Abonnér

Abonnér på vores nyhedsbrev

Succes! Tjek nu din e-mail

For at fuldføre abonnementet, klik på bekræftelseslinket i din indbakke. Hvis det ikke ankommer inden for 3 minutter, tjek din spam-mappe.

Ok, tak
Debat

AI hypen = Massive GDPR-overtrædelser

Peter Svarre profile image
by Peter Svarre
Opdateret
AI hypen = Massive GDPR-overtrædelser
Photo by Nahrizul Kadri / Unsplash

Danmark skal spare 30.000 årsværk i den offentlige sektor med hjælp fra kunstig intelligens. Men effektiviseringen går langsomt – og risikerer at ske på bekostning af borgernes datasikkerhed. Rundt om i kommuner og styrelser bruges AI-chatbots allerede i stor stil, ofte uden klare retningslinjer eller viden om GDPR. Resultatet er et digitalt kapløb, hvor ambitionerne er høje, men beskyttelsen af følsomme oplysninger halter bagefter. 

Der hviler en tung byrde på den offentlige sektor. Og nej, det handler ikke om ventelister til psykiatrisk behandling eller mangel på pædagoger. Det handler om kunstig intelligens, og det handler om, at embedsmænd og medarbejdere i stat, regioner og kommuner inden 2035 skal finde ud af, hvordan samfulde 30.000 årsværk kan erstattes af kunstig intelligens. 

Det er lidt af et pres. Særligt fordi det ikke går helt så hurtigt, som man havde håbet. Den seneste opgørelse fra kommunerne viser, at det efter tre år med generativ AI er lykkedes at spare 34,35 årsværk og 29 af disse stammer fra Næstved Kommune.

De offentlige ansatte skal med andre ord til at tage sammen, hvis det digitale Danmark skal med på AI-vognen. Og det lægger et stort pres på den enkelte medarbejder for at komme i gang med kunstig intelligens – koste hvad det vil. 

Enorme muligheder for effektivisering, men…

Og der er da bestemt også muligheder for at spare tid i med AI i den offentlige sektor. 

  • Chatbots fra Google, OpenAI, Microsoft og Anthropic kan hjælpe med at overskue og finde mønstre i store datamængder som f.eks. surveys af borgernes holdninger til lokale forhold.
  • Chatbots kan hjælpe med sagsbehandling. Det handler bare om at fodre chatbotten med alle relevante sagsakter, og så kan den opsummere og komme med gode råd. 
  • Chatbots kan hjælpe sagsbehandlere med at skrive emails, og de kan hjælpe kommunikationsfolk med at skrive pressemeddelelser, rapporter og tekster til websiden.
  • Og chatbots kan lytte med på møder og samtaler og lave referater og foreslå relevante handlinger. 

Problemet ved alle disse nyttige funktioner er bare, at de kun bliver rigtigt nyttige, når chatbotsene bliver fodret med rigelige mængder af data om de borgere, som den offentlige sektor arbejder for. Og det skaber naturligvis problemer.

Hvad sker der med vores data?

For det første er det uklart, hvor disse data ender. Hvis man anvender en gratis version af en AI-chatbot kan man være ret sikker på, at data bliver brugt til at træne fremtidige modeller, hvilket betyder at personfølsomme data og andre sensitive offentlige data kan ende med at blive offentligt tilgængelige.

For det andet kan man i langt de fleste tilfælde være sikker på, at data ender på nogle servere, der er placeret uden for EU, hvilket betyder, at man overtræder GDPR i selvsamme øjeblik man indlæser et CPR-nummer eller noget andet personfølsomt i en AI-chatbot.

Der skal rigtige data til at få rigtige besparelser!

Når jeg underviser folk i ansvarlig brug af AI plejer jeg altid at sige, at man ikke bør fodre de kunstige intelligenser med andre data end dem, der allerede er frit tilgængelige på virksomhedens eller organisationens offentlige webside. Problemet er bare, at man ikke sparer 30.000 årsværk, hvis man kun må bruge information fra websiden til at fodre de sultne AI’er. De rigtige besparelser kommer kun, hvis man fodrer dem med rigtige data!

Massive GDPR-overtrædelser dagligt

Og det er lige præcis det, der sker rundt omkring i det offentlige Danmark. Der er ikke lavet statistiske undersøgelser af spørgsmålet, men efter at have rejst rundt i landet i 2 år og undervist og holdt foredrag, er det mit klare indtryk at :

1) AI-chatbots bliver brugt i stor stil, 2) der er et meget lille vidensniveau om data-risici og 3) der er en eklatant mangel på regler, retningslinjer, uddannelse og adgang til sikre AI-systemer. En kombination, som sandsynligvis betyder, at der dagligt foregår hundredvis – måske tusindvis – af brud på GDPR, fordi medarbejdere i den offentlige sektor gør, hvad de er blevet bedt om: forsøger at blive mere effektive med generativ AI.

Min formodning understøttes af, at Datatilsynet også konstaterer en ”stigning i antallet af brud på persondatasikkerheden, hvor ansatte har brugt persondata fra deres arbejde som input og prompts i værktøjerne og løsningerne”. Samt af digitaliseringskonsulenten Jesper Rukshan, som til Ingeniøren fortæller, at ”der er offentligt ansatte, der har brugt ChatGPT til borgersager trods forbud mod at dele personfølsomme oplysninger”. 

Hvem har ansvaret?

I princippet burde virksomhederne bag AI-produkterne tage et ansvar for, at deres løsninger i den grad motiverer til at begå ulovligheder. Men som bekendt er det ikke sådan piben spiller hos tech-giganterne. Jeg mødte for nylig OpenAI’s strategidirektør Jason Kwon, hvor jeg spurgte ham om OpenAI havde et ansvar for at forhindre, at følsomme data fra den danske offentlige sektor sandsynligvis i stor stil bliver behandlet i deres systemer. Hans svar var, at det var teknisk vanskeligt at forhindre, og at det derfor ikke var deres ansvar. Hvis man ville forhindre den type ulovligheder, måtte man fokusere på uddannelse af medarbejderne, sagde han.

Tech-giganterne har alt for travlt med kæmpe om verdensherredømmet til at interessere sig for, at danske offentligt ansatte bryder lidt GDPR-regler hist og her. Derfor må vi nok se i øjnene, at ansvaret hviler på vores egne skuldre – det vil sige politikere og embedsmænd i den offentlige sektor. 

Løsningerne

Og Jason Kwon har ret i, at vi har brug for mere uddannelse af medarbejderne. Alt for mange kurser og uddannelse i AI handler om prompting og tips og tricks. Der er behov for et langt større fokus på etiske, juridiske og tekniske begrænsninger for AI.

Men der er også brug for langt bedre og forståelige guidelines for medarbejderne. Mange organisationer har allerede disse, men man må bare konstatere, at de ikke bliver fulgt – måske fordi medarbejderne ikke har været involveret i skabelsen af disse guidelines.

Mange virksomheder og offentlige instanser er begyndt at bygge egne AI-løsninger. Og det er bestemt også en god løsning, men det er dyrt og ikke altid lige så godt som løsningerne fra tech-giganterne. Og det når sjældent ud til små virksomheder og små kommuner. Der er brug for flere fælles og sikre AI-løsninger både i den private og offentlige sektor.

Sidst men ikke mindst begynder vi at se flere og flere danske og europæiske AI-virksomheder som tilbyder GDPR sikre AI-chatbots, hvor sikkerheden er bygget ind i systemerne fra starten. Særligt den offentlige sektor bør i højere grad orientere sig mod denne type løsninger i stedet for blindt at købe ind hos Microsoft eller OpenAI.

Who cares?

Nogle vil måske mene at alt det her databekymring er en storm i et glas vand. GDPR er jo bare kedelig EU-bureaukrati, som forhindrer innovation og effektivisering af den offentlige sektor i Danmark. Men tænk over, hvordan du selv ville have det, hvis din personlige samtale med din psykolog, læge eller sagsbehandler fløjtede frit rundt på servere rundt omkring i verden, hvor de i princippet kan sælges og anvendes af højestbydende. Vi er allerede vant til massiv overvågning fra sociale medier, men hvis vores offentlige data også bliver en del af overvågningskapitalismens kværnende tandhjul, så er der ikke mange steder, vi kan være private længere.

Peter Svarre profile image
af Peter Svarre
Opdateret

Subscribe to New Posts

CROC

Succes! Tjek nu din e-mail

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Ok, tak

Læs mere