I början av oktober avslöjades att en kontraktör i Australien laddat upp ett kalkylark med personuppgifter om cirka 3 000 översvämningsdrabbade hushåll till ChatGPT.
Filerna innehöll namn, kontaktuppgifter och hälsodata, varför uppladdningen av filen ledde till en personuppgiftsincident, trots att syftet troligen var oskyldigt.
Detta är ett tydligt exempel på hur snabbt gränsen kan överskridas när någon ”bara vill testa ett smart verktyg”. Händelsen har fått stor uppmärksamhet just för att den skett i offentlig sektor, men lärdomen är lika relevant för mindre organisationer, inte minst bostadsrättsföreningar.
När bostadsrättsföreningen blir personuppgiftsansvarig
I en bostadsrättsförening hanteras dagligen integritetskänsliga och känsliga uppgifter: medlemsförteckning, lägenhetsförteckning, ekonomiska uppgifter, e-postlistor och ibland även ärenden om störningar, sjukdom eller social problematik. Bostadsrättsföreningen är personuppgiftsansvarig för de behandlingar den utför, vilket innebär att styrelsen i en bostadsrättsförening har ett ansvar för att uppgifterna behandlas säkert och i enlighet med GDPR.
Att en engagerad styrelseledamot använder ChatGPT eller någon annan AI- eller molntjänst för att få hjälp kan skapa samma risker som i Australien, därför är det viktigt att fundera på vad man skriver eller lägger in i sådana verktyg.
Vad styrelsen bör göra
1. Upprätta en enkel policy för digitala verktyg.
Ange vilka tjänster som får användas, hur molnlagring ska ske och vilka verktyg som är förbjudna för personuppgifter (t.ex. öppna AI-plattformar).
2. Utbilda styrelseledamöter.
Höj medvetenheten genom exempelvis en genomgång på årsmötet eller vid styrelsebyte.
3. Skydda medlemsdata.
Använd lösenordskyddade register, behörighetsstyrning, säker filöverföring och tvåfaktorsautentisering.
Lärdomen
Den australiensiska incidenten visar att dataskyddsproblem sällan uppstår av illvilja, utan av välvilja, stress och okunskap. För en bostadsrättsförening är det just i sådana vardagssituationer som GDPR-arbetet prövas.
Att sätta tydliga gränser för hur AI-verktyg och molntjänster får användas är ytterst viktigt för medlemmarnas integritet och förtroende för bostadsrättsföreningen.
