De siste årene har utviklingen av kunstig intelligens (KI) gått i en rekordfart. Dette har gjort bruken av KI til allemannseie, og potensialet for bruken er enormt. Som et resultat er KI på full fart inn i virksomheter. Digitaliseringsminister Karianne Tung har selv satt et mål om at innen 2025 skal 80 prosent av offentlig sektor ta i bruk KI. De som ikke allerede nå ser på hvordan det kan brukes i deres virksomhet, risikerer å komme på etterskudd.
Skal en virksomhet bruke KI, må den imidlertid være klar over hvilke utfordringer bruken kan innebære. Dette innebærer både kunnskap om hvilke regelverk de skal overholde, samt hvordan dette gjøres i praksis. Det norske datatilsynet peker på det samme i deres strategi for arbeidet med kunstig intelligens.
EU-forordningen om kunstig intelligens (AI Act) er det første store regelverket om bruk av KI i verden. Formålet bak AI Act er to-delt: På den ene siden skal den sikre en trygg, etisk og lovlig bruk av KI. På den andre siden skal den åpne og tilrettelegge for innovasjon og bruk av KI i bedrifter, da potensialet er stort. Et helhetlig regelverk for hele EU vil gjøre det trygt og forutberegnelig for virksomheter å satse på kunstig intelligens i sin drift. Målet er å legge til rette for en helhetlig utvikling av AI i Europa, som har kommet på etterskudd i utviklingen sammenliknet med for eksempel USA og Kina.
Forordningen ble godkjent av EU-parlamentet i midten av mars 2024, og forventes å bli godkjent som offisiell lov i EU før Europaparlamentsvalget til sommeren. Forordningen er EØS-relevant, og forventes derfor å gjennomføres innad i Norge snart. Utgangspunktet er at reglene i AI Act først kommer til anvendelse to år etter at forordningen trer i kraft. Samtidig gjøres det flere unntak fra denne regelen, for eksempel ved bruk av KI som utgjør en høy risiko.
Virksomheter som ønsker å ta i bruk KI burde derfor allerede nå sørge for å ha kunnskap om AI Act, og finne ut hvordan de kan bruke KI i tråd med regelverket. Brudd på AI Act kan medføre store bøter, nesten to ganger høyere enn ved brudd på GDPR. Brudd på forordningen kan bli møtt med bøter på 7% av virksomhetens globale omsetning eller opptil 40 millioner euro, avhengig av hvilken som er høyest. Nasjonale datatilsyn vil også ha hjemmel til å gjennomføre ikke-økonomiske sanksjoner. Dette kan være for eksempel være stans i bruken av KI, eller andre effektive virkemidler.
AI Act er, i likhet med GDPR, en risikobasert rettsakt. Dette innebærer at forpliktelsene man er underlagt beror på risikoklassifiseringen til det aktuelle KI-systemet som brukes. Samlet sett deler AI Act systemene inn i fem ulike kategorier. Jo større risiko systemet utgjør, jo strengere krav er en virksomhet underlagt.
Bildet er laget gjennom Copilot, som bruker DALL-E.
Ledetekst som er brukt: Justitia sin vektskål i en kontekst av KI.
KI-systemer som utgjør en uakseptabel risiko etter artikkel 5, vil bli forbudt. Eksempler på dette er KI-systemer som utnytter sårbarheter til enkelte grupper (for eksempel på bakgrunn av alder eller en funksjonsnedsettelse) for å endre personens atferd, urettferdig behandler personer eller grupper basert på social scoring og liknende. Også bruk av biometrisk identifikasjon i offentlig rom vil med noen unntak være forbudt. Et mer nærliggende eksempel for virksomheter er KI som brukes for å måle ansattes følelser på arbeid.
En generell definisjon for systemer som utgjør en høy risiko følger av artikkel 6 og 7, og er typisk der det behandles kritisk eller sensitiv data, eller hvor potensialet for forskjellsbehandling er stort. Videre er eksempler mer gjennomgående regulert i forordningens anneks II og III. I utdanningssektoren er systemer som avgjør adgang til utdanning, avgjør individuell undervisning og evaluere læringsutbytte typiske eksempler på høy risiko.
Også arbeidsgivers bruk av KI-systemer kan utgjøre høy risiko. Hvis din virksomhet skal bruke KI for å rekruttere nye arbeidstakere, eller bruke det for å sortere jobbsøknader eller liknende vil dette utgjøre en høy risiko. Også bruken av systemer på ansatte i virksomheten kan regnes som høy risiko. Dette er typisk hvor KI brukes for å fordele arbeidsoppgaver basert på individuelle egenskaper hos de ansatte, eller for mer generell overvåkning og evaluering av de ansatte.
KI-systemer med høy risiko vil underlegges mange krav for etisk bruk av KI, blant annet krav til transparens, personvern og datakontroll, ikke-diskriminering og bærekraft, samt krav til teknisk robusthet og sikkerhet.
Denne type KI reguleres av artikkel 52. Dette er typisk systemer som direkte interagerer med mennesker, produserer «deep fakes» eller produserer tekst som opplyser om forhold av offentlig interesse.
For disse KI-systemene stilles det krav til åpenhet og informasjonsplikt overfor brukeren. Kravene innebærer at det må være klart for brukeren at hun samhandler med et KI-system, og at det systemet produserer av tekst eller bilde skal merkes som et produkt av kunstig intelligens.
Dette er definert som KI-modeller som er generelle og kan utøve en rekke ulike handlinger. Denne formen for KI reguleres av artikkel 44b og 52 a. Det er typisk KI-systemer som kan produsere tekst, bilder, video og videre, og lett kan inkorporeres i andre applikasjoner eller systemer. Denne typen KI er kjent for folk flest, slik som ChatGPT og WALL-E. Innen denne kategorien vil også KI-modeller som utgjør en systematisk risiko innebære flere plikter etter forordningen.
Etter artikkel 69 er systemer som ikke utgjør høy risiko bare underlagt friville etiske retningslinjer. Å ikke forholde seg til retningslinjene vil derfor ikke utgjøre et brudd på AI Act. Typisk gjelder dette for enkle KI-systemer som driver med prosessautomatisering og datainnsamling.
AI Act seg både mot tilbydere og brukere av KI-systemer. Virksomheter som bruker KI-systemer intern i driften sin (såkalte «deployers»), må gjøre en rekke vurderinger for å være i overenstemmelse med forordningen. Dette vil typisk være en vurdering av hvilken risiko systemet utgjør, og hvilke vurderinger bedriften da må gjøre tilknyttet risiko, tilsyn og datasikkerhet. Hvis din virksomhet har ambisjon om å bruke et KI-system, er det derfor helt nødvendig å påse at man er i overenstemmelse med AI Act.
Bildet er laget gjennom Copilot, som bruker DALL-E.
Ledetekst som er brukt: Lystig møterom hvor en av de ansatte er en robot som symboliserer KI.
Man må også merke seg at bruken av KI-systemer kan bryte med andre regelverk. Blant annet stiller GDPR særskilte krav til behandling av personopplysninger ved bruk av kunstig intelligens. Etter GDPR artikkel 35 må det gjøres en DPIA (personvernkonsekvensvurdering) før et KI-system som skal behandle personopplysninger kan tas i bruk.
Noen prinsipper går gjennom hele AI Act, for eksempel prinsipper om åpenhet og informasjonsplikt. Virksomheter burde derfor ha tydelig og forståelig informasjon om formålet bak bruken av KI-systemet, samt tydeliggjøre hva som er et produkt av et KI-system.
Det er klart at potensialet for bruken av KI i virksomheter er stort. Samtidig er man underlagt flere rettslige forpliktelser som må overholdes. Et stort utbytte av KI er helt avhengig av at man allerede har god kvalitet og oversikt over dataene i virksomheten.
Ønsker du mer kunnskap om AI Act? Se Datatilsynet sin introduksjonsvideo om forordningen.
Mange virksomheter er nysjerrige på bruken av KI og hvordan det kan brukes. Samtidig erfarer vi at mange har store mangler i oversikten over data i virksomheten. En forutsetning for å lykkes med bruken av KI er en helhetlig oversikt og systematisk bruk av data.
Vi i Iconfirm er opptatt av høy datakvalitet og en helhetlig tilnærming til datasikkerhet. Dette innebærer at din virksomhet gjennom vår programvare enkelt kan holde oversikt over deres data. Dette vil legge til rette for effektiv bruk av KI, samt sørge for overholdelse av regelverk som GDPR, AI Act og Åpenhetsloven. Det er den ukontrollerte risikoen du mister nattesøvnen av!
Ta kontakt med oss i dag for en uformell prat om hvordan vi kan optimalisere din virksomhet.