Samspillet mellem AI-forordningen og GDPR i sandkassen
Datatilsynet og Digitaliseringsstyrelsen har offentliggjort slutrapporter fra to AI-sandkasseforløb, hvor vejledningen nu omfatter både databeskyttelsesreglerne og risikoklassificering efter AI-forordningen. Erfaringerne viser et tæt overlap mellem krav til risikovurdering, dokumentation og organisatorisk ansvar.
For projekter med AI betyder det, at dataroller, behandlingsgrundlag og behovet for konsekvensanalyse (DPIA) skal afklares parallelt med AI-forordningens krav til styring og kontrol. Sandkassen synliggør, at systematisk governance tidligt i udviklingen reducerer regulatorisk usikkerhed. Læs mere om sandkassen hos Datatilsynet: regulatorisk sandkasse.
EEG-fortolkning i sundhedssektoren: roller, grundlag og risici
BrainCapture ApS udvikler en AI-løsning, der understøtter fortolkning af EEG-målinger med et potentielt sundhedsfagligt sigte. Vejledningen adresserer, hvornår EEG-signaler er personoplysninger, og hvornår de udgør særlige kategorier, samt hvilket retligt grundlag der kan bære udvikling, træning og validering.
Forløbet belyser også rolle- og ansvarsfordeling mellem parter, samt hvordan løsningen kan blive højrisiko efter AI-forordningen – særligt ved biometrisk kategorisering eller hvis teknologien integreres i medicinsk udstyr. Centrale fokusområder var blandt andet:
- Afklaring af personoplysningsstatus for EEG og tilknyttede metadata.
- Retligt grundlag for udvikling, test og drift, herunder brug af træningsdata.
- Rolle- og ansvarsfordeling mellem dataansvarlige og databehandlere.
- Risikoklassificering og dokumentation efter AI-forordningen.
- Højrisiko-scenarier ved biometrisk kategorisering og integration i medicinsk udstyr.
Rapporten uddyber særlige hensyn for sundhedsdata og krav til dokumentation ved modeludvikling. Læs rapporten: BrainCapture ApS.
Samtalesimulator til fagprofessionelle: forbudte praksisser og højrisiko
Børns Vilkår har udviklet en AI-baseret samtalesimulator, der gør det muligt for fagprofessionelle at øve svære samtaler i et fiktivt miljø. Vejledningen fokuserer på vurdering af, om træningsdatasæt indeholder personoplysninger, fastlæggelse af dataroller og valg af behandlingsgrundlag.
Derudover behandles risikoklassificering samt forbudte AI-praksisser, herunder systemer, der udleder følelser i arbejdsmæssige og uddannelsesmæssige sammenhænge. Forløbet peger på behovet for klare afgrænsninger af funktionalitet, transparens og menneskelig kontrol. Centrale temaer omfattede:
- Datasæt-analyse og dataminimering ved udvikling og drift.
- Rolle- og ansvarsfordeling og krav til databehandleraftaler.
- Behandlingsgrundlag og eventuelt behov for DPIA.
- Forbud mod følelsesudledning i arbejds- og uddannelseskontekster.
- Højrisiko-overvejelser i uddannelses- og ansættelsesrelationer.
Erfaringerne omsættes til generel vejledning fra myndighederne og kan bruges som køreplan for ansvarlig AI. Læs rapporten: Børns Vilkår.
