Hvornår kræves en DPIA ved brug af AI?

En DPIA er påkrævet ved høj risiko for de registreredes rettigheder, jf. GDPR art. 35. Generativ AI kan typisk udløse DPIA, når der behandles omfattende, følsomme eller uforudsigelige data.

Hvad har Datatilsynet bedt kommunen om i sagen?

Tilsynet har anmodet om de to seneste DPO-rapporter og en redegørelse for risikovurderinger, DPIA-overvejelser og den praktiske anvendelse af AI. Der er givet en kort svarfrist som led i den proaktive kontrol.

Hvad er en FRIA, og hvornår er den relevant?

En FRIA er en analyse af påvirkningen af grundlæggende rettigheder efter AI-forordningen. Den kan være relevant som supplement til en DPIA, når AI-løsningen indebærer høj risiko for brugeres rettigheder.

Datatilsynet åbner sag: Kommune brugte AI uden risikovurdering

I dag

•

HjulmandKaptain

Datatilsynet åbner sag: Kommune brugte AI uden risikovurdering

Compliance Offentlig ret Legal Tech og AI EU-ret Persondata og cybersikkerhed

Datatilsynet gransker Kerteminde Kommune for brug af generativ AI uden risikovurdering og DPIA. Sagen skærper krav til governance, dokumentation og DPO-involvering og peger på, at FRIA kan blive relevant efter AI-forordningen. Få overblik over de centrale GDPR-pligter.

Stefanie Lynge Eriksen

Nicoline Madsen

Datatilsynets undersøgelse af kommunal AI-brug uden DPIA

Datatilsynet har indledt en tilsynssag mod Kerteminde Kommune efter udbredt anvendelse af generativ AI i sagsforberedelse, administrativ støtte og tekstproduktion uden forudgående risikovurderinger og konsekvensanalyse (DPIA). Manglende governance og dokumentation ved behandling af personoplysninger strider mod GDPRs ansvarlighedsprincip og risikobaserede tilgang.

Tilsynet har af egen drift anmodet kommunen om de seneste DPO-rapporter samt en redegørelse for overvejelser om risikovurdering, DPIA og den faktiske brug af AI. Kommunen har modtaget en kort svarfrist, hvilket understreger myndighedens proaktive kontrol med AI-implementering i den offentlige sektor.

GDPR-krav ved generativ AI: risikovurdering, DPIA og FRIA

Brugen af store sprogmodeller kan indebære omfattende og uforudsigelig behandling af personoplysninger, herunder risiko for fejl, bias og datalæk. Derfor skal den dataansvarlige identificere behandlingsformål, datatyper og risici, fastlægge passende tekniske og organisatoriske foranstaltninger samt sikre et gyldigt behandlingsgrundlag.

Ved høj risiko udløser GDPR art. 35 pligt til en DPIA, hvor risici og afværgeforanstaltninger dokumenteres. Kommer analysen frem til væsentlig påvirkning af grundlæggende rettigheder, kan en supplerende AI-konsekvensanalyse (FRIA) efter AI-forordningens art. 27 blive nødvendig. Samlet set forudsætter lovlig brug af AI både dokumentation, proportionalitet og privacy by design.

Styring og dokumentation: praktiske skridt til compliant AI

For at bringe AI-brug i overensstemmelse med GDPR og kommende AI-regler bør ledelse og DPO etablere en klar governance-ramme, der er operationel på tværs af organisationen. Følgende tiltag er centrale og bør gennemføres før ibrugtagning:

Gennemfør en systematisk risikovurdering af de planlagte use cases.
Afgør, om der kræves DPIA, og dokumentér metode, resultater og beslutninger.
Fastlæg og kommuniker interne retningslinjer for input, output og adgangsstyring.
Implementér tekniske og organisatoriske foranstaltninger, herunder logning og dataminimering.
Involver DPO og relevante fagområder tidligt, og før løbende tilsyn med leverandører og databehandleraftaler.

En moden styringsmodel gør det muligt at balancere innovation og retslig efterlevelse. Den reducerer også risikoen for tilsynspåbud, sikkerhedsbrud og uforenelige formål, samtidig med at organisationen kan dokumentere, at beslutninger om AI er truffet på et informeret og kontrolleret grundlag.

Læs hele artiklen hos HjulmandKaptain →

Søgeord