Hvordan sørger vi for personvern når AI bakes inn i appene våre? - Kunden må oppleve kontroll

Datatilsynet og Ruter har vurdert de nye utfordringene. - Må forklares på en måte som er forståelig.

Ruter ønsker å bruke kunstig intelligens (AI) for å levere personlig tilpassede reiseforslag til kundene via Ruter-appen og har deltatt i Datatilsynets "sandkasse for kunstig intelligens." 📸: Mattis Vaaland/Privat
Ruter ønsker å bruke kunstig intelligens (AI) for å levere personlig tilpassede reiseforslag til kundene via Ruter-appen og har deltatt i Datatilsynets "sandkasse for kunstig intelligens." 📸: Mattis Vaaland/Privat Vis mer

Ruter ønsker å bruke kunstig intelligens (AI) for å blant annet levere personlig tilpassede reiseforslag til kundene via Ruter-appen. Ifølge selskapet er målet å øke bruken av kollektivtransport.

I den anledning har selskapet deltatt i Datatilsynets "sandkasse for kunstig intelligens". Dette er en ordning hvor tilsynet hjelper "enkeltaktører med å følge regelverket og utvikle personvernvennlige løsninger."

Nå foreligger sluttrapporten, hvor Ruter har samarbeidet med Datatilsynet om å løse utfordringer som personvern, sikkerhet og etterlevelse av GDPR.

- Forståelsen av ansvaret Ruter har i forhold til lokal lagring av kundens data var en av de største utfordringene i prosjektet, sier Jawad Saleemi, AI og "Data Lead" i Ruter, til kode24.

I tillegg deltok Mirjam Jabro, produktleder for Ruter app, Svend Wandaas, juridisk seniorrådgiver i Ruter og Guro Fiskvik Åsbø, juridisk seniorrådgiver i Datatilsynet i prosjektet.

Kontroll over personopplysninger

- Hvilke andre utfordringer identifiserte dere?

- Som en virksomhet i offentlig sektor er det viktig å ivareta personvernet til kundene, samtidig som man leverer en god tjeneste. Sandkasseprosjektet har identifisert mange utfordringer knyttet til dette, og en av de viktigste er å finne en balanse mellom å tilby personlig tilpassede løsninger og å beskytte kundenes personopplysninger, sier Saleemi.

Han legger til at Ruter også må sikre at AI-beslutningsprosessene er nøyaktige og rettferdige, samt at tekniske løsninger oppfyller kravene til personvernlovgivning og GDPR.

- Kundene må oppleve at de har kontroll over sine personopplysninger, med enkel tilgang til å slette informasjonen hvis de ønsker det. Samtidig må Ruter sørge for at kundenes blir ivaretatt, og at de får en tydelig, forståelig og brukervennlig informasjon om tjenestene og deres personopplysninger, sier Saleemi.

«En logg med personopplysninger vil bli sendt til Ruter sentralt for AI-utvikling.»

Flere utfordringer

Ifølge Saleemi var et hovedfokus i sandkasseprosjekter hvordan man kan gi kunden tilstrekkelig og konkret informasjon om bruken av AI, samtidig som man ikke blir for teknisk slik at kunden ikke forstår informasjonen.

Han legger til at Ruter ønsker å tilrettelegge for lokal lagring av kundeopplysninger i en tidlig fase av sandkasseprosjektet. Målet er å kunne bruke reiseopplysningene til å utvikle AI-modeller dersom kunden gir sitt samtykke.

- En logg med personopplysninger vil bli sendt til Ruter sentralt for AI-utvikling, men mens opplysningene ligger lokalt på kundens enhet, vil Ruter ikke ha tilgang til dem.

Kunders som ikke gir samtykke til sentral lagring, vil aldri ha sine opplysninger tilgjengelige for Ruter. Kundene vil også kunne slette favorittreiser direkte fra appen.

- En utfordring ved lokal lagring er hvordan Ruter skal sikre at dette er i samsvar med personvernregelverket. Gjelder personvernregelverket ved lokal lagring? Og hvilken rolle vil Ruter i så fall ha?

Ruter og Datatilsynet er uenige

- Hvordan løser dere disse utfordringene?

- Vi løste disse utfordringene sammen med Datatilsynet. Vi fulgte prinsippene og kravene fra GDPR for å sikre at prinsipper som åpenhet, retten til informasjon, retten til å bli glemt, er integrert i vårt systemdesign. Vi sørget også for at bruken av data og kunstig intelligens blir forklart på en måte som er forståelig for våre kunder, sier Saleemi.

Han legger til at Ruters kunder har rett til å vite hvilken personlig informasjon som samles inn, behandles, lagres og hvordan den brukes av AI for å gi dem en glatt og personlig reiseopplevelse.

Videre vil Ruter jobbe hardt for å sikre at våre AI-systemer oppfyller alle krav til personvern og sikkerhet, og at våre kunder har kontroll over deres data og enkel tilgang til å slette det dersom de ønsker det.

- Utfordringene med lokal lagring ble løst slik at selv om Ruter og Datatilsynet er uenig om hvorvidt man behandler personopplysninger i det hele tatt, så er vi enig om Ruter ikke nødvendigvis har samme forpliktelser til å ivareta kundens rett til for eksempel innsyn og sletting, all den stund vi ikke har tilgang til opplysningene, sier Saleemi.

«Vi sørget også for at bruken av data og kunstig intelligens blir forklart på en måte som er forståelig for våre kunder.»

Har lært mye

Ifølge Saleemi har det vært svært lærerikt å være med i datatilsynets sandkasse.

- Vi har lært mye om GDPR og personvern, og har nå større trygghet i å håndtere og behandle kundedata med en høy grad av ansvar. Som et offentlig selskap har folk en høy grad av tillit og forventninger til oss, sier han.

Saleemi mener ved å delta i dette prosjektet med Datatilsynet sørger Ruter for at tilliten opprettholdes, samt at selskapet behandler kundenes data med høyeste nivå av personvern og sikkerhet og sikrer at alle tekniske løsninger oppfyller kravene i GDPR og personvernlovgivning.

- Vi er forpliktet til å beskytte de personlige opplysningene til våre kunder, og prioriterer deres personvern og sikkerhet i alle våre operasjoner. Læringen fra denne samarbeidet er ikke begrenset til dette prosjektet, men strekker seg videre til bruken av personlige data for å tilby bedre tjenester for våre kunder i andre sammenhenger og andre formål, sier han.