AI og personvern i normal drift for styre og ledelse
AI effektiviserer.
Førsteutkast skrives raskere. Analyse går fortere. Rapporter genereres på minutter.
Men én ting har ikke blitt billigere.
Ansvar.
AI og personvern i normal drift handler ikke først og fremst om teknologi. Det handler om styring, eierskap og struktur når tempoet øker.
For styre og operativ ledelse betyr det noe helt konkret. AI er ikke et sideprosjekt. Det er en del av virksomhetens ordinære drift. Da må også personvernet være det.
AI og personvern i normal drift må derfor forankres i ledelsens styringsstruktur, ikke i enkeltprosjekter.
Produktivitet uten struktur er raskere risiko
Når research, analyse og syntese automatiseres, skjer det ofte noe annet samtidig.
Mer data behandles.
Data kombineres på nye måter.
Nye leverandører involveres.
Gamle kontrollrutiner hoppes over fordi det bare er et utkast.
Det er her personvernet ryker.
Ikke i strategien.
Ikke i policyen.
Men i tempoet.
AI reduserer produksjonskostnader. Den reduserer ikke ansvar, risiko eller krav til dokumentasjon. God styring av AI og personvern i normal drift krever at struktur og kontroll følger samme hastighet som teknologien.
AI går i kjeder, ikke bare i verktøy
AI-bruk stopper sjelden i egen organisasjon.
Ofte kjøper virksomheter lister, analyser eller løsninger fra leverandører som allerede har brukt AI til å samle inn, strukturere eller berike data. Deretter brukes egne AI-verktøy videre internt.
Da oppstår det en kjede av leverandører, modeller, datasett og formål.
For dere i styre og ledelse betyr det at spørsmålet ikke bare er hva dere gjør med dataene nå, men også hva som er gjort før dataene kom til dere.
- Hvilke kilder inngår
- Hvilke formål lå til grunn tidligere
- Hvem kan svare dersom den registrerte spør hvor opplysningene kommer fra
- Er dere fortsatt lojale mot formålet
Når data stammer fra åpne kilder eller kjøpte lister, kan selve sammenstillingen være en ny behandling i seg selv. Se gjerne artikkelen om når lister blir gull og felle.
AI gjør slike sammenstillinger enklere, men det gjør ikke vurderingene mindre viktige.
Ledelsens ansvar ved bruk av AI og personvern i normal drift
Spørsmålet er ikke hvor stor andel av arbeidet AI kan overta. Uten tydelig struktur for AI og personvern i normal drift blir ansvar fort uklart og reaktivt.
Så spørsmålene da er:
- Hvem eier beslutningen når AI brukes
- Hvem eier risikoen
- Hvilke data brukes og hvor kommer de fra
- Er bruken lojal mot formålet
- Krever dette ny informasjon til den registrerte
- Kan dere levere innsyn, retting, sletting og eksport
- Hvor lagres data og prompts og hvor lenge
- Hvem kvalitetssikrer output
- Hvilke leverandører inngår i kjeden og hva er avtalt
Dette er ikke bare compliance. Det er virksomhetsstyring.
Dette henger tett sammen med det vi tidligere har beskrevet i artikkelen om fra sideprosjekt til normal drift.
For mange starter dette best i leverandørstyringen. Se vår gjennomgang av databehandleravtalen som styringsverktøy.
Bruk beslutningsramme, men med grenser
En praktisk tilnærming til AI-endringer er å legge frem alternativer, avklare risikoeier og diskutere avveininger.
Men før alt dette må ett spørsmål besvares.
Er dette forsvarlig fra den registrertes perspektiv
Noen risikoer kan aksepteres og signeres av. Andre er ikke reelle avveininger fordi de berører grunnleggende rettigheter.
Dette skillet må være tydelig før tempoet øker ytterligere.
Eller sagt på en annen måte – AI og personvern i normal drift er ikke et midlertidig fokusområde, men en varig del av virksomhetsstyringen.
Struktur som konkurransefortrinn
AI burde ikke få lov til å flytte konkurransefortrinnet til de raskeste.
Men til de mest strukturerte!
