[![Open In Colab](https://colab.research.google.com/assets/colab-badge.svg)](https://colab.research.google.com/github/arvidl/AI-og-helse/blob/main/uke08-etikk-implementering/01_gdpr_personvern.ipynb)

# ÔøΩÔøΩ GDPR og Personvern for AI-systemer

> **"Dine data er dine data. Men hvordan s√∏rger vi for at det forblir slik?"**

Velkommen til din f√∏rste dype dykk i AI-etikk. I denne notebooken skal vi utforske hvordan GDPR p√•virker AI-utvikling og gi deg praktiske verkt√∏y for √• bygge personvernvennlige systemer.



### Hva er GDPR?  (**G**eneral **D**ata **P**rotection **R**egulation)

### üìã Kort definisjon

**GDPR** (General Data Protection Regulation) er EUs personvernforordning som regulerer hvordan personopplysninger skal behandles.<br>
Den tr√•dte i kraft 25. mai 2018 og gjelder for alle som behandler personopplysninger om personer bosatt i EU/E√òS.

### üéØ Hovedform√•l

GDPR skal:
- **Beskytte** enkeltpersoners rett til personvern
- **Harmonisere** personvernregler p√• tvers av Europa  
- **Styrke** enkeltpersoners kontroll over egne data
- **Sikre** ansvarlig databehandling av bedrifter og organisasjoner

### ‚öñÔ∏è Viktigste prinsipper

- **Lovlighet** - M√• ha gyldig rettslig grunnlag
- **Form√•lsbegrensning** - Data kun brukt til oppgitt form√•l
- **Dataminimering** - Kun n√∏dvendige data samles inn
- **Riktighet** - Data m√• v√¶re korrekte og oppdaterte
- **Lagringsbegrensning** - Data slettes n√•r form√•let er oppfylt
- **Integritet og konfidensialitet** - Sikkerhet og personvern

### üë§ Den registrertes rettigheter

- **Rett til informasjon** og transparens
- **Rett til innsyn** i egne data
- **Rett til retting** av uriktige opplysninger
- **Rett til sletting** ("retten til √• bli glemt")
- **Rett til dataportabilitet** (flytte data mellom tjenester)
- **Rett til √• protestere** mot behandlingen

### üí∞ Sanksjoner

GDPR har **kraftige sanksjoner**:
- Opptil ‚Ç¨20 millioner ELLER
- Opptil 4% av global √•rlig omsetning
- **Den h√∏yeste** av disse anvendes

### üá≥üá¥ Norsk implementering

I Norge er GDPR implementert gjennom **personopplysningsloven** med **Datatilsynet** som tilsynsmyndighet. Reglene gjelder like strengt som i resten av EU/E√òS.

## üéØ Hva du l√¶rer i dag

‚úÖ Forst√• personopplysninger i AI-kontekst  
‚úÖ Mestre rettslige grunnlag for databehandling  
‚úÖ Navigere automatiserte beslutninger og "rett til forklaring"  
‚úÖ Implementere Privacy by Design prinsipper  
‚úÖ Bygge praktiske verkt√∏y for GDPR-compliance  

**üí° Fun fact:** GDPR-b√∏ter kan v√¶re opp til 4% av global omsetning eller ‚Ç¨20 millioner. Den st√∏rste boten s√• langt? ‚Ç¨746 millioner til Amazon i 2021!

### Men f√∏rst: üîß milj√∏oppsett - kode skal fungere b√•de lokalt, i Codespaces samt Google Colab

In [26]:
import sys
import subprocess
import os

# Sjekk om vi kj√∏rer i Google Colab
IN_COLAB = 'google.colab' in sys.modules

if IN_COLAB:
    print("üöÄ Kj√∏rer i Google Colab")
    
    # Installer n√∏dvendige pakker som ikke er forh√•ndsinstallert i Colab
    !pip install seaborn --quiet
    
    # Sjekk om mappen allerede eksisterer
    if not os.path.exists('AI-og-helse'):
        print("üì• Laster ned kursmateriell...")
        try:
            # Pr√∏v √• klone repositoryet (da v√¶re public)
            !git clone https://github.com/arvidl/AI-og-helse.git
            print("‚úÖ Repository klonet vellykket!")
        except:
            print("‚ö†Ô∏è Kunne ikke klone repository automatisk")
            print("üí° Du kan laste opp filer manuelt eller bruke en annen metode")
    
    # Bytt til riktig mappe hvis den eksisterer
    if os.path.exists('AI-og-helse'):
        os.chdir('AI-og-helse')
        print(f"üìÅ Byttet til mappe: {os.getcwd()}")
    else:
        print("üìÇ Arbeider i standard Colab-mappe")
        
else:
    print("üíª Kj√∏rer i lokal milj√∏/Codespaces")

# Standard imports som fungerer overalt
import numpy as np
import pandas as pd
import matplotlib.pyplot as plt
import seaborn as sns

print("‚úÖ Milj√∏ er konfigurert og klart!")

üíª Kj√∏rer i lokal milj√∏/Codespaces
‚úÖ Milj√∏ er konfigurert og klart!


In [27]:
# üöÄ La oss starte med √• importere v√•re verkt√∏y
import pandas as pd
import numpy as np
from faker import Faker
import hashlib
import uuid
from datetime import datetime, timedelta
import warnings
warnings.filterwarnings('ignore')

# Sett opp Faker for norske data
fake = Faker('no_NO')

print(f"ÔøΩÔøΩ Alle biblioteker lastet! (inklusive et faket navn: {fake.name()}) La oss utforske GDPR-verdenen...")

ÔøΩÔøΩ Alle biblioteker lastet! (inklusive et faket navn: Wenche Thorsen) La oss utforske GDPR-verdenen...


## üìö Del 1: GDPR Grunnleggende - Hva er egentlig personopplysninger?

La oss starte med √• forst√• hva som regnes som personopplysninger i AI-sammenheng. Dette er viktigere enn du tror!

In [28]:
# üïµÔ∏è La oss lage et eksempel datasett og analysere hva som er personopplysninger

def create_sample_dataset(n_samples=1000):
    """Lager et realistisk datasett for en AI-applikasjon"""
    
    data = []
    for _ in range(n_samples):
        record = {
            # üî¥ Direkte identifiserbare data
            'navn': fake.name(),
            'fodselsnummer': fake.ssn(),
            'epost': fake.email(),
            'telefon': fake.phone_number(),
            
            # üü° Indirekte identifiserbare data
            'postnummer': fake.postcode(),
            'alder': fake.random_int(18, 80),
            'kjonn': fake.random_element(['M', 'F']),
            'inntekt': fake.random_int(300000, 1500000),
            
            # üü¢ Tilsynelatende anonyme data (men er de det?)
            'bruker_id': str(uuid.uuid4()),
            'ip_adresse': fake.ipv4(),
            'enhet_id': fake.uuid4(),
            'tidsstempel': fake.date_time_between(start_date='-1y', end_date='now'),
            
            # ÔøΩÔøΩ Atferdsdata
            'antall_klikk': fake.random_int(0, 100),
            'session_lengde': fake.random_int(10, 3600),
            'sider_bes√∏kt': fake.random_int(1, 50)
        }
        data.append(record)
    
    return pd.DataFrame(data)

# Lag datasettet
df = create_sample_dataset()
print(f"üìä Opprettet datasett med {len(df)} rader og {len(df.columns)} kolonner")
print("\nüîç La oss se p√• de f√∏rste og sister radene:")
df

üìä Opprettet datasett med 1000 rader og 15 kolonner

üîç La oss se p√• de f√∏rste og sister radene:


Unnamed: 0,navn,fodselsnummer,epost,telefon,postnummer,alder,kjonn,inntekt,bruker_id,ip_adresse,enhet_id,tidsstempel,antall_klikk,session_lengde,sider_bes√∏kt
0,Kristoffer Lunde,16106010238,eidesynnoeve@example.org,91 56 59 34,5465,49,F,733744,9c4d4cad-874f-495a-8d62-d1e12637cf1c,7.204.45.65,ee7273a6-f5e5-4cad-a921-cd8fb471a9ac,2025-07-31 12:00:05.104895,29,2769,8
1,Tom Thomassen,25118318636,grethestrand@example.org,79190793,9704,50,M,949622,d03c02b5-753b-44be-a3fe-aecd0d022d6b,120.112.79.249,9c9fc228-6e90-4127-820f-1e8e7680303b,2025-05-28 20:42:20.594300,32,2200,35
2,Marit Strand,27025529893,fali@example.com,23 17 32 60,7775,65,F,678427,3b976163-1421-4086-92d4-5711d10a5704,141.243.164.189,1283b3eb-4a8d-4bff-b07c-374aa5507128,2025-01-29 08:02:48.581757,27,1546,49
3,Erling Karlsen,16125742991,ldanielsen@example.net,79 63 63 67,7336,60,F,480874,88c386ba-80df-43df-86e0-5003988503f4,5.133.99.62,72391903-44a5-44cf-bd37-19ec0a16a3d3,2025-08-20 02:06:47.389158,32,2785,45
4,Sofie-Britt Engen,21068134754,bjoernbakke@example.com,+47 18 41 45 26,6459,66,F,1427026,51771c07-17a5-4417-97c5-1cbf0438cad9,97.11.245.145,e4c16fff-4654-49d1-a6d1-9685cc75083b,2025-05-13 18:53:54.918396,12,3431,25
...,...,...,...,...,...,...,...,...,...,...,...,...,...,...,...
995,Finn Halvorsen-Solberg,19107324987,boeeodd@example.com,43621826,9774,18,M,1354831,267d347d-70b8-4d7e-b837-2e6c2cde5aac,222.160.214.240,79620a4c-dc80-4aff-a274-a214978a2110,2025-09-12 06:46:26.075702,46,3503,38
996,Maria Bakke,12094544473,fengen@example.com,+4741390468,9184,74,M,704641,e3a1436b-d7a0-43f1-ad2a-0bd1318ed5ab,204.150.31.165,d87314f5-6ce8-4240-84e1-958c17436ef5,2024-12-26 10:43:33.536584,90,2880,34
997,Ivar Jensen,29059514642,lienjohan@example.net,96 47 67 98,5101,20,M,480502,165c63c2-d9ac-4c86-8c47-13a0bf27d4a0,42.204.89.5,d17826b7-381a-4b49-b114-e6737f536efd,2025-03-05 23:40:42.472580,77,1832,7
998,Helene Haugen,27014209897,njacobsen@example.com,916 21 770,5575,47,M,583732,8fccfa94-db6e-4116-adc2-7a7b3aff4bf5,208.75.139.29,8ccb707b-7066-40ae-9814-aa9746afe643,2025-07-26 14:45:59.384631,74,2053,15


In [29]:
# üö® GDPR Personaldata Klassifisering

def classify_gdpr_data(dataframe):
    """Klassifiserer kolonner etter GDPR personopplysningstyper"""
    
    classification = {
        'üî¥ Direkte identifiserbare': {
            'columns': ['navn', 'fodselsnummer', 'epost', 'telefon'],
            'risk': 'H√òYEST',
            'gdpr_article': 'Art. 4(1) - Personopplysninger',
            'action_required': 'Sterkt rettslig grunnlag p√•krevd'
        },
        'üü° Indirekte identifiserbare': {
            'columns': ['postnummer', 'alder', 'kjonn', 'inntekt'],
            'risk': 'H√òY',
            'gdpr_article': 'Art. 4(1) - Kan kombineres for identifikasjon',
            'action_required': 'Vurder anonymisering/pseudonymisering'
        },
        'ÔøΩÔøΩ Nettidentifikatorer': {
            'columns': ['ip_adresse', 'enhet_id', 'bruker_id'],
            'risk': 'MEDIUM',
            'gdpr_article': 'Art. 4(1) - Online identifikatorer',
            'action_required': 'Kan kreve personvernstiltak'
        },
        'üîµ Atferdsdata': {
            'columns': ['antall_klikk', 'session_lengde', 'sider_bes√∏kt', 'tidsstempel'],
            'risk': 'MEDIUM',
            'gdpr_article': 'Art. 4(1) - Kan v√¶re personopplysninger hvis knyttet til person',
            'action_required': 'Avhenger av kontekst og kobling til andre data'
        }
    }
    
    print("ÔøΩÔøΩÔ∏è GDPR DATAKLASSIFISERING\n" + "="*50)
    
    for category, info in classification.items():
        print(f"\n{category} (Risiko: {info['risk']})")
        print(f"üìã Kolonner: {info['columns']}")
        print(f"‚öñÔ∏è GDPR: {info['gdpr_article']}")
        print(f"ÔøΩÔøΩ Handling: {info['action_required']}")
    
    return classification


In [30]:
# Kj√∏r klassifiseringen
gdpr_classification = classify_gdpr_data(df)

ÔøΩÔøΩÔ∏è GDPR DATAKLASSIFISERING

üî¥ Direkte identifiserbare (Risiko: H√òYEST)
üìã Kolonner: ['navn', 'fodselsnummer', 'epost', 'telefon']
‚öñÔ∏è GDPR: Art. 4(1) - Personopplysninger
ÔøΩÔøΩ Handling: Sterkt rettslig grunnlag p√•krevd

üü° Indirekte identifiserbare (Risiko: H√òY)
üìã Kolonner: ['postnummer', 'alder', 'kjonn', 'inntekt']
‚öñÔ∏è GDPR: Art. 4(1) - Kan kombineres for identifikasjon
ÔøΩÔøΩ Handling: Vurder anonymisering/pseudonymisering

ÔøΩÔøΩ Nettidentifikatorer (Risiko: MEDIUM)
üìã Kolonner: ['ip_adresse', 'enhet_id', 'bruker_id']
‚öñÔ∏è GDPR: Art. 4(1) - Online identifikatorer
ÔøΩÔøΩ Handling: Kan kreve personvernstiltak

üîµ Atferdsdata (Risiko: MEDIUM)
üìã Kolonner: ['antall_klikk', 'session_lengde', 'sider_bes√∏kt', 'tidsstempel']
‚öñÔ∏è GDPR: Art. 4(1) - Kan v√¶re personopplysninger hvis knyttet til person
ÔøΩÔøΩ Handling: Avhenger av kontekst og kobling til andre data


## ‚öñÔ∏è Del 2: Rettslige grunnlag - Hvorfor har du lov til √• behandle data?

GDPR Artikkel 6 krever at du har et gyldig rettslig grunnlag for all databehandling. La oss utforske de 6 grunnlagene!

In [31]:
# ‚öñÔ∏è GDPR Artikkel 6 - Rettslige grunnlag

def analyze_legal_basis():
    """Viser de 6 rettslige grunnlagene og n√•r de brukes for AI"""
    
    legal_basis = {
        'Art. 6(1)(a) - Samtykke': {
            'description': 'Den registrerte har samtykket',
            'ai_examples': ['Personalisert reklame', 'Anbefalingssystemer', 'Chatbots'],
            'pros': ['Klar tillatelse', 'H√∏y legitimitet'],
            'cons': ['Kan trekkes tilbake', 'M√• v√¶re spesifikt og informert'],
            'ai_challenges': 'Hvordan gi samtykke til ML-modeller som endrer seg?'
        },
        'Art. 6(1)(b) - Kontrakt': {
            'description': 'N√∏dvendig for kontraktoppfyllelse',
            'ai_examples': ['Kredittscoring', 'Forsikringsprising', 'Leveringstidsestimering'],
            'pros': ['Stabil juridisk base', 'Forretningsmessig n√∏dvendighet'],
            'cons': ['Kun for kontraktsform√•l', 'Begrenset sekund√¶rbruk'],
            'ai_challenges': 'AI m√• v√¶re "n√∏dvendig" for kontrakten'
        },
        'Art. 6(1)(c) - Lovp√•lagt': {
            'description': 'P√•krevd av lov',
            'ai_examples': ['AML-screening', 'Skatteberegning', 'Regulatorisk rapportering'],
            'pros': ['Lovp√•lagt = legitimt', 'Klar hjemmel'],
            'cons': ['Kun for lovp√•lagte form√•l', 'Kan ikke utvides'],
            'ai_challenges': 'Gamle lover dekker sjelden nye AI-bruksomr√•der'
        },
        'Art. 6(1)(d) - Vitale interesser': {
            'description': 'Beskytter liv eller helse',
            'ai_examples': ['Medisinsk n√∏d-AI', 'Katastroferesponssystemer', 'COVID-19 sporing'],
            'pros': ['H√∏y moralsk legitimitet', 'N√∏dsituasjoner'],
            'cons': ['Kun i ekstreme situasjoner', 'Midlertidig'],
            'ai_challenges': 'Vanskelig √• definere "vitale" interesser for AI'
        },
        'Art. 6(1)(e) - Offentlig oppgave': {
            'description': 'Utf√∏relse av offentlig oppgave',
            'ai_examples': ['Offentlige tjenester', 'Byplanlegging', 'Trafikkoverv√•king'],
            'pros': ['Stabil for offentlig sektor', 'Samfunnsnytte'],
            'cons': ['Kun offentlige organer', 'M√• v√¶re lovhjemlet'],
            'ai_challenges': 'Krever klar offentlig mandat for AI-bruk'
        },
        'Art. 6(1)(f) - Berettiget interesse': {
            'description': 'Berettiget interesse (balanse-test)',
            'ai_examples': ['Svindeldeteksjon', 'Nettverkssikkerhet', 'Forretningsanalyse'],
            'pros': ['Fleksibel', 'Kommersielt nyttig'],
            'cons': ['Krever balanse-test', 'Kan utfordres'],
            'ai_challenges': 'Vanskelig √• balansere AI-innovasjon mot personvern'
        }
    }
    
    print("‚öñÔ∏è GDPR RETTSLIGE GRUNNLAG FOR AI\n" + "="*60)
    
    for basis, details in legal_basis.items():
        print(f"\nüìã {basis}")
        print(f"   üìù {details['description']}")
        print(f"   ÔøΩÔøΩ AI-eksempler: {', '.join(details['ai_examples'])}")
        print(f"   ‚úÖ Fordeler: {', '.join(details['pros'])}")
        print(f"   ‚ùå Ulemper: {', '.join(details['cons'])}")
        print(f"   ÔøΩÔøΩ AI-utfordring: {details['ai_challenges']}")
    
    return legal_basis


In [32]:
# Vis rettslige grunnlag
legal_basis_info = analyze_legal_basis()

‚öñÔ∏è GDPR RETTSLIGE GRUNNLAG FOR AI

üìã Art. 6(1)(a) - Samtykke
   üìù Den registrerte har samtykket
   ÔøΩÔøΩ AI-eksempler: Personalisert reklame, Anbefalingssystemer, Chatbots
   ‚úÖ Fordeler: Klar tillatelse, H√∏y legitimitet
   ‚ùå Ulemper: Kan trekkes tilbake, M√• v√¶re spesifikt og informert
   ÔøΩÔøΩ AI-utfordring: Hvordan gi samtykke til ML-modeller som endrer seg?

üìã Art. 6(1)(b) - Kontrakt
   üìù N√∏dvendig for kontraktoppfyllelse
   ÔøΩÔøΩ AI-eksempler: Kredittscoring, Forsikringsprising, Leveringstidsestimering
   ‚úÖ Fordeler: Stabil juridisk base, Forretningsmessig n√∏dvendighet
   ‚ùå Ulemper: Kun for kontraktsform√•l, Begrenset sekund√¶rbruk
   ÔøΩÔøΩ AI-utfordring: AI m√• v√¶re "n√∏dvendig" for kontrakten

üìã Art. 6(1)(c) - Lovp√•lagt
   üìù P√•krevd av lov
   ÔøΩÔøΩ AI-eksempler: AML-screening, Skatteberegning, Regulatorisk rapportering
   ‚úÖ Fordeler: Lovp√•lagt = legitimt, Klar hjemmel
   ‚ùå Ulemper: Kun for lovp√•lagte form√•l, Kan ikke utvides
   ÔøΩ

In [33]:
# üßÆ Interaktiv Legal Basis Calculator

def legal_basis_calculator(use_case, data_types, business_context):
    """Hjelper med √• identifisere passende rettslig grunnlag"""
    
    recommendations = []
    
    # Regelbasert logikk for anbefalinger
    if 'medisinsk' in use_case.lower() or 'helse' in use_case.lower():
        if 'n√∏d' in use_case.lower() or 'akutt' in use_case.lower():
            recommendations.append(('Art. 6(1)(d) - Vitale interesser', 95))
        else:
            recommendations.append(('Art. 6(1)(b) - Kontrakt', 85))
            recommendations.append(('Art. 6(1)(a) - Samtykke', 80))
    
    if 'markedsf√∏ring' in use_case.lower() or 'anbefaling' in use_case.lower():
        recommendations.append(('Art. 6(1)(a) - Samtykke', 90))
        recommendations.append(('Art. 6(1)(f) - Berettiget interesse', 70))
    
    if 'sikkerhet' in use_case.lower() or 'svindel' in use_case.lower():
        recommendations.append(('Art. 6(1)(f) - Berettiget interesse', 95))
    
    if 'offentlig' in business_context.lower():
        recommendations.append(('Art. 6(1)(e) - Offentlig oppgave', 90))
    
    # Sorter etter score
    recommendations.sort(key=lambda x: x[1], reverse=True)
    
    return recommendations[:3]  # Top 3 anbefalinger


In [34]:
# Test kalkulatoren
print("üßÆ LEGAL BASIS CALCULATOR\n" + "="*40)

test_cases = [
    {
        'use_case': 'Personaliserte produktanbefalinger i e-handel',
        'data_types': ['kj√∏pshistorikk', 'nettleseratferd'],
        'business_context': 'Kommersielt selskap'
    },
    {
        'use_case': 'AI-assistert medisinsk diagnose',
        'data_types': ['helseopplysninger', 'r√∏ntgenbilder'],
        'business_context': 'Privat sykehus'
    },
    {
        'use_case': 'Svindeldeteksjon i banktransaksjoner',
        'data_types': ['transaksjonsdata', 'atferdsm√∏nstre'],
        'business_context': 'Bank'
    }
]

for i, case in enumerate(test_cases, 1):
    print(f"\nüìù Test Case {i}: {case['use_case']}")
    recommendations = legal_basis_calculator(**case)
    
    print("üéØ Anbefalte rettslige grunnlag:")
    for basis, score in recommendations:
        print(f"   {basis} (Score: {score}%)")

üßÆ LEGAL BASIS CALCULATOR

üìù Test Case 1: Personaliserte produktanbefalinger i e-handel
üéØ Anbefalte rettslige grunnlag:
   Art. 6(1)(a) - Samtykke (Score: 90%)
   Art. 6(1)(f) - Berettiget interesse (Score: 70%)

üìù Test Case 2: AI-assistert medisinsk diagnose
üéØ Anbefalte rettslige grunnlag:
   Art. 6(1)(b) - Kontrakt (Score: 85%)
   Art. 6(1)(a) - Samtykke (Score: 80%)

üìù Test Case 3: Svindeldeteksjon i banktransaksjoner
üéØ Anbefalte rettslige grunnlag:
   Art. 6(1)(f) - Berettiget interesse (Score: 95%)


## ÔøΩÔøΩ Del 3: Automatiserte beslutninger og "Rett til forklaring"

GDPR Artikkel 22 gir spesielle regler for automatiserte beslutninger. Dette er superintensivt for AI-systemer.

In [35]:
# ÔøΩÔøΩ GDPR Artikkel 22 - Automatiserte beslutninger

def analyze_automated_decisions():
    """Analyserer GDPR krav til automatiserte beslutninger"""
    
    print("ü§ñ GDPR ART. 22: AUTOMATISERTE BESLUTNINGER\n" + "="*50)
    
    # Hovedregelen
    print("üìú HOVEDREGEL (Art. 22(1)):")
    print("Den registrerte skal ha rett til ikke √• v√¶re gjenstand for")
    print("avgj√∏relser som utelukkende bygger p√• automatisert behandling")
    print("og som f√•r rettsvirkning eller p√• tilsvarende m√•te i betydelig")
    print("grad p√•virker vedkommende.\n")
    
    # N√∏kkelkriterier
    criteria = {
        'ÔøΩÔøΩ Utelukkende automatisert': [
            'Ingen meningsfull menneskelig inngripen',
            'AI/algoritme tar endelig beslutning',
            'Menneske kan ikke overstyre eller endre'
        ],
        'üî∏ Rettsvirkning': [
            'P√•virker juridiske rettigheter',
            'Kontraktsvilk√•r endres',
            'Tilgang til tjenester p√•virkes'
        ],
        'üî∏ Betydelig p√•virkning': [
            '√òkonomiske konsekvenser',
            'Sosiale konsekvenser', 
            'P√•virker livssituasjon eller muligheter'
        ]
    }
    
    print("üéØ N√òKKELKRITERIER:")
    for criterion, examples in criteria.items():
        print(f"\n{criterion}")
        for example in examples:
            print(f"   ‚Ä¢ {example}")
    
    return criteria



In [36]:
# Kj√∏r analysen
art22_criteria = analyze_automated_decisions()

ü§ñ GDPR ART. 22: AUTOMATISERTE BESLUTNINGER
üìú HOVEDREGEL (Art. 22(1)):
Den registrerte skal ha rett til ikke √• v√¶re gjenstand for
avgj√∏relser som utelukkende bygger p√• automatisert behandling
og som f√•r rettsvirkning eller p√• tilsvarende m√•te i betydelig
grad p√•virker vedkommende.

üéØ N√òKKELKRITERIER:

ÔøΩÔøΩ Utelukkende automatisert
   ‚Ä¢ Ingen meningsfull menneskelig inngripen
   ‚Ä¢ AI/algoritme tar endelig beslutning
   ‚Ä¢ Menneske kan ikke overstyre eller endre

üî∏ Rettsvirkning
   ‚Ä¢ P√•virker juridiske rettigheter
   ‚Ä¢ Kontraktsvilk√•r endres
   ‚Ä¢ Tilgang til tjenester p√•virkes

üî∏ Betydelig p√•virkning
   ‚Ä¢ √òkonomiske konsekvenser
   ‚Ä¢ Sosiale konsekvenser
   ‚Ä¢ P√•virker livssituasjon eller muligheter


In [37]:
# ÔøΩÔøΩ Automatisert beslutning checker

def check_automated_decision(decision_description, has_human_involvement, 
                           legal_effects, significant_effects):
    """Sjekker om en beslutning faller under GDPR Art. 22"""
    
    score = 0
    warnings = []
    requirements = []
    
    print(f"üîç ANALYSERER: {decision_description}\n")
    
    # Sjekk automatisering
    if not has_human_involvement:
        score += 1
        warnings.append("‚ö†Ô∏è Beslutningen er fullt automatisert")
        requirements.append("Vurder menneskelig involvering")
    else:
        print("‚úÖ Menneskelig involvering tilstede")
    
    # Sjekk rettsvirkning
    if legal_effects:
        score += 1
        warnings.append("‚ö†Ô∏è Har rettsvirkning for individet")
        requirements.append("Krever sterkt rettslig grunnlag")
    
    # Sjekk betydelig p√•virkning
    if significant_effects:
        score += 1
        warnings.append("‚ö†Ô∏è Har betydelig p√•virkning p√• individet")
        requirements.append("Krever transparens og forklaringer")
    
    # Vurdering
    if score >= 2:
        risk_level = "üö® H√òY RISIKO - GDPR Art. 22 gjelder sannsynligvis"
        requirements.extend([
            "Implementer rett til menneskelig inngripen",
            "Gi meningsfulle forklaringer",
            "Dokumenter beslutningslogikken",
            "Vurder DPIA (Data Protection Impact Assessment)"
        ])
    elif score == 1:
        risk_level = "üü° MEDIUM RISIKO - Vurder ytterligere tiltak"
    else:
        risk_level = "üü¢ LAV RISIKO - Art. 22 gjelder sannsynligvis ikke"
    
    print(f"üìä RISIKOVURDERING: {risk_level}\n")
    
    if warnings:
        print("‚ö†Ô∏è IDENTIFISERTE BEKYMRINGER:")
        for warning in warnings:
            print(f"   {warning}")
        print()
    
    if requirements:
        print("üìã ANBEFALTE TILTAK:")
        for req in requirements:
            print(f"   ‚Ä¢ {req}")
    
    return {'risk_level': risk_level, 'score': score, 'requirements': requirements}



In [38]:
# Test p√• forskjellige scenarioer
print("üß™ TESTING AUTOMATED DECISION CHECKER\n" + "="*50)

# Scenario 1: L√•nes√∏knad
print("\n" + "-"*60)
result1 = check_automated_decision(
    decision_description="AI-basert automatisk avslag p√• l√•nes√∏knad",
    has_human_involvement=False,
    legal_effects=True,
    significant_effects=True
)

print("\n" + "-"*60)
# Scenario 2: Produktanbefaling
result2 = check_automated_decision(
    decision_description="AI-drevne produktanbefalinger i nettbutikk",
    has_human_involvement=False,
    legal_effects=False,
    significant_effects=False
)

üß™ TESTING AUTOMATED DECISION CHECKER

------------------------------------------------------------
üîç ANALYSERER: AI-basert automatisk avslag p√• l√•nes√∏knad

üìä RISIKOVURDERING: üö® H√òY RISIKO - GDPR Art. 22 gjelder sannsynligvis

‚ö†Ô∏è IDENTIFISERTE BEKYMRINGER:
   ‚ö†Ô∏è Beslutningen er fullt automatisert
   ‚ö†Ô∏è Har rettsvirkning for individet
   ‚ö†Ô∏è Har betydelig p√•virkning p√• individet

üìã ANBEFALTE TILTAK:
   ‚Ä¢ Vurder menneskelig involvering
   ‚Ä¢ Krever sterkt rettslig grunnlag
   ‚Ä¢ Krever transparens og forklaringer
   ‚Ä¢ Implementer rett til menneskelig inngripen
   ‚Ä¢ Gi meningsfulle forklaringer
   ‚Ä¢ Dokumenter beslutningslogikken
   ‚Ä¢ Vurder DPIA (Data Protection Impact Assessment)

------------------------------------------------------------
üîç ANALYSERER: AI-drevne produktanbefalinger i nettbutikk

üìä RISIKOVURDERING: üü° MEDIUM RISIKO - Vurder ytterligere tiltak

‚ö†Ô∏è IDENTIFISERTE BEKYMRINGER:
   ‚ö†Ô∏è Beslutningen er fullt automa

## üõ°Ô∏è Del 4: Privacy by Design - Praktisk implementering

Privacy by Design er ikke bare et konsept - det er praktiske prinsipper du kan kode inn i systemene dine!

In [39]:
# üõ°Ô∏è Privacy by Design implementering

class PrivacyByDesignFramework:
    """Praktisk rammeverk for Privacy by Design i AI-systemer"""
    
    def __init__(self):
        self.principles = {
            '1. Proactive not Reactive': 'Forebygg personvernbrudd f√∏r de skjer',
            '2. Privacy as the Default': 'Maksimalt personvern uten handling fra brukeren',
            '3. Built into Design': 'Personvern bygget inn fra starten', 
            '4. Full Functionality': 'Alle funksjoner bevares med personvern',
            '5. End-to-End Security': 'Sikkerhet gjennom hele datalivssyklusen',
            '6. Visibility and Transparency': 'Alle parter kan verifisere personverntiltak',
            '7. Respect for User Privacy': 'Brukerens interesser kommer f√∏rst'
        }
    
    def assess_system(self, system_description):
        """Vurder et systems privacy by design implementering"""
        print(f"ÔøΩÔøΩ PRIVACY BY DESIGN VURDERING: {system_description}\n")
        
        # Sjekkliste for hvert prinsipp
        checklist = {
            'Proactive': ['Data Protection Impact Assessment utf√∏rt?', 'Risikoanalyse gjennomf√∏rt?'],
            'Default': ['Minste tilgangsrettigheter som standard?', 'Opt-in fremfor opt-out?'],
            'Design': ['Personvern vurdert i arkitektur?', 'Kryptografi fra start?'],
            'Functionality': ['Alle funksjoner tilgjengelige?', 'Personvern ikke hindrer bruk?'],
            'Security': ['End-to-end kryptering?', 'Sikre lagringsmetoder?'],
            'Transparency': ['Dokumentert personvernlogikk?', 'Brukerinformasjon tilgjengelig?'],
            'User_Privacy': ['Brukerkontroll over data?', 'Tydelige rettigheter?']
        }
        
        total_score = 0
        max_score = 0
        
        for principle, checks in checklist.items():
            print(f"ÔøΩÔøΩ {principle.upper()}:")
            principle_score = 0
            for check in checks:
                print(f"   ‚ñ° {check}")
                principle_score += 1
            max_score += len(checks)
            print(f"   Score: {principle_score}/{len(checks)}\n")
        
        print(f"ÔøΩÔøΩ TOTAL SCORE: {total_score}/{max_score}")
        
        if total_score >= max_score * 0.8:
            print("ÔøΩÔøΩ UTMEERKET: Privacy by Design godt implementert!")
        elif total_score >= max_score * 0.6:
            print("üü° GODT: Noen forbedringer n√∏dvendige")
        else:
            print("üî¥ BEHOV FOR FORBEDRING: Privacy by Design krever mer arbeid")
    
    def generate_privacy_checklist(self):
        """Generer en praktisk sjekkliste for utviklere"""
        print("ÔøΩÔøΩ PRAKTISK PRIVACY BY DESIGN SJEKKLISTE\n")
        print("=" * 50)
        
        checklist_items = [
            "üîê KRYPTOLOGI:",
            "   ‚ñ° Data kryptert i ro (at rest)",
            "   ‚ñ° Data kryptert under overf√∏ring (in transit)",
            "   ‚ñ° Sterke krypteringsalgoritmer (AES-256, RSA-2048+)",
            "   ‚ñ° Sikre n√∏kkelh√•ndteringsprosedyrer",
            "",
            "ÔøΩÔøΩ BRUKERKONTROLL:",
            "   ‚ñ° Enkel dataeksport (GDPR Art. 20)",
            "   ‚ñ° Mulighet for sletting (GDPR Art. 17)",
            "   ‚ñ° Tydelige samtykkevalg",
            "   ‚ñ° Transparent databruk",
            "",
            "üèóÔ∏è ARKITEKTUR:",
            "   ‚ñ° Data minimering (kun n√∏dvendig data)",
            "   ‚ñ° Purpose limitation (klar form√•l)",
            "   ‚ñ° Storage limitation (begrenset lagringstid)",
            "   ‚ñ° Privacy by default innstillinger",
            "",
            "üìä TRANSPARENS:",
            "   ‚ñ° Tydelig personvernpolicy",
            "   ‚ñ° Forklarbare AI-beslutninger",
            "   ‚ñ° Dokumentert databruk",
            "   ‚ñ° Regelmessig personvernrevisjon"
        ]
        
        for item in checklist_items:
            print(item)
    
    def create_privacy_policy_template(self):
        """Generer en mal for personvernpolicy"""
        template = """
üìÑ PERSONVERNPOLICY MAL
=======================

1. HVIKE DATA SAMLER VI INN?
   ‚Ä¢ [Beskriv hvilke personopplysninger som samles inn]
   ‚Ä¢ [Hvorfor samles dataene inn]
   ‚Ä¢ [Hvordan dataene samles inn]

2. HVORDAN BRUKER VI DATAENE?
   ‚Ä¢ [Form√•l med databehandling]
   ‚Ä¢ [Rettslig grunnlag (GDPR Art. 6)]
   ‚Ä¢ [Hvem f√•r tilgang til dataene]

3. DINE RETTIGHETER
   ‚Ä¢ Rett til innsyn (Art. 15)
   ‚Ä¢ Rett til retting (Art. 16)
   ‚Ä¢ Rett til sletting (Art. 17)
   ‚Ä¢ Rett til begrensning (Art. 18)
   ‚Ä¢ Rett til dataportabilitet (Art. 20)
   ‚Ä¢ Rett til innsigelse (Art. 21)

4. SIKKERHET OG BESKYTTELSE
   ‚Ä¢ [Beskriv sikkerhetstiltak]
   ‚Ä¢ [Data lagres trygt]
   ‚Ä¢ [Kryptering og tilgangskontroll]

5. KONTAKT OSS
   ‚Ä¢ [Kontaktinformasjon for personvernsp√∏rsm√•l]
   ‚Ä¢ [Data Protection Officer (DPO) kontakt]
        """
        
        print(template)



In [40]:
# Test rammeverket
print("ÔøΩÔøΩ TESTING PRIVACY BY DESIGN FRAMEWORK\n" + "="*60)

# Opprett rammeverk
privacy_framework = PrivacyByDesignFramework()

# Test systemvurdering
privacy_framework.assess_system("AI-drevet helseapp med MR-bildeanalyse")

print("\n" + "="*60)

# Generer sjekkliste
privacy_framework.generate_privacy_checklist()

print("\n" + "="*60)

# Generer policy mal
privacy_framework.create_privacy_policy_template()

print("\n" + "="*60)
print("üéØ NESTE STEG FOR DIN AI-UTVIKLING:")
print("="*60)
print("1. Implementer Privacy by Design fra dag √©n")
print("2. Gjennomf√∏r Data Protection Impact Assessment (DPIA)")
print("3. Dokumenter alle personverntiltak")
print("4. Test personvernfunksjoner regelmessig")
print("5. Hold deg oppdatert p√• personvernlover")
print("6. Tren teamet ditt p√• personvern og etikk")
print("\nÔøΩÔøΩ HUSK: Godt personvern er ikke bare lovp√•lagt - det gir god gevinst for helse- og omsorgstjenesten - privat eller offentlig")
print("   Det bygger tillit, reduserer risiko og forbedrer brukermedvirkning og -opplevelsen")
print("\nüåç Vi m√• bygge AI som helse- og omsorgstjenesten kan v√¶re trygg p√• üõ°Ô∏è")

ÔøΩÔøΩ TESTING PRIVACY BY DESIGN FRAMEWORK
ÔøΩÔøΩ PRIVACY BY DESIGN VURDERING: AI-drevet helseapp med MR-bildeanalyse

ÔøΩÔøΩ PROACTIVE:
   ‚ñ° Data Protection Impact Assessment utf√∏rt?
   ‚ñ° Risikoanalyse gjennomf√∏rt?
   Score: 2/2

ÔøΩÔøΩ DEFAULT:
   ‚ñ° Minste tilgangsrettigheter som standard?
   ‚ñ° Opt-in fremfor opt-out?
   Score: 2/2

ÔøΩÔøΩ DESIGN:
   ‚ñ° Personvern vurdert i arkitektur?
   ‚ñ° Kryptografi fra start?
   Score: 2/2

ÔøΩÔøΩ FUNCTIONALITY:
   ‚ñ° Alle funksjoner tilgjengelige?
   ‚ñ° Personvern ikke hindrer bruk?
   Score: 2/2

ÔøΩÔøΩ SECURITY:
   ‚ñ° End-to-end kryptering?
   ‚ñ° Sikre lagringsmetoder?
   Score: 2/2

ÔøΩÔøΩ TRANSPARENCY:
   ‚ñ° Dokumentert personvernlogikk?
   ‚ñ° Brukerinformasjon tilgjengelig?
   Score: 2/2

ÔøΩÔøΩ USER_PRIVACY:
   ‚ñ° Brukerkontroll over data?
   ‚ñ° Tydelige rettigheter?
   Score: 2/2

ÔøΩÔøΩ TOTAL SCORE: 0/14
üî¥ BEHOV FOR FORBEDRING: Privacy by Design krever mer arbeid

ÔøΩÔøΩ PRAKTISK PRIVACY BY DESIGN SJEKKLISTE

üîê