kan bistå databeskyttelsesrådgivere, (DPO’er), compliance-ansvarlige og juridiske afdelinger generelt med at sikre, at anvendelsen af AI sker inden for lovgivningens rammer. De syv trin beskrives i det følgende:
1. Kortlægning af anvendelsen og identifikation af risici
Organisationen bør skabe overblik over nuværende og planlagte AI-systemer og disses anvendelsesområder. Der bør foretages en indledende vurdering af risikoniveau, herunder om løsningen kan betegnes som højrisiko i henhold til AI-forordningen eller indebærer automatiske afgørelser uden menneskelig indblanding.
2. Sikring af tilstrækkelige kompetencer
Brugen af AI kan medføre komplekse tekniske og juridiske spørgsmål. Interne kompetencer skal opbygges på tværs af organisationen med særlig fokus på rettidig inddragelse af relevante afdelinger, f.eks. juridiske afdelinger og it-afdelinger. I vejledningen foreslås sikring af tilstrækkelige kompetencer igennem f.eks. efteruddannelse, kompetencekortlægning og rettidig inddragelse af DPO’er.
3. Fordeling af ansvar og etablering af governance
Roller og ansvar for AI-projekter skal identificeres, således at det bl.a. fastlægges, hvem der har beslutnings- hhv. tilsynskompetencen. Der bør etableres governance-strukturer, f.eks. i form af AI-udvalg eller kontrolmekanismer, som understøtter både intern koordinering og ekstern ansvarlighed.
4. Vurdering af lovlighed og behandlingsgrundlag
Det er af væsentlig betydning at have sikret korrekt identifikation af det juridiske grundlag for behandlingen, hvorfor det skal sikres, at der kan identificeres et gyldigt behandlingsgrundlag efter databeskyttelsesforordningen. Det skal endvidere sikres, at løsningen understøtter behandlingsprincipperne, herunder principperne om dataminimering og formålsbegrænsning. I vejledningen anbefales en vurdering op imod AI-forordningens krav om f.eks. registrering, mærkning og dokumentation.
5. Gennemførelse af risikovurdering og forebyggelse af skade
AI-systemer kan indebære væsentlige risici for registrerede, herunder diskrimination eller manglende gennemsigtighed. En dokumenteret risikovurdering, f.eks. i form af en konsekvensanalyse (DPIA) skal altid overvejes, særligt ved behandlinger ved automatiseret sagsbehandling og afgørelsesvirksomhed, profilering eller anvendelse af træningsdata med personhenførbare data.
6. Sikring af gennemsigtighed og beskyttelse af de registrerede
AI-forordningen stiller øgede krav til transparens. Det skal være klart og tydeligt for borgere og andre personer, at AI benyttes og på hvilken måde. Registrerede skal have adgang til indsigt, berigtigelse og mulighed for manuel efterprøvelse, særligt ved afgørelser, der træffes over for borgeren, og som har væsentlig betydning for denne.
7. Formalisering af politikker og dokumentation
Organisationen bør vedtage interne politikker, fastlægge procedurer og sikre løbende dokumentation. Kravet følger af AI-forordningen og har særlig betydning for organisationer, der anvender højrisikosystemer eller har automatisk afgørelsesvirksomhed.
Fra august 2025 og frem vil flere centrale dele af AI-forordningen finde anvendelse, herunder krav til alment anvendte modeller, tilsyn og sanktionsmuligheder. I denne kontekst kan en systematisk tilgang som den beskrevne syvtrinsmodel være afgørende for både sikring af lovmedholdelighed samt ansvarlig udvikling af AI-teknologi. Omend STIL’s vejledning som udgangspunkt er målrettet skoler og uddannelsesinstitutioner, udgør den en praksisnær model for implementering af teknologi understøttet af kunstig intelligens, som private virksomheder og andre offentlige myndigheder og organisationer med fordel vil kunne trække inspiration fra til etablering og vedligeholdelse af egen compliance.
