9. Teknik och juridik med Anna Ersson

Let’s tech-podden är tillbaka med åtta nya avsnitt! Först ut är Anna Ersson från Advokatfirman Delphi i Göteborg och ett samtal om den tekniska utvecklingens framfart från ett juridiskt perspektiv. Vilka är egentligen bestämmelserna kring AI? Vem bär ansvaret om AI begår ett misstag? Och har GDPR-paniken äntligen lagt sig? Av och med Henrik Enström, VD på Codic Consulting.

Länkar

Advokatfirman Delphis hemsida: https://www.delphi.se/en/
Kontakta Anna på LinkedIn: https://www.linkedin.com/in/anna-ersson-77002512b/
Fallet om apan: Monkey loses selfie copyright case
Information om Dataskyddsförordningen (GDPR): https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/
Zenuitys hemsida (självkörande bilar): https://www.zenuity.com/

Om du inte hinner lyssna…

HE: Så, hej och välkomna till Let’s tech-podden. Håller på och spelar in nu ett nytt avsnitt här, med Anna Ersson från Delphi, välkommen hit.

AE: Tack så mycket, väldigt kul att vara här.

HE: Ja, jättekul att ha dig här. Så, berätta lite först, vem är du och vad gör du på Delphi?

AE: Ja, jag jobbar som jurist på Delphi. Och Delphi är en advokatbyrå som jobbar med affärsjuridik. Och det innebär att vi hjälper företag med den typ av juridik som just företag behöver hjälp med. Och på Delphi, så är vi en ganska stor grupp som jobbar med tech-juridik av alla dess slag, så det kan vara IT-avtal, mycket GDPR och personuppgiftshantering. Vi jobbar med E-handel, vi jobbar med immateriella rättigheter och såna typer av frågor.

HE: Spännande, så det är verkligen framtiden.

AE: Ja.

HE: Det som håller på att hända just nu.

AE: Ja, det är det vi tycker är som mest spännande.

HE: Så om vi kastar oss in i AI då, artificiell intelligens, vad är juridikens mening, vad kan man se som AI? För det är lite flytande termer, tycker jag, som kommer mer från systemutvecklingshållet.

AE: Ja, men det är väl lite samma inom juridiken, skulle jag säga. Finns ju ingen vedertagen term om vad AI är och det gör det heller inte inom juridiken. Så att vi förhåller väl oss till den definitionen, eller de definitionerna som finns, även …

HE: Så det rör sig med tiden, att förr i tiden kanske AI var att spela schack och nu så är det att få fram självkörande bilar, till exempel?

AE: Precis, precis. Och juridiken kommer in i de delarna då. Och sen så kan man säga att det finns ingen AI-lag, utan vi har de lagarna som finns som gäller på andra områden, som då också appliceras på AI, även om det är… eller oavsett då om det är AI-schack, eller om det är mer avancerade som självkörande fordon och såna saker.

HE: Finns det någon lag som ändå omfattar AI i dagsläget, eller är det lite så att lagen släpar? Att man får applicera gamla lagar på nya saker?

AE: Ja, man får applicera gamla lagar på nya saker, kan man säga. Sen så kommer det nya lagar och lagförslag och så där hela tiden, men inget som är en specifik AI-lag. Men däremot, så finns det vissa lagar som blir särskilt aktuella när det handlar om just AI och där har vi till exempel GDPR, som reglerar personuppgiftsbehandling. För som jag förstår det då inom AI, så behöver man ofta väldigt mycket data för att träna sina algoritmer och så vidare och i den datan då, så finns det ofta mycket personuppgifter och då kommer såna frågor in. Det är också väldigt mycket frågor om ansvar, vem ska ansvara för den här AI:n eller om någonting går fel, till exempel. Också mycket kring immateriella rättigheter och avtalsfrågor och så där, som också kommer in då.

HE: Och hur går det till, om man tänker sig att det kommer behövas lagar kring självkörande bilar. Jag har någon sorts vag föreställning om att först händer det någonting dåligt och sen skriver man lagar, när man ser att: ”Det här var ett problem.” Eller finns det fall där man verkligen skriver lagen i förebyggande syfte, att man vet att här kommer det bli intressant och viktigt att vi har lagar?

AE: Ja, men det finns vissa exempel på det, att man ändå jobbar förebyggande. Men ofta kanske det kan vara så, att man märker att någonting har hänt och att: ”Oj, här behöver vi regleringar på det här området” och så jobbar man så då. Sen så är ett annat dilemma med teknik och juridik, är att man inte vill, vad ska man säga, skriva för specialiserade lagar som bygger på en viss teknik, för att då kommer den lagen ganska snabbt bli förlegad, i och med att tekniken då utvecklas i snabbare takt.

HE: Just det. Så att man försöker skriva det generellt och …

AE: Täcka in så mycket som möjligt.

HE: Går det att göra det då? [skrattar]

AE: Ja, både ja och nej. Det går att göra det, men risken är att lagen inte säger så mycket, utan att det blir mycket tolkning, mycket upp till att det får prövas i domstol eller man behöver praxis eller vägledningar och tolkning och så där då. Så där, blir ofta där vi jurister kommer in då, när vi får hjälpa till att tolka vad som egentligen står i lagen.

HE: Just det. Och vi har ju redan självkörande bilar på vägarna, det är Volvo, till exempel Zenuity i stan, håller på med att testa självkörande bilar och har fått, i olika steg, tillåtelse att köra självkörande bilar på vissa vägar och så. Så vad skulle hända om någon, till exempel råkade ut för en allvarlig olycka eller till och med dog som en följd av de experimenten? Kan man lista ut det redan nu?

AE: Mm, ja, men det här med ansvarsfrågorna då med AI är väldigt intressant och väldigt omdiskuterat. Och där kan man säga att det finns lite olika regler, som reglerar det. Man har dels de reglerna som finns i förhållande till konsumenter, där vi som konsumenter har en skyddad ställning i lagstiftningen, där reglerna då är tvingande till skydd för konsumenten. Så att där har vi till exempel produktansvarslagar och produktsäkerhetslagar som säger att, ja, men om det är någon säkerhetsbrist i en produkt eller en bil, till exempel, ja, men då finns det regler som gäller eller som reglerar vem som ska ansvara för de skadorna som uppstår på individer och så där. Vi har även konsumentskyddslagstiftning, i form av konsumentköplagen och konsumenttjänstlagen som säger … och reglerar om det är något fel på produkten, vad som ska hända där. Så det är en grej då, i förhållande till konsumenter. En annan aspekt, är i förhållande business to business-relationer där det inte finns lika mycket tvingande lagstiftning för där ser man inte samma behov av att skydda en svagare part som man gör i förhållande till konsumenter. Så att där finns det viss lagstiftning, men mycket regleras också i avtalen, så att när man pratar business to business-relationer, så blir det ofta väldigt, väldigt viktigt vad man har reglerat i avtalen sinsemellan. Har någon part garanterat att ett AI-system ska ha en viss funktion eller uppfylla någon viss grej, då kanske det blir avgörande om produkten sen då inte gör det och så vidare.

HE: Ja, för det är komplicerat. Och jag menar, nästan alla IT-system, vet man om, har buggar, så att … och här då, när den kör en bil, till exempel, så kan en bugg få mycket, mycket allvarligare konsekvenser. Så det känns som någonting som kommer hända till sist. Och sen känns det som att det då är ganska skyddande för konsumenten, men om man tar, till exempel … det finns redan Tesla-bilar som kan köras ganska automatiskt, på större vägar och så där, och då tror jag att man fortfarande som konsument eller som förare, har man fortfarande ansvaret för att ha full koncentration och koll på fordonet under hela tiden du kör. Men problemet är väl att om du har kört hundratals mil utan problem, så börjar man ju lätt som människa koppla av den här koncentrationen. Men gissningsvis så är man fortfarande ansvarig skulle jag tro, som det är i dag.

AE: Ja, just när det kommer till bilar och fordon, så har man traditionellt sett alltid i lagstiftningen, pratat om föraren av fordonet. Och det är som du säger, den personen finns väl fortfarande kvar, även om bilen i dag kan hantera många saker utan att föraren är inblandad. Men ja, än så länge så finns det ändå en förare kvar, som skulle kunna hållas ansvarig om bilen gör något tokigt.

HE: Precis. Ja, men vi kan hoppa lite här i ämnena, ett ämne är också det här med generell AI eller AGI, att man får en dator som kanske kan bete sig mer som en människa och göra vissa saker lite mer, med lite mer öppna ramar, eller i ett extremfall då till och med, får ett eget mål och en mening och nästan som ett eget medvetande. Det är inte kanske nära just i dag eller inte vad de flesta tror, men det finns till exempel, ja, det finns någon enkät från 2012–2013, där 50 procent av experter tror att det kommer komma generell AI till år 2040–2050, beroende på enkät. Kommer lagen hinna med där? Hur kommer man hantera maskiner som tar egna beslut och kan gissningsvis begå brott också?

AE: Mm, så här kan man säga då, när man pratar om AI i lagens mening eller på EU-nivå och så där, så pratar man mycket om det som kallas för black box och att det är det som är … kanske är ett stort problem utifrån legaliteten kring AI. Att, till exempel så finns det i GDPR och personuppgiftslagstiftningen, väldigt mycket krav på transparens, det vill säga att man ska kunna förstå och man ska veta, hur kommer mina personuppgifter behandlas? Varför blev det det här beslutet, till exempel? Hur kom en människa eller en maskin fram till det här? Man ska kunna förstå det. Och det blir väl kanske ett problem då, om AI:n utvecklas och tar mer egna beslut och så där.

HE: Och det är det man tänker med black box då, att man vet inte varför den fattar beslut, utan det bara kommer ut ett beslut?

AE: Precis, och man kanske inte kan spåra tillbaka, varför blev det det beslutet? Och det kan man också se att de jobbar med på EU-nivå, där man pratar en del om etik och AI, där juridiken är en del, men där ändå etiken också är en stor självständig del. Där pratar man också mycket om det här med transparens och man ska som individ förstå och veta, vad kommer tas i beaktande, vilka uppgifter kommer användas och hur kunde det här beslutet bli som det blev? Och där pratar man också om det här med black box att man kanske inte alltid vet det och det kanske inte alltid är lätt att förklara för individer, varför en AI agerade si eller så, det kan vara svårt att förklara.

HE: Nej, det är lite notoriskt svårt, just när det gäller nuvarande AI med de här neurala nätverken som man tränar och så, att man vet inte varför den fattade ett beslut, man bara ser att den gjorde det så att säga, och givet den träningsdata man hade. Men kan man se lite vad det lutar åt i EU till exempel, att tror du att det kommer gå mot att man faktiskt tillåter att låta AI-kontrollerade system fatta viktiga beslut för människors liv? Eller lutar det mer åt att man inte kommer göra det?

AE: Nej, men det lutar åt att AI kommer absolut kunna fatta egna beslut, men det måste finnas någon överprövningsmekanism, att man kanske har rätt att ändå få ett beslut prövat av en människa. Det har vi till exempel frågor redan i dag, kring automatiska kreditbeslut och såna saker, om man till exempel gör en låneansökan online, där man kan få ett automatiskt beslut, men där bör man ändå då ha någon rätt att få en mänsklig prövning, om man skulle vilja överklaga det beslutet.

HE: Det känns tryggt. Det känns ibland som att vi ger för mycket [skrattar] till … har för mycket tilltro till datorn och låter den bestämma lite för mycket kanske, redan i dag, utan att vi har någon sorts generell AI?

AE: Ja, både och. Samtidigt som vi kanske ibland har lite för hög tro till det mänskliga beslutet, som också kan påverkas av saker som man inte riktigt är medveten om. Så att jag tycker det är lite både och där, att man kanske borde ha mer tillit till maskiner ibland, än vad man faktiskt har.

HE: Ja. Och vi har varit inne lite på det redan, du jobbar också med GDPR, som många känner till och inte minst inom IT-världen.

AE: Ja.

HE: Det måste varit ett par år med väldigt mycket att göra här nu. [skrattar]

AE: Ja, det stämmer.

HE: Hur har det … vad har hänt egentligen? GDPR kom och …

AE: GDPR kom och det har varit år fulla med GDPR-panik, kan man väl säga. Vi har haft väldigt, väldigt mycket att göra och det har varit väldigt roligt, men det har också varit utmanade, såklart. Det har varit många företag som har behövt förbereda sig för de nya reglerna. Samtidigt så hade vi ju lagstiftning om personuppgiftshantering, innan GDPR kom, i personuppgiftslagen då, eller PUL, som man brukar kalla det. Men det hände inte så mycket om man bröt mot den lagen, om man ska förenkla det, så att därför …

HE: Den kändes lite mer tandlös, ja, så att …

AE: Ja, precis.

HE: De här extrema straffsatserna i GDPR fick folk att lyssna då?

AE: Precis, och det var ju EU:s syfte med att sätta på såna höga sanktionsavgifter, var att nu skulle organisationer börja ta de här reglerna på allvar. Och så blev det också då, många gånger.

HE: Så har det lett till bättre situation för den enskilde där? Att man kan känna lite mer trygg i att ens personuppgifter inte missbrukas?

AE: Ja, men det tycker jag verkligen. Det har blivit en större medvetenhet, dels för individer, vilka rättigheter man har. Nu vet man kanske i större utsträckning att man kan klaga till en tillsynsmyndighet, som är Datainspektionen, om man tycker att ens personuppgifter har blivit behandlade på fel sätt. Eller man kan begära att bli raderad eller få sina personuppgifter rättade och så vidare. Och sen så finns det också mycket mer information, typiskt sett, att läsa nu när man gör ett köp eller när man väljer att bli medlem någonstans, vad kommer hända med mina personuppgifter nu, när jag lämnar ifrån mig dem?

HE: Just det. Alla företag har en privacy policy, som man får i ansiktet innan man kan bli medlem på sidan då.

AE: Precis, precis. Sen är det kanske inte alla som läser de här texterna då, vilket jag kan förstå.

HE: Det kan nog stämma. [skrattar]

AE: Men [skrattar] de finns där, om man är intresserad.

HE: Ja. Sen har jag för mig att jag läste att EU också hade siktet inställt på de stora företagen som Facebook och Google, när man skapade GDPR. Har de använts för att stävja de stora företagen någonting, eller vet du det?

AE: Ja, men det har det gjort. Det finns vissa regler i GDPR, som man nästan kan förstå är riktade mot såna stora dataföretag. Till exempel, har vi en regel om profilering, det vill säga att man tar in mycket data om individer, för att kunna rikta anpassad marknadsföring och såna saker mot de här personerna. Så att det finns vissa såna typer av specialregler som man kan se i GDPR, men det här riktar sig till såna typer av företag.

HE: Mm. Jag vet inte om det är en för basal fråga, men jag har inte exakt koll på hur det funkar. Om man är medlem på en sida som Facebook eller LinkedIn, måste de hela tiden söka nytt samtycke efter en viss tid eller kan de behålla en som medlem där i 20 år, om man inte gör någonting och aldrig loggar in?

AE: Man kan säga så här, att samtycke är bara en av de lagliga grunder som finns i GDPR för att få behandla personuppgifter. Man får till exempel också behandla personuppgifter om man har ett avtal med en individ och det tror jag är det som till exempel LinkedIn baserar sin personuppgiftsbehandling på, det vill säga, jag som individ har valt att ingå ett medlemskap eller ett avtal med LinkedIn och så baserar de behandlingen med stöd av det avtalet, under tiden som jag är medlem. Och jag skulle tro att de gör det, fram tills jag själv väljer att avregistrera mig.

HE: Just det. Men sen inom till exempel rekrytering, så kan det krävas att man glöm… dels måste man komma ihåg personuppgifterna ett tag, eftersom man har andra mer tvingande lagkrav på sig, som är att man ska kunna visa att man har likabehandling, och så vidare, av kandidater. Men sen så tror jag att man också måste radera data efter en viss tid, eftersom man inte har ett avtal kanske där då, att man är inte medlem i ett rekryteringsbolag, så att då måste man ta bort datan efter en viss tid, till exempel.

AE: Precis, och där skulle man till exempel kunna inhämta ett samtycke från individen och fråga så här eller säga att: ”Ja, men tyvärr så blev det inte aktuellt för den här tjänsten, men vill du att vi sparar dig i vår kandidatdatabas, så kan vi matcha dig mot framtida tjänster som matchar din profil?” eller någonting sånt.

HE: Så det finns smarta sätt att söka samtycke, även i GDPR?

AE: Ja, men det gör det. Och det är ofta väldigt kul att jobba med det tycker jag, att man försöker kombinera juridiken med säljande texter. Man vill inte få det att låta så jobbigt och juridiskt, utan faktiskt någonting kul som man vill gå med på som individ, för att det gynnar en.

HE: Just det. Så mestadels har GDPR lett till någonting bra, att man tar det här med personuppgifter på större allvar, man har uppdaterat sina avtal, ja, privacy policys. Men sen är det ibland, tycker jag, så att lagen har en fin andemening, men den kan vara irriterande för en användare som en själv då, till exempel det här med cookies, som tror jag EU var sur på någon gång och nu måste man godkänna det på varenda sida man går in på. Så det finns en risk här, att med godkänna cookies, godkänna privacy policys bara för att kunna använda en sida, och det finns så många olika sidor och appar och så måste man göra det på varenda en av dem. Det är ett ganska stort irritationsmoment till sist, borde det inte finnas något smartare sätt att bara bocka in på ett enda ställe att ni får [skrattar] använda min data om ni vill, det är lugnt.

AE: Mm. Men det är faktiskt väldigt intressant att du nämner det, för det finns faktiskt ett lagförslag, om just cookies och digital marknadsföring och liknande, som inte har antagits ännu och man vet inte riktigt när den kommer att antas, men förhoppningsvis ganska snart, men det har blivit förseningar och det håller på att förhandlas på EU fram och tillbaka. Men i det lagförslaget, har i alla fall funnits ett förslag, om att man ska kunna godkänna eller inte godkänna cookies i sin webbläsare, så man ska kunna ge ett generellt samtycke till att ja, men de här typerna av hemsidorna och de här typerna av cookies:arna vill jag godkänna, men inte de här. Så att man kan välja, en gång för alla.

HE: Ja, men det ser jag fram emot, det låter väldigt smart. Spännande. Om vi går tillbaka lite till AI här då. Om man tänker sig intressanta fall som kan hända med AI, till exempel, det kan bli så, det har man sett exempel på redan, AI som skapar till exempel musik eller bilder och så vidare, är det också ett intressant … hur blir det med ägandet där? Kan man se AI:n som en ägare eller blir det då programmeraren eller företaget som har anställt programmeraren, som äger verket?

AE: Det är också en jätteintressant fråga och någonting som lagstiftaren inte tänkte på när man skrev de här lagarna kring det här, de här rättigheterna. Och det har diskuterats mycket av jurister också, så här att ja, men om en AI skapar någonting, kan AI:t då få kanske upphovsrättsligt skydd till den här tavlan eller det här musikstycket eller vad det skulle kunna vara? Och där har man väl landat i att nej, en AI som sådan kan nog inte få upphovsrättsligt skydd för det här konstverket eller musikstycket. Men frågan är egentligen inte helt självklar, skulle jag säga. Sen kan det också vara så att den personen som har satt parametrarna för den här AI:n då, att den personen skulle kunna få det här upphovsrättsliga skyddet, men det beror också på hur mycket mänsklig inblandning det har varit och hur mycket AI:n själv har skapat det här verket.

HE: Och som du sa förut är träningsdatan väldigt viktig, så att AI:n är, i dag i alla fall får vi säga, väldigt långt ifrån en egen tänkande varelse, det är egentligen bara ett dataprogram som har anpassats med hjälp av träningsdata. Men då kan man tänka sig att den här träningsdatan … säg till exempel att den tränar sig på fina musikstycken och så lyckas den skriva någonting själv, då är det nästan ett derivativt verk från träningsdatat.

AE: Precis.

HE: Och det kan man säga om mänsklig musik också, men [skrattar] det är nästan så man kan stjäla musik om man säger: ”De här typen av låtar gillar jag, så kan du skriva någonting som liknar dem?” Och så blir det ett nytt verk, som AI:n har skapat.

AE: Mm, eller: ”Använd det bästa av de här låtarna” och så skapar AI:n då någonting utifrån det.

HE: Det känns som att det kan komma ett fall, där någon känner sig bestulen på sitt eget verk, fast det går via en AI-motor.

AE: Ja, jag hoppas det, att vi kommer få se många intressanta rättsfall framöver, som prövar de här sakerna, som inte är helt självklara för oss jurister, så får vi lite mer vägledning.

HE: Ja, det låter bra. Jag kommer ihåg också, just angående det här, inte riktigt AI då, men att det fanns något rättsfall där en apa hade tagit en bild. Så det var en fotograf som hade ställt upp en kamera någonstans och så lyckades apan på något sätt lösa ut bilden och så blev det en väldigt bra bild, förmodligen ett självporträtt på apan då, och då var ju frågan om det var apans verk eller fotografens. Men det kanske är skiljelinjen där, apan är ändå en individ, och i USA var säkert detta så att … men en AI, förmodligen, enligt min egen bedömning i dag, skulle inte kunna vara det. Om man pratar om vilka företag är det, vad får ni för frågor om AI och hur kom det sig … ni har tagit fram en presentation om AI, som ni har gett och så där, vilka är det som har varit intresserade av att höra om det här området, så att säga?

AE: Ja, men det är verkligen, verkligen blandat skulle jag säga. Det är så klart många startups som jobbar med det här och som kan ha olika typer av frågor och det behöver inte bara vara kopplat till just AI, utan det kan också vara ofta att man kanske samarbetar med andra typer av bolag och då behövs det till exempel avtal för att reglera det här partnerskapet eller partneravtal eller samarbetsavtal, så det kan vara såna typer av frågor. Men det är också bolag som kommer använda mycket data för att träna sin AI då, antingen i utvecklandet, eller som ska använda mycket data när man då ska använda sin AI och där är det ofta mycket frågor kring GDPR, men vad har vi för laglig grund för att få använda den här datan som innehåller personuppgifter då? Eller vad gör man om den registrerade vill utöva någon av sina rättigheter? Till exempel, kan vi ta bort personuppgifter ur det här datasetet? Och såna typer av frågor.

HE: Inser man snabbt, att det är väldigt svårt. [skrattar]

AE: Ja, och det är det som är kan man säga utmaningen också, att det finns juridiska regler som verkligen ställer till, och man som jurist vill inte vara en bromskloss i innovation, på något sätt. Så att man får verkligen försöka vara kreativ och hitta lösningar, så att man kan göra det man vill tekniskt, men också att man gör det på ett lagligt sätt. Och där kan man väl säga generellt, att kommer man som jurist in tidigt i projektet, så är det oftast bättre, för då kan det krävas kanske mindre justeringar för att ändå få det lagligt. Medan det är lite jobbigt om någon kommer och ska lansera om två veckor och bara vill säkerställa det juridiska.

HE: Börjar fundera om GDPR verkligen appliceras …

AE: Ja, precis. [skrattar]

HE: [skrattar] Skulle man ha frågat om samtycke väldigt tidigt, till exempel …

AE: Ja. [skrattar]

HE: Så ni inom juristbranschen, så att säga, använder ni AI på något sätt eller ser ni det som en möjlig framtid?

AE: Ja, men det har faktiskt kommit en del smarta verktyg som kan hjälpa oss att granska avtal och såna saker, leta efter vissa typer av klausuler och så där. Så här börjar vi ändå se att AI kommer in även på vår bransch. Men jag tror ju att här finns det verkligen möjlighet att utveckla detta, så att jag ser i framtiden att man kan få fin hjälp av olika AI-system i sitt dagliga arbete.

HE: Det har man sett på i olika tv-serier och så, att det är väldigt, väldigt mycket papper som en jurist kan tvingas gå igenom då.

AE: Ja.

HE: Och där kan det vara smart att, ja, kanske ge den vissa nyckelord eller någonting en AI ska leta efter och sen plocka fram och stryka över det: ”Det här kan vara intressant.”

AE: Verkligen.

HE: Eller tidigare rättsfall, kanske.

AE: Ja, och sammanställa stora mängder av material, skulle vi jurister ha väldig nytta av.

HE: Precis. Och det här med GDPR, nu hoppar jag lite fram och tillbaka här, men det finns något som heter intresseavvägning.

AE: Ja.

HE: Det är väl en sån klausul man ofta vill använda då?

AE: Ja.

HE: Att det är ett större värde för företaget än vad det är en, vad ska man säga, obekvämhet, eller något som drabbar den enskilda individen. Det måste vara svårt att säga när intresseavvägning är till fördel för företaget och när det är till fördel för individens rätt att persondata inte ska användas, så att säga.

AE: Ja, det är väldigt svårt att göra den bedömningen med intresseavvägning, för det är precis som du säger, att de här intressena är svårt, hur ska man mäta dem mot varandra? Och ofta är det så, att när man är personuppgiftsansvarig, det vill säga ett företag eller en organisation, när man vill göra en viss typ av behandling, så tycker man ofta att ens intresse väger väldigt tungt. Men man ska försöka vara objektiv i den bedömningen och se, ja, men också då verkligen ta hänsyn till de registrerades eller individernas intresse. Och här, när man ska göra den här bedömningen, så får man titta mycket på, men finns det någon vägledning från Datainspektionen eller någon annan tillsynsmyndighet i EU eller ännu bättre, finns det någon praxis, alltså, finns det något domstolsbeslut på något liknande fall? Och så får man då försöka hitta sitt svar utifrån det.

HE: Så GDPR, det kommer komma till sist fler och fler domstolsbeslut som man kan luta sig på?

AE: Ja.

HE: Men i dag så är det inte lika många kanske att tillgå, eftersom det inte funnits så länge då?

AE: Precis. Men vi har ju också den rättspraxis som finns från gamla PUL och det gamla EU-direktivet som PUL grundar sig på, så där kan man också få viss vägledning, men det kommer definitivt komma fler enligt GDPR.

HE: Har du några GDPR-tips annars, om den som lyssnar till exempel jobbar på något företag, hur man ska hantera GDPR?

AE: Ja, jag skulle säga så här, att skaffa dig en bra grundkunskap, så att du vet vilka olika lagliga grunder finns det, vilka rättigheter har individerna, vad måste vi ha för typ av dokumentation? Vi måste ha ett personuppgiftsbiträdesavtal om vi har ett personuppgiftsbiträde och så vidare, så att man får koll på såna grundläggande saker, är väl egentligen steg ett. Och om vi ska koppla GDPR till AI, så skulle jag säga så här att ja, man kommer stöta på svårigheter och man kommer behöva ta vissa beslut i vägval och så vidare, men se då till att dokumentera de besluten och vilka saker ni tar i beaktande, så att ni har det för framtiden, för er själva och om det skulle bli en eventuell tillsyn, så att visa att ni jobbar med frågorna och att ni har tänkt på de här sakerna.

HE: Just det. Och om man är osäker så är det bra att ta med en jurist i tankeprocessen tidigt då, så att säga?

AE: Absolut, det är alltid bra.

HE: Har du någon framtidsspaning i de här områdena då, med AI och GDPR? Vad tror du kommer hända framöver, som kommer att påverka oss vanliga människor?

AE: Ja, men jag tycker det är väldigt intressant med de här, det är ganska många Göteborgsbaserade företag som jobbar med att diagnostisera till exempel patienter eller diagnostisera inom sjukvården, där AI-systemen baserat på till exempel symptom kan ställa rätt frågor och därigenom få fram en diagnos. Det är väldigt bra, tycker jag, många i vår generation tror jag inte vill åka till ett sjukhus och sitta i väntrummet i två timmar, utan man vill ofta ha snabba besked och så där. Och sen så är det väldigt intressant också, från en juridisk synpunkt, för att i de här typerna av AI-system så är det mycket känsliga personuppgifter, för det är mycket hälsodata och så vidare, så att det gör att vi jurister får tänka till lite extra mycket. Så att det spanar jag på.

HE: Det är spännande. Men det är väldigt intressant, nu har vi inte varit inne så mycket på just den här delen med det medicinska, men där har vi också förstås ett ansvar. Vad gäller till exempel om man har en läkare som gör en bedömning av en bild, som på något sätt kan visa … ja, en röntgenbild eller någonting som kan visa möjlig cancer, till exempel. Om man diagnostiserar fel som människa, vad gäller då så att säga?

AE: Det finns hälso- och sjukvårdslagar som reglerar det då. Och det är väl lite så jag förstår att det funkar inom sjukvården i dag, att man faktiskt har hjälp av mycket AI, men att det ändå är en läkare, en fysisk läkare, i slutändan som tar beslutet.

HE: Just det. Så än så länge kan inte läkaren bara peka på AI:n och säga att: ”Datorn sa”?

AE: ”AI:n ansvarar”, nej.

HE: Så här, nej. Men det är väl lite det jag känner med både när det gäller inom medicin och med självkörande bilar, att i början så kommer det vara en frågeställning kring när den gör fel och så vidare och borde man inte låta en människa köra bilen, eller göra bedömningen. Men med tiden och när några år har gått och man har utvecklat systemen vidare, så kommer de säkerligen överträffa mänskliga förmågor, som de har gjort redan inom schack och spel och sånt där, som är lite enklare saker. Och då blir det kanske mer av en icke-fråga, för man vet att datorn kanske har fel ibland, men den är i alla fall mycket bättre än något annat sätt att göra det på. Antal dödsfall i trafiken kommer säkerligen att gå ner, till exempel.

AE: Precis.

HE: För vi människor har ju en tendens att inte vara så koncentrerade som vi borde vara, när vi kör bil, till exempel.

AE: Ja. Och det handlar mycket om en tillitsfråga också, som vi var inne på innan, att … men det är viktigt att människor ändå känner tillit till maskinerna och till AI:n, så att det funkar i det vardagliga arbetet. Och det jobbar man en del på, på EU-nivå, där man har tagit fram en vägledning för etisk AI. Och där finns det vissa saker som man ska gå igenom, för att då ska säkerställa att ens AI är etisk. Och där kan jag tipsa om att det finns ett förslag i den vägledningen på en assessment-list, alltså, en bedömningslista, som man ska gå igenom om man utvecklar eller använder AI, för att se till att den då blir etisk. Och där har de ett pilotprojekt nu, där man kan anmäla sig till att testa den här listan och se, ja, men funkar den här listan i praktiken? Kommer vi kunna använda den och bedöma om AI:n är etisk eller inte?

HE: Har du något exempel på vilka överväganden som kan finnas där, för att titta på om det är etiskt hållbart?

AE: Ja, men man ska titta på till exempel hur mycket mänsklig medverkan och kontroll som finns på sin AI, till exempel om någonting skulle gå fel med den här AI:n, finns det … hur kan man få stopp på den då? Man pratar om en sån här stoppknapp, till exempel, att kan man stoppa det här innan AI:n skulle spåra ur, eller någonting sånt där?

HE: Just det. Till exempel, som i fallet med en bil att man kan ta över som människa och inte over-rida, om den kör dåligt, till exempel.

AE: Precis, det skulle kunna vara ett exempel. Och sen så pratar man också mycket om teknisk robusthet och sårbarhet och såna saker, att man ska vara medveten om vilka begränsningar ens AI har och kanske inte ha alltför stor tillit till den, utan man ska faktiskt också se vilka begränsningar som finns. Och sen så pratar man också mycket om det här med transparensen då, att ja, det kanske är en black box, men man måste faktiskt kunna förstå och dessutom förklara för individer hur det här fungerar eller hur algoritmerna fungerar, som också då kan vara lite utmanande.

HE: Den låter svårare. Jag kan förstå att det är lätt för en politiker att säga: ”Man måste kunna förklara”, men om tekniken är fantastisk, men inte medger att man förklarar, vad gör man då, så att säga? För det är väldigt lätt att önska sig att den skulle kunna förklara, men det är väldigt svårt, tror jag, med den tekniken som är i dag, att förklara varför den gör ett val eller inte. Det är gömt i nätverket, ungefär som beslutsvägarna i en människas hjärna är väldigt gömda i alla neuroner vi har i hjärnan.

AE: Ja. Och här kommer det väl antagligen utveckla sig lite standarder och sånt där man kan se lite, hur ska man informera på rätt sätt? Och sen så pratar man också mycket om, så klart, icke-diskriminering och mångfald. Man ska ha AI som kan fungera för alla och man ska se också om den kan ha särskild påverkan på vissa utsatta grupper, som till exempel barn eller funktionshindrade eller så där.

HE: Mm. Där har vi … jag har sett ett företag som verkar inom rekryteringsbranschen som har börjat utveckla en robot som ska vara lite AI-mässig och kunna intervjua en kandidat. Hur skulle man juridiskt se på det? Om en robot sen får fatta beslutet också, att det här är en bra kandidat, det här är en mindre bra, hur kan man … är det okej? Eller är det inte så bra kanske, enligt den här etiska listan?

AE: Det kan man väl tänka sig att det kan fungera, men man behöver då kunna förklara om en kandidat återkommer och frågar: ”Varför var jag bra eller inte bra? Varför tog den här roboten det här beslutet?” Då behöver man ändå kunna ha underlag, som visar varför beslutet togs.

HE: Skulle du själv vilja bli intervjuad av en robot? [skrattar]

AE: Ja, varför inte? Det vore väl häftigt.

HE: Det beror kanske …

AE: Du kanske få ha en robot i podden någon gång.

HE: Ja, det hade varit kul, det hade varit väldigt kul. [skrattar]

AE: Ja. [skrattar]

HE: Jag tror tyvärr att de här exemplen, när man pratar med robot på de här, när man visar sin nya, fina robot, de är ganska tillrättalagda då, så att jag tror att det skulle bli väldigt intressant om den försökte vara med i en podd, ja.

AE: Ja. [skrattar]

HE: De som jag pratar med som har jobbat mycket med maskininlärning och så, säger att vi är väldigt långt ifrån någon sorts generell AI eller så. Det här man säger att den klarar Turingtestet då, att den kan utge sig för att vara en människa är ganska långt borta ändå.

AE: Ja, det är så, mm.

HE: Det hade varit kul att testa att bli intervjuad av en robot, men jag är inte säker på att jag verkligen skulle vilja att den skulle fatta något sorts beslut om jag skulle bli anställd eller inte.

AE: Då vill man kanske ha den här mänskliga överprövningsmöjligheten.

HE: Jag tror att det är bra idé, där tekniken är i dag då.

AE: [skrattar]

HE: Så det beror på kvaliteten på roboten, så klart.

AE: Ja, men såklart. Och tilliten.

HE: Ja, precis. Så vi får ge den en chans och så blir den väl bättre med tiden och till sist så kommer vi vara mer och mer komfortabla, släppa in AI och robotar på olika ställen, där vi inte alls har dem i dag då.

AE: Ja, vi får vänta på det.

HE: Ja, vi får se. Stort tack, Anna, jättekul att ha dig här.

AE: Tack själv, väldigt kul att vara här.