Vejledning til lovlig brug af AI for uddannelsesinstitutionerne

Anvendelsen af kunstig intelligens (AI) på skoleområdet er i hastig vækst og samtidig er det retlige landskab for AI komplekst og udfordrende at navigere i for mange uddannelsesinstitutioner. AI-forordningen og databeskyttelsesforordningen stiller omfattende krav til korrekt og sikker anvendelse af AI, hvilket skaber behov for en klar og brugervenlig juridisk vejledning. 

Derfor har  Styrelsen for IT og Læring (STIL) udformet et konkret redskab, der kan fungere som et opslagsværk i det daglige arbejde med AI. Det inkluderer en tjekliste for vurderingen, der skal foretages i forbindelse med AI, så man lettere kan navigere i det komplekse retlige landskab og understøtte en sikker og lovlig anvendelse af AI.

Med afsæt i databeskyttelsesforordningen og AI-forordningen, har STIL lavet en syv trins model for ansvarlig AI-brug. Versionen her er et kort sammenkog (af et sammenkog), vi anbefaler derfor også at læse den fulde rapport.


Trin 1: Kortlæg jeres AI-løsninger, deres risikoniveau og behandlinger af personoplysninger
 
Hvilke AI-systemer I i praksis anvender? Hvilken risiko vil der være forbundet med jeres brug af systemet? Hvorvidt behandles personoplysninger i forbindelse med jeres brug af AI-systemerne, som omfattes af reglerne i databeskyttelsesforordningen? Det anbefales at denne kortlægning er regelmæssigt opdateret.


Trin 2: Kortlæg jeres rolle i forhold til AI-systemerne
 
Det indebærer både jeres rolle i forhold til databehandlingen (er I databehandlere eller dataansvarlige?) og AI-forordningen (er I idriftsætter eller udbyder af AI-systemer?).

Der er nemlig forskel på kravene, som gælder, afhængig af, om man anses for at være fx. dataansvarlig eller databehandler. 

Den dataansvarlige vil typisk være den, som bestemmer over databehandlingen, hvad formålet med databehandlingen  er, og hvilke hjælpemidler der skal tages i brug. 

Den dataansvarlig kan instruere en anden part (databehandleren) til at behandle oplysningerne på den dataansvarliges vegne. I de fleste tilfælde vil en uddannelsesinstitution være dataansvarlig.

Downloader/anvender en elev af egen drift AI-applikationer på sit eget udstyr er uddannelsesinstitutionen hverken dataansvarlig eller databehandler. 


Trin 3: Vurdér lovligheden af AI-systemerne ud fra AI-forordningen og principperne for behandling af personoplysninger

Som udgangspunkt er det forbudt at omsætte, ibrugtage eller anvende AI-systemer, der har et betydeligt potentiale til at manipulere en persons underbevidsthed eller udnytter sårbarheder hos specifikke sårbare grupper for væsentligt at forvride deres adfærd på en måde, der sandsynligvis vil forvolde dem eller andre skade. I AI-forordningens artikel 5 oplistes hvilke former for AI praksis der er forbudt. 

Trin 4: Vurdér og håndtér risici og sikkerhed 

Kortlæg og identificer alle risici, som behandlingen vil medføre, og en kategorisering af disse risici (scoring, sandsynlighed og alvorlighed) samt en identifikation og vurdering af, hvilke passende tekniske og organisatoriske foranstaltninger der bør implementeres for at imødegå de kortlagte risici.

AI-systemets risiko niveau inddeles i forbudt, højrisiko (indebærer særskilte forpligtelser efter AI-forordningen), begrænset risiko og lav risiko. 

Konsekvensanalysen kan udformes med baggrund i databeskyttelse (DPIA), grundlæggende rettigheder (FRIA), risikovurdering af behandlingssikkerheden efter databeskyttelsesforordningens artikel 32 overholdes, og at dette kan dokumenteres. 

Trin 5: Oplys de registrerede om behandlingen af deres personoplysninger og håndter deres rettigheder

Dette trin omfatter: Oplysningspligten efter databeskyttelsesforordningen og gennemsigtighedsforpligtelser efter AI-forordningen.

Efter anmodning fra elev/studerende m.fl. skal I være i stand til: at give dem indsigt i de personoplysninger, som I behandler om dem og berigtige forkerte oplysninger om dem.
Under visse betingelser skal I kunne slette personoplysninger om dem, begrænse behandling, sende de personoplysninger, som I behandler til vedkommende eller overføre dem til en anden dataansvarlig, samt stoppe en behandling, hvis de gør indsigelse mod denne behandling.

Trin 6: Fastsæt centrale politikker og retningslinjer

Det anbefales at I som minimum udarbejder: Persondatapolitik/Privatlivspolitik, Retningslinjer for brug af jeres AI-værktøjer, samt procedurer for behandling af rettighedsanmodninger fra de registrerede.


Trin 7: Undervis medarbejderne i AI-færdigheder og jeres politikker og procedurer 

Undervisere og administrative medarbejdere skal have de fornødne kompetencer til at håndtere AI-systemerne og behandlingen af personoplysningerne korrekt. Det omfatter normalt, at I underviser og instruerer jeres medarbejdere heri.

Var denne artikel relevant, så er denne, om de 7 anbefalinger til brug af generativ AI i folkeskolen fra styrelsen for undervisning og kvalitet, sandsynligvis også!