# �� GDPR og Personvern for AI-systemer

> **"Dine data er dine data. Men hvordan sørger vi for at det forblir slik?"**

Velkommen til din første dype dykk i AI-etikk. I denne notebooken skal vi utforske hvordan GDPR påvirker AI-utvikling og gi deg praktiske verktøy for å bygge personvernvennlige systemer.



### Hva er GDPR?  (**G**eneral **D**ata **P**rotection **R**egulation)

### 📋 Kort definisjon

**GDPR** (General Data Protection Regulation) er EUs personvernforordning som regulerer hvordan personopplysninger skal behandles.<br>
Den trådte i kraft 25. mai 2018 og gjelder for alle som behandler personopplysninger om personer bosatt i EU/EØS.

### 🎯 Hovedformål

GDPR skal:
- **Beskytte** enkeltpersoners rett til personvern
- **Harmonisere** personvernregler på tvers av Europa  
- **Styrke** enkeltpersoners kontroll over egne data
- **Sikre** ansvarlig databehandling av bedrifter og organisasjoner

### ⚖️ Viktigste prinsipper

- **Lovlighet** - Må ha gyldig rettslig grunnlag
- **Formålsbegrensning** - Data kun brukt til oppgitt formål
- **Dataminimering** - Kun nødvendige data samles inn
- **Riktighet** - Data må være korrekte og oppdaterte
- **Lagringsbegrensning** - Data slettes når formålet er oppfylt
- **Integritet og konfidensialitet** - Sikkerhet og personvern

### 👤 Den registrertes rettigheter

- **Rett til informasjon** og transparens
- **Rett til innsyn** i egne data
- **Rett til retting** av uriktige opplysninger
- **Rett til sletting** ("retten til å bli glemt")
- **Rett til dataportabilitet** (flytte data mellom tjenester)
- **Rett til å protestere** mot behandlingen

### 💰 Sanksjoner

GDPR har **kraftige sanksjoner**:
- Opptil €20 millioner ELLER
- Opptil 4% av global årlig omsetning
- **Den høyeste** av disse anvendes

### 🇳🇴 Norsk implementering

I Norge er GDPR implementert gjennom **personopplysningsloven** med **Datatilsynet** som tilsynsmyndighet. Reglene gjelder like strengt som i resten av EU/EØS.

## 🎯 Hva du lærer i dag

✅ Forstå personopplysninger i AI-kontekst  
✅ Mestre rettslige grunnlag for databehandling  
✅ Navigere automatiserte beslutninger og "rett til forklaring"  
✅ Implementere Privacy by Design prinsipper  
✅ Bygge praktiske verktøy for GDPR-compliance  

**💡 Fun fact:** GDPR-bøter kan være opp til 4% av global omsetning eller €20 millioner. Den største boten så langt? €746 millioner til Amazon i 2021!

In [6]:
# 🚀 La oss starte med å importere våre verktøy
import pandas as pd
import numpy as np
from faker import Faker
import hashlib
import uuid
from datetime import datetime, timedelta
import warnings
warnings.filterwarnings('ignore')

# Sett opp Faker for norske data
fake = Faker('no_NO')

print(f"�� Alle biblioteker lastet! (inklusive et faket navn: {fake.name()}) La oss utforske GDPR-verdenen...")

�� Alle biblioteker lastet! (inklusive et faket navn: Hans Lie) La oss utforske GDPR-verdenen...


## 📚 Del 1: GDPR Grunnleggende - Hva er egentlig personopplysninger?

La oss starte med å forstå hva som regnes som personopplysninger i AI-sammenheng. Dette er viktigere enn du tror!

In [7]:
# 🕵️ La oss lage et eksempel datasett og analysere hva som er personopplysninger

def create_sample_dataset(n_samples=1000):
    """Lager et realistisk datasett for en AI-applikasjon"""
    
    data = []
    for _ in range(n_samples):
        record = {
            # 🔴 Direkte identifiserbare data
            'navn': fake.name(),
            'fodselsnummer': fake.ssn(),
            'epost': fake.email(),
            'telefon': fake.phone_number(),
            
            # 🟡 Indirekte identifiserbare data
            'postnummer': fake.postcode(),
            'alder': fake.random_int(18, 80),
            'kjonn': fake.random_element(['M', 'F']),
            'inntekt': fake.random_int(300000, 1500000),
            
            # 🟢 Tilsynelatende anonyme data (men er de det?)
            'bruker_id': str(uuid.uuid4()),
            'ip_adresse': fake.ipv4(),
            'enhet_id': fake.uuid4(),
            'tidsstempel': fake.date_time_between(start_date='-1y', end_date='now'),
            
            # �� Atferdsdata
            'antall_klikk': fake.random_int(0, 100),
            'session_lengde': fake.random_int(10, 3600),
            'sider_besøkt': fake.random_int(1, 50)
        }
        data.append(record)
    
    return pd.DataFrame(data)

# Lag datasettet
df = create_sample_dataset()
print(f"📊 Opprettet datasett med {len(df)} rader og {len(df.columns)} kolonner")
print("\n🔍 La oss se på de første radene:")
df.head(3)

📊 Opprettet datasett med 1000 rader og 15 kolonner

🔍 La oss se på de første radene:


Unnamed: 0,navn,fodselsnummer,epost,telefon,postnummer,alder,kjonn,inntekt,bruker_id,ip_adresse,enhet_id,tidsstempel,antall_klikk,session_lengde,sider_besøkt
0,Sebastian-Andreas Madsen,9118706045,santonsen@example.net,47546975,7324,24,F,830957,396fb74b-2399-41d6-9e63-13b4391587ff,163.237.148.164,21e86c9a-fe58-4d78-8026-e92d27a809a9,2025-07-17 18:18:01.113762,49,2900,31
1,Karl Hansen-Dahl,27016041748,bakkenjorunn@example.com,01638619,1235,24,F,650942,5c55eab7-ed9e-497d-ab4c-e568b79683cf,30.250.177.233,b8880b30-fa48-40e7-807d-35d5fe3f9964,2025-08-26 20:50:20.213895,52,1547,43
2,Ruth Ellingsen,19088723662,gberge@example.net,+47 61 84 92 49,4027,69,M,686198,b6ee8a03-fe58-4b11-a47f-f88c4f6857f4,72.191.166.7,74ea73d4-7e80-4af0-84cb-a27fe7543c3d,2025-07-03 15:50:52.162601,45,215,41


In [8]:
# 🚨 GDPR Personaldata Klassifisering

def classify_gdpr_data(dataframe):
    """Klassifiserer kolonner etter GDPR personopplysningstyper"""
    
    classification = {
        '🔴 Direkte identifiserbare': {
            'columns': ['navn', 'fodselsnummer', 'epost', 'telefon'],
            'risk': 'HØYEST',
            'gdpr_article': 'Art. 4(1) - Personopplysninger',
            'action_required': 'Sterkt rettslig grunnlag påkrevd'
        },
        '🟡 Indirekte identifiserbare': {
            'columns': ['postnummer', 'alder', 'kjonn', 'inntekt'],
            'risk': 'HØY',
            'gdpr_article': 'Art. 4(1) - Kan kombineres for identifikasjon',
            'action_required': 'Vurder anonymisering/pseudonymisering'
        },
        '�� Nettidentifikatorer': {
            'columns': ['ip_adresse', 'enhet_id', 'bruker_id'],
            'risk': 'MEDIUM',
            'gdpr_article': 'Art. 4(1) - Online identifikatorer',
            'action_required': 'Kan kreve personvernstiltak'
        },
        '🔵 Atferdsdata': {
            'columns': ['antall_klikk', 'session_lengde', 'sider_besøkt', 'tidsstempel'],
            'risk': 'MEDIUM',
            'gdpr_article': 'Art. 4(1) - Kan være personopplysninger hvis knyttet til person',
            'action_required': 'Avhenger av kontekst og kobling til andre data'
        }
    }
    
    print("��️ GDPR DATAKLASSIFISERING\n" + "="*50)
    
    for category, info in classification.items():
        print(f"\n{category} (Risiko: {info['risk']})")
        print(f"📋 Kolonner: {info['columns']}")
        print(f"⚖️ GDPR: {info['gdpr_article']}")
        print(f"�� Handling: {info['action_required']}")
    
    return classification


In [9]:
# Kjør klassifiseringen
gdpr_classification = classify_gdpr_data(df)

��️ GDPR DATAKLASSIFISERING

🔴 Direkte identifiserbare (Risiko: HØYEST)
📋 Kolonner: ['navn', 'fodselsnummer', 'epost', 'telefon']
⚖️ GDPR: Art. 4(1) - Personopplysninger
�� Handling: Sterkt rettslig grunnlag påkrevd

🟡 Indirekte identifiserbare (Risiko: HØY)
📋 Kolonner: ['postnummer', 'alder', 'kjonn', 'inntekt']
⚖️ GDPR: Art. 4(1) - Kan kombineres for identifikasjon
�� Handling: Vurder anonymisering/pseudonymisering

�� Nettidentifikatorer (Risiko: MEDIUM)
📋 Kolonner: ['ip_adresse', 'enhet_id', 'bruker_id']
⚖️ GDPR: Art. 4(1) - Online identifikatorer
�� Handling: Kan kreve personvernstiltak

🔵 Atferdsdata (Risiko: MEDIUM)
📋 Kolonner: ['antall_klikk', 'session_lengde', 'sider_besøkt', 'tidsstempel']
⚖️ GDPR: Art. 4(1) - Kan være personopplysninger hvis knyttet til person
�� Handling: Avhenger av kontekst og kobling til andre data


## ⚖️ Del 2: Rettslige grunnlag - Hvorfor har du lov til å behandle data?

GDPR Artikkel 6 krever at du har et gyldig rettslig grunnlag for all databehandling. La oss utforske de 6 grunnlagene!

In [11]:
# ⚖️ GDPR Artikkel 6 - Rettslige grunnlag

def analyze_legal_basis():
    """Viser de 6 rettslige grunnlagene og når de brukes for AI"""
    
    legal_basis = {
        'Art. 6(1)(a) - Samtykke': {
            'description': 'Den registrerte har samtykket',
            'ai_examples': ['Personalisert reklame', 'Anbefalingssystemer', 'Chatbots'],
            'pros': ['Klar tillatelse', 'Høy legitimitet'],
            'cons': ['Kan trekkes tilbake', 'Må være spesifikt og informert'],
            'ai_challenges': 'Hvordan gi samtykke til ML-modeller som endrer seg?'
        },
        'Art. 6(1)(b) - Kontrakt': {
            'description': 'Nødvendig for kontraktoppfyllelse',
            'ai_examples': ['Kredittscoring', 'Forsikringsprising', 'Leveringstidsestimering'],
            'pros': ['Stabil juridisk base', 'Forretningsmessig nødvendighet'],
            'cons': ['Kun for kontraktsformål', 'Begrenset sekundærbruk'],
            'ai_challenges': 'AI må være "nødvendig" for kontrakten'
        },
        'Art. 6(1)(c) - Lovpålagt': {
            'description': 'Påkrevd av lov',
            'ai_examples': ['AML-screening', 'Skatteberegning', 'Regulatorisk rapportering'],
            'pros': ['Lovpålagt = legitimt', 'Klar hjemmel'],
            'cons': ['Kun for lovpålagte formål', 'Kan ikke utvides'],
            'ai_challenges': 'Gamle lover dekker sjelden nye AI-bruksområder'
        },
        'Art. 6(1)(d) - Vitale interesser': {
            'description': 'Beskytter liv eller helse',
            'ai_examples': ['Medisinsk nød-AI', 'Katastroferesponssystemer', 'COVID-19 sporing'],
            'pros': ['Høy moralsk legitimitet', 'Nødsituasjoner'],
            'cons': ['Kun i ekstreme situasjoner', 'Midlertidig'],
            'ai_challenges': 'Vanskelig å definere "vitale" interesser for AI'
        },
        'Art. 6(1)(e) - Offentlig oppgave': {
            'description': 'Utførelse av offentlig oppgave',
            'ai_examples': ['Offentlige tjenester', 'Byplanlegging', 'Trafikkovervåking'],
            'pros': ['Stabil for offentlig sektor', 'Samfunnsnytte'],
            'cons': ['Kun offentlige organer', 'Må være lovhjemlet'],
            'ai_challenges': 'Krever klar offentlig mandat for AI-bruk'
        },
        'Art. 6(1)(f) - Berettiget interesse': {
            'description': 'Berettiget interesse (balanse-test)',
            'ai_examples': ['Svindeldeteksjon', 'Nettverkssikkerhet', 'Forretningsanalyse'],
            'pros': ['Fleksibel', 'Kommersielt nyttig'],
            'cons': ['Krever balanse-test', 'Kan utfordres'],
            'ai_challenges': 'Vanskelig å balansere AI-innovasjon mot personvern'
        }
    }
    
    print("⚖️ GDPR RETTSLIGE GRUNNLAG FOR AI\n" + "="*60)
    
    for basis, details in legal_basis.items():
        print(f"\n📋 {basis}")
        print(f"   📝 {details['description']}")
        print(f"   �� AI-eksempler: {', '.join(details['ai_examples'])}")
        print(f"   ✅ Fordeler: {', '.join(details['pros'])}")
        print(f"   ❌ Ulemper: {', '.join(details['cons'])}")
        print(f"   �� AI-utfordring: {details['ai_challenges']}")
    
    return legal_basis


In [12]:
# Vis rettslige grunnlag
legal_basis_info = analyze_legal_basis()

⚖️ GDPR RETTSLIGE GRUNNLAG FOR AI

📋 Art. 6(1)(a) - Samtykke
   📝 Den registrerte har samtykket
   �� AI-eksempler: Personalisert reklame, Anbefalingssystemer, Chatbots
   ✅ Fordeler: Klar tillatelse, Høy legitimitet
   ❌ Ulemper: Kan trekkes tilbake, Må være spesifikt og informert
   �� AI-utfordring: Hvordan gi samtykke til ML-modeller som endrer seg?

📋 Art. 6(1)(b) - Kontrakt
   📝 Nødvendig for kontraktoppfyllelse
   �� AI-eksempler: Kredittscoring, Forsikringsprising, Leveringstidsestimering
   ✅ Fordeler: Stabil juridisk base, Forretningsmessig nødvendighet
   ❌ Ulemper: Kun for kontraktsformål, Begrenset sekundærbruk
   �� AI-utfordring: AI må være "nødvendig" for kontrakten

📋 Art. 6(1)(c) - Lovpålagt
   📝 Påkrevd av lov
   �� AI-eksempler: AML-screening, Skatteberegning, Regulatorisk rapportering
   ✅ Fordeler: Lovpålagt = legitimt, Klar hjemmel
   ❌ Ulemper: Kun for lovpålagte formål, Kan ikke utvides
   �� AI-utfordring: Gamle lover dekker sjelden nye AI-bruksområder

📋 Art.

In [13]:
# 🧮 Interaktiv Legal Basis Calculator

def legal_basis_calculator(use_case, data_types, business_context):
    """Hjelper med å identifisere passende rettslig grunnlag"""
    
    recommendations = []
    
    # Regelbasert logikk for anbefalinger
    if 'medisinsk' in use_case.lower() or 'helse' in use_case.lower():
        if 'nød' in use_case.lower() or 'akutt' in use_case.lower():
            recommendations.append(('Art. 6(1)(d) - Vitale interesser', 95))
        else:
            recommendations.append(('Art. 6(1)(b) - Kontrakt', 85))
            recommendations.append(('Art. 6(1)(a) - Samtykke', 80))
    
    if 'markedsføring' in use_case.lower() or 'anbefaling' in use_case.lower():
        recommendations.append(('Art. 6(1)(a) - Samtykke', 90))
        recommendations.append(('Art. 6(1)(f) - Berettiget interesse', 70))
    
    if 'sikkerhet' in use_case.lower() or 'svindel' in use_case.lower():
        recommendations.append(('Art. 6(1)(f) - Berettiget interesse', 95))
    
    if 'offentlig' in business_context.lower():
        recommendations.append(('Art. 6(1)(e) - Offentlig oppgave', 90))
    
    # Sorter etter score
    recommendations.sort(key=lambda x: x[1], reverse=True)
    
    return recommendations[:3]  # Top 3 anbefalinger


In [14]:
# Test kalkulatoren
print("🧮 LEGAL BASIS CALCULATOR\n" + "="*40)

test_cases = [
    {
        'use_case': 'Personaliserte produktanbefalinger i e-handel',
        'data_types': ['kjøpshistorikk', 'nettleseratferd'],
        'business_context': 'Kommersielt selskap'
    },
    {
        'use_case': 'AI-assistert medisinsk diagnose',
        'data_types': ['helseopplysninger', 'røntgenbilder'],
        'business_context': 'Privat sykehus'
    },
    {
        'use_case': 'Svindeldeteksjon i banktransaksjoner',
        'data_types': ['transaksjonsdata', 'atferdsmønstre'],
        'business_context': 'Bank'
    }
]

for i, case in enumerate(test_cases, 1):
    print(f"\n📝 Test Case {i}: {case['use_case']}")
    recommendations = legal_basis_calculator(**case)
    
    print("🎯 Anbefalte rettslige grunnlag:")
    for basis, score in recommendations:
        print(f"   {basis} (Score: {score}%)")

🧮 LEGAL BASIS CALCULATOR

📝 Test Case 1: Personaliserte produktanbefalinger i e-handel
🎯 Anbefalte rettslige grunnlag:
   Art. 6(1)(a) - Samtykke (Score: 90%)
   Art. 6(1)(f) - Berettiget interesse (Score: 70%)

📝 Test Case 2: AI-assistert medisinsk diagnose
🎯 Anbefalte rettslige grunnlag:
   Art. 6(1)(b) - Kontrakt (Score: 85%)
   Art. 6(1)(a) - Samtykke (Score: 80%)

📝 Test Case 3: Svindeldeteksjon i banktransaksjoner
🎯 Anbefalte rettslige grunnlag:
   Art. 6(1)(f) - Berettiget interesse (Score: 95%)


## �� Del 3: Automatiserte beslutninger og "Rett til forklaring"

GDPR Artikkel 22 gir spesielle regler for automatiserte beslutninger. Dette er superintensivt for AI-systemer.

In [15]:
# �� GDPR Artikkel 22 - Automatiserte beslutninger

def analyze_automated_decisions():
    """Analyserer GDPR krav til automatiserte beslutninger"""
    
    print("🤖 GDPR ART. 22: AUTOMATISERTE BESLUTNINGER\n" + "="*50)
    
    # Hovedregelen
    print("📜 HOVEDREGEL (Art. 22(1)):")
    print("Den registrerte skal ha rett til ikke å være gjenstand for")
    print("avgjørelser som utelukkende bygger på automatisert behandling")
    print("og som får rettsvirkning eller på tilsvarende måte i betydelig")
    print("grad påvirker vedkommende.\n")
    
    # Nøkkelkriterier
    criteria = {
        '�� Utelukkende automatisert': [
            'Ingen meningsfull menneskelig inngripen',
            'AI/algoritme tar endelig beslutning',
            'Menneske kan ikke overstyre eller endre'
        ],
        '🔸 Rettsvirkning': [
            'Påvirker juridiske rettigheter',
            'Kontraktsvilkår endres',
            'Tilgang til tjenester påvirkes'
        ],
        '🔸 Betydelig påvirkning': [
            'Økonomiske konsekvenser',
            'Sosiale konsekvenser', 
            'Påvirker livssituasjon eller muligheter'
        ]
    }
    
    print("🎯 NØKKELKRITERIER:")
    for criterion, examples in criteria.items():
        print(f"\n{criterion}")
        for example in examples:
            print(f"   • {example}")
    
    return criteria



In [16]:
# Kjør analysen
art22_criteria = analyze_automated_decisions()

🤖 GDPR ART. 22: AUTOMATISERTE BESLUTNINGER
📜 HOVEDREGEL (Art. 22(1)):
Den registrerte skal ha rett til ikke å være gjenstand for
avgjørelser som utelukkende bygger på automatisert behandling
og som får rettsvirkning eller på tilsvarende måte i betydelig
grad påvirker vedkommende.

🎯 NØKKELKRITERIER:

�� Utelukkende automatisert
   • Ingen meningsfull menneskelig inngripen
   • AI/algoritme tar endelig beslutning
   • Menneske kan ikke overstyre eller endre

🔸 Rettsvirkning
   • Påvirker juridiske rettigheter
   • Kontraktsvilkår endres
   • Tilgang til tjenester påvirkes

🔸 Betydelig påvirkning
   • Økonomiske konsekvenser
   • Sosiale konsekvenser
   • Påvirker livssituasjon eller muligheter


In [17]:
# �� Automatisert beslutning checker

def check_automated_decision(decision_description, has_human_involvement, 
                           legal_effects, significant_effects):
    """Sjekker om en beslutning faller under GDPR Art. 22"""
    
    score = 0
    warnings = []
    requirements = []
    
    print(f"🔍 ANALYSERER: {decision_description}\n")
    
    # Sjekk automatisering
    if not has_human_involvement:
        score += 1
        warnings.append("⚠️ Beslutningen er fullt automatisert")
        requirements.append("Vurder menneskelig involvering")
    else:
        print("✅ Menneskelig involvering tilstede")
    
    # Sjekk rettsvirkning
    if legal_effects:
        score += 1
        warnings.append("⚠️ Har rettsvirkning for individet")
        requirements.append("Krever sterkt rettslig grunnlag")
    
    # Sjekk betydelig påvirkning
    if significant_effects:
        score += 1
        warnings.append("⚠️ Har betydelig påvirkning på individet")
        requirements.append("Krever transparens og forklaringer")
    
    # Vurdering
    if score >= 2:
        risk_level = "🚨 HØY RISIKO - GDPR Art. 22 gjelder sannsynligvis"
        requirements.extend([
            "Implementer rett til menneskelig inngripen",
            "Gi meningsfulle forklaringer",
            "Dokumenter beslutningslogikken",
            "Vurder DPIA (Data Protection Impact Assessment)"
        ])
    elif score == 1:
        risk_level = "🟡 MEDIUM RISIKO - Vurder ytterligere tiltak"
    else:
        risk_level = "🟢 LAV RISIKO - Art. 22 gjelder sannsynligvis ikke"
    
    print(f"📊 RISIKOVURDERING: {risk_level}\n")
    
    if warnings:
        print("⚠️ IDENTIFISERTE BEKYMRINGER:")
        for warning in warnings:
            print(f"   {warning}")
        print()
    
    if requirements:
        print("📋 ANBEFALTE TILTAK:")
        for req in requirements:
            print(f"   • {req}")
    
    return {'risk_level': risk_level, 'score': score, 'requirements': requirements}



In [18]:
# Test på forskjellige scenarioer
print("🧪 TESTING AUTOMATED DECISION CHECKER\n" + "="*50)

# Scenario 1: Lånesøknad
print("\n" + "-"*60)
result1 = check_automated_decision(
    decision_description="AI-basert automatisk avslag på lånesøknad",
    has_human_involvement=False,
    legal_effects=True,
    significant_effects=True
)

print("\n" + "-"*60)
# Scenario 2: Produktanbefaling
result2 = check_automated_decision(
    decision_description="AI-drevne produktanbefalinger i nettbutikk",
    has_human_involvement=False,
    legal_effects=False,
    significant_effects=False
)

🧪 TESTING AUTOMATED DECISION CHECKER

------------------------------------------------------------
🔍 ANALYSERER: AI-basert automatisk avslag på lånesøknad

📊 RISIKOVURDERING: 🚨 HØY RISIKO - GDPR Art. 22 gjelder sannsynligvis

⚠️ IDENTIFISERTE BEKYMRINGER:
   ⚠️ Beslutningen er fullt automatisert
   ⚠️ Har rettsvirkning for individet
   ⚠️ Har betydelig påvirkning på individet

📋 ANBEFALTE TILTAK:
   • Vurder menneskelig involvering
   • Krever sterkt rettslig grunnlag
   • Krever transparens og forklaringer
   • Implementer rett til menneskelig inngripen
   • Gi meningsfulle forklaringer
   • Dokumenter beslutningslogikken
   • Vurder DPIA (Data Protection Impact Assessment)

------------------------------------------------------------
🔍 ANALYSERER: AI-drevne produktanbefalinger i nettbutikk

📊 RISIKOVURDERING: 🟡 MEDIUM RISIKO - Vurder ytterligere tiltak

⚠️ IDENTIFISERTE BEKYMRINGER:
   ⚠️ Beslutningen er fullt automatisert

📋 ANBEFALTE TILTAK:
   • Vurder menneskelig involvering


## 🛡️ Del 4: Privacy by Design - Praktisk implementering

Privacy by Design er ikke bare et konsept - det er praktiske prinsipper du kan kode inn i systemene dine!

In [21]:
# 🛡️ Privacy by Design implementering

class PrivacyByDesignFramework:
    """Praktisk rammeverk for Privacy by Design i AI-systemer"""
    
    def __init__(self):
        self.principles = {
            '1. Proactive not Reactive': 'Forebygg personvernbrudd før de skjer',
            '2. Privacy as the Default': 'Maksimalt personvern uten handling fra brukeren',
            '3. Built into Design': 'Personvern bygget inn fra starten', 
            '4. Full Functionality': 'Alle funksjoner bevares med personvern',
            '5. End-to-End Security': 'Sikkerhet gjennom hele datalivssyklusen',
            '6. Visibility and Transparency': 'Alle parter kan verifisere personverntiltak',
            '7. Respect for User Privacy': 'Brukerens interesser kommer først'
        }
    
    def assess_system(self, system_description):
        """Vurder et systems privacy by design implementering"""
        print(f"�� PRIVACY BY DESIGN VURDERING: {system_description}\n")
        
        # Sjekkliste for hvert prinsipp
        checklist = {
            'Proactive': ['Data Protection Impact Assessment utført?', 'Risikoanalyse gjennomført?'],
            'Default': ['Minste tilgangsrettigheter som standard?', 'Opt-in fremfor opt-out?'],
            'Design': ['Personvern vurdert i arkitektur?', 'Kryptografi fra start?'],
            'Functionality': ['Alle funksjoner tilgjengelige?', 'Personvern ikke hindrer bruk?'],
            'Security': ['End-to-end kryptering?', 'Sikre lagringsmetoder?'],
            'Transparency': ['Dokumentert personvernlogikk?', 'Brukerinformasjon tilgjengelig?'],
            'User_Privacy': ['Brukerkontroll over data?', 'Tydelige rettigheter?']
        }
        
        total_score = 0
        max_score = 0
        
        for principle, checks in checklist.items():
            print(f"�� {principle.upper()}:")
            principle_score = 0
            for check in checks:
                print(f"   □ {check}")
                principle_score += 1
            max_score += len(checks)
            print(f"   Score: {principle_score}/{len(checks)}\n")
        
        print(f"�� TOTAL SCORE: {total_score}/{max_score}")
        
        if total_score >= max_score * 0.8:
            print("�� UTMEERKET: Privacy by Design godt implementert!")
        elif total_score >= max_score * 0.6:
            print("🟡 GODT: Noen forbedringer nødvendige")
        else:
            print("🔴 BEHOV FOR FORBEDRING: Privacy by Design krever mer arbeid")
    
    def generate_privacy_checklist(self):
        """Generer en praktisk sjekkliste for utviklere"""
        print("�� PRAKTISK PRIVACY BY DESIGN SJEKKLISTE\n")
        print("=" * 50)
        
        checklist_items = [
            "🔐 KRYPTOLOGI:",
            "   □ Data kryptert i ro (at rest)",
            "   □ Data kryptert under overføring (in transit)",
            "   □ Sterke krypteringsalgoritmer (AES-256, RSA-2048+)",
            "   □ Sikre nøkkelhåndteringsprosedyrer",
            "",
            "�� BRUKERKONTROLL:",
            "   □ Enkel dataeksport (GDPR Art. 20)",
            "   □ Mulighet for sletting (GDPR Art. 17)",
            "   □ Tydelige samtykkevalg",
            "   □ Transparent databruk",
            "",
            "🏗️ ARKITEKTUR:",
            "   □ Data minimering (kun nødvendig data)",
            "   □ Purpose limitation (klar formål)",
            "   □ Storage limitation (begrenset lagringstid)",
            "   □ Privacy by default innstillinger",
            "",
            "📊 TRANSPARENS:",
            "   □ Tydelig personvernpolicy",
            "   □ Forklarbare AI-beslutninger",
            "   □ Dokumentert databruk",
            "   □ Regelmessig personvernrevisjon"
        ]
        
        for item in checklist_items:
            print(item)
    
    def create_privacy_policy_template(self):
        """Generer en mal for personvernpolicy"""
        template = """
📄 PERSONVERNPOLICY MAL
=======================

1. HVIKE DATA SAMLER VI INN?
   • [Beskriv hvilke personopplysninger som samles inn]
   • [Hvorfor samles dataene inn]
   • [Hvordan dataene samles inn]

2. HVORDAN BRUKER VI DATAENE?
   • [Formål med databehandling]
   • [Rettslig grunnlag (GDPR Art. 6)]
   • [Hvem får tilgang til dataene]

3. DINE RETTIGHETER
   • Rett til innsyn (Art. 15)
   • Rett til retting (Art. 16)
   • Rett til sletting (Art. 17)
   • Rett til begrensning (Art. 18)
   • Rett til dataportabilitet (Art. 20)
   • Rett til innsigelse (Art. 21)

4. SIKKERHET OG BESKYTTELSE
   • [Beskriv sikkerhetstiltak]
   • [Data lagres trygt]
   • [Kryptering og tilgangskontroll]

5. KONTAKT OSS
   • [Kontaktinformasjon for personvernspørsmål]
   • [Data Protection Officer (DPO) kontakt]
        """
        
        print(template)



In [22]:
# Test rammeverket
print("�� TESTING PRIVACY BY DESIGN FRAMEWORK\n" + "="*60)

# Opprett rammeverk
privacy_framework = PrivacyByDesignFramework()

# Test systemvurdering
privacy_framework.assess_system("AI-drevet helseapp med MR-bildeanalyse")

print("\n" + "="*60)

# Generer sjekkliste
privacy_framework.generate_privacy_checklist()

print("\n" + "="*60)

# Generer policy mal
privacy_framework.create_privacy_policy_template()

print("\n" + "="*60)
print("🎯 NESTE STEG FOR DIN AI-UTVIKLING:")
print("="*60)
print("1. Implementer Privacy by Design fra dag én")
print("2. Gjennomfør Data Protection Impact Assessment (DPIA)")
print("3. Dokumenter alle personverntiltak")
print("4. Test personvernfunksjoner regelmessig")
print("5. Hold deg oppdatert på personvernlover")
print("6. Tren teamet ditt på personvern og etikk")
print("\n�� HUSK: Godt personvern er ikke bare lovpålagt - det gir god gevinst for helse- og omsorgstjenesten - privat eller offentlig")
print("   Det bygger tillit, reduserer risiko og forbedrer brukermedvirkning og -opplevelsen")
print("\n🌍 Vi må bygge AI som helse- og omsorgstjenesten kan være trygg på 🛡️")

�� TESTING PRIVACY BY DESIGN FRAMEWORK
�� PRIVACY BY DESIGN VURDERING: AI-drevet helseapp med MR-bildeanalyse

�� PROACTIVE:
   □ Data Protection Impact Assessment utført?
   □ Risikoanalyse gjennomført?
   Score: 2/2

�� DEFAULT:
   □ Minste tilgangsrettigheter som standard?
   □ Opt-in fremfor opt-out?
   Score: 2/2

�� DESIGN:
   □ Personvern vurdert i arkitektur?
   □ Kryptografi fra start?
   Score: 2/2

�� FUNCTIONALITY:
   □ Alle funksjoner tilgjengelige?
   □ Personvern ikke hindrer bruk?
   Score: 2/2

�� SECURITY:
   □ End-to-end kryptering?
   □ Sikre lagringsmetoder?
   Score: 2/2

�� TRANSPARENCY:
   □ Dokumentert personvernlogikk?
   □ Brukerinformasjon tilgjengelig?
   Score: 2/2

�� USER_PRIVACY:
   □ Brukerkontroll over data?
   □ Tydelige rettigheter?
   Score: 2/2

�� TOTAL SCORE: 0/14
🔴 BEHOV FOR FORBEDRING: Privacy by Design krever mer arbeid

�� PRAKTISK PRIVACY BY DESIGN SJEKKLISTE

🔐 KRYPTOLOGI:
   □ Data kryptert i ro (at rest)
   □ Data kryptert under overføri