AI er ikke længere forbeholdt science fiction-romaner. Kunstig intelligens fylder mere og mere i medierne og i virksomhederne, og selvom det hele er forholdsvis abstrakt, bliver vi nødt til at sætte os ind i de lovgivningsmæssige aspekter, herunder forholdet mellem AI og databeskyttelsesreglerne. 

Jeg kan som sci-fi-fan ikke sige mig fri for at være påvirket af både litteratur og film, når jeg læser om nye AI-løsninger, men jeg vil forsøge at forholde mig til virkeligheden. 

Lige nu er jeg splittet mellem to verdener. På den ene side følger jeg med i spænding og glæder mig til at se, hvad det næste bliver. På den anden side har jeg som databeskyttelsesjurist en lille smule koldsved på panden, når jeg tænker på de potentielle juridiske udfordringer, der følger.

De mange muligheder kan uden tvivl hjælpe os på flere forskellige områder og spare tid hos mange. Men de åbne vidder kan også virke overvældende. Hvordan skal vi i virksomhederne sikre, at vi bruger AI ansvarligt? Og hvilke regler skal vi overhovedet overholde?

Den teknologiske udvikling har løbende medført nye juridiske problemstillinger, og AI er bestemt ikke en undtagelse. Lovgivningen på området er bare lidt langsom i optrækket. Lige nu forhandler EU om indholdet i den kommende AI Act, en forordning, der skal regulere udvikling og brug af AI. Og selvom flere af os venter på den endelige forordning, kan vi allerede nu arbejde med de regler, vi har i dag. 

With great power comes great responsibility

Definitionen af AI er omdiskuteret, og lige nu er det måske også lidt et modeord, så man kunne forestille sig, at systemer, der egentlig ikke ville falde i den (lovgivningSmæssige) kategori alligevel bliver kaldt AI. 

Den nye forordning vil forhåbentlig slå fast, hvornår vi taler om AI i juridisk forstand. Men vi er ikke i tvivl ud fra de foreløbige tekster om, at AI er et bredt begreb. Og vi kan næsten være sikre på, at uanset hvilket system, vi arbejder med, har de det til fælles, at de alle behandler data. I nogle tilfælde også persondata. Det gælder ikke kun, når modellerne trænes, men i mange situationer også i forbindelse med outputtet.

Behandlingen af (person)oplysninger har stor betydning, når vi skal vurdere, hvilke regler, vi skal leve op til. Selvfølgelig er GDPR her et centralt emne. 

Hvis modellen behandler personoplysninger, skal vi nemlig sikre, at vi ikke behandler mere data, end der er nødvendigt for at nå det formål, vi forfølger. Vi skal også beskytte individer mod misbrug af deres data og sikre, at de ikke bliver underlagt automatiserede beslutninger, der kan have afgørende juridisk eller økonomisk betydning for dem.

Men GDPR er ikke det eneste relevante regelsæt. Vi skal eksempelvis også huske ophavsret, markedsføringsret og dataetik. Derudover har diversitet, bias og klimabelastning fyldt i debatten. 

De forskellige regler – og etiske retningslinjer – skal fortolkes ud fra en teknologisk virkelighed under meget hurtig udvikling. Jura og hurtig teknologisk udvikling er desværre to ting, der ofte kolliderer. Men som Spider-Mans onkel Ben sagde: ”With great power comes great responsibility”, og AI har om noget great power. Så ansvar er noget, vi skal arbejde meget med ude i virksomhederne.

Det er enormt vigtigt, at vi husker, at selvom vi overlader opgaver og beslutninger til AI, er det stadig virksomhederne, der har ansvaret. Vi kan ikke proppe ansvaret hen på modellen. Menneskelige øjne og ledelsesinvolvering er derfor nødvendigt i alle faser af arbejdet med AI, uanset om vi taler om planlægning, udvikling, eller brug af AI.

Og det ansvar handler i høj grad også om at forstå og sikre overholdelse af en række komplekse love og regler. 

Gennemsigtighed som kerneprincip

Stort set alle relevante regelsæt kræver, at vi har en vis gennemsigtighed i vores systemer. Vi skal vide, hvor data kommer fra, og hvor det bliver sendt hen. Et af hovedprincipperne i GDPR er netop gennemsigtighed. Heraf udspringer en oplysningspligt, som betyder, at man bl.a. skal forklare dem, man behandler data om, hvordan og hvorfor man gør det. 

I arbejdet med den kommende AI Act bliver det nævnt, at mange AI-systemer er baseret på komplekse og ofte abstrakte forhold, som er svære for mennesker at gennemskue. Man taler om et Black Box-element. Vi er nemlig ikke altid i stand til at forstå eller forklare AI-modellernes “beslutningsprocesser”. Bl.a. for at adressere dette problem har forordningen også fokus på gennemsigtighed. 

Forordningen opdeler AI i forskellige kategorier ud fra en risikovurdering. Nogle typer AI forbydes helt, mens andre underlægges forskellige krav alt efter hvilke kategorier, de ender i. Der er bl.a. krav til teknisk dokumentation, datastyring og menneskeligt tilsyn. Skal systemet interagere med mennesker, skal det også være tydeligt for den enkelte, at de har med AI - f.eks en chatbot - at gøre. Bliver systemet kategoriseret som højrisiko, skal brugerne derudover kunne forstå og bruge outputtet, og der skal være en tydelig brugsanvisning med information om systemets ydeevner, formål og risici. 

Er 100 procent compliance en mulighed?

“At være compliant” er et evigt arbejde. Så snart man tror, man er ved at være der, opstår der noget nyt, man kan arbejde på. Så nej, jeg tror ikke, man kan være 100 pct. compliant. Men, man kan være tæt på. 

Når vi tager AI’s komplekse indre mekanismer i betragtning, kan arbejdet føles som en stor opgave - også for erfarne compliance-medarbejdere. Mange af os var måske ikke helt forberedte på AI-bølgen, så nu handler det om at prøve at følge med. 

Et par gode råd til at komme i gang:

• Forberedelse er afgørende

Forbered jer på, at compliance tager tid og nogle gange koster penge. Hvis jeres AI-løsninger skal leve op til reglerne, kræver det, at man forstår ikke bare lovgivningen, men også de systemer, man arbejder med.

Selvom vi ikke har en endelig AI Act endnu, kan man læse udkast og arbejdsdokumenter fra EU. Man kan også samle inspiration og viden andre steder. Man kan eksempelvis læne sig op ad OECD’s principper om AI eller holde øje med Datatilsynets vejledninger (de har for nylig udgivet en vejledning om AI i det offentlige, som man måske kan få noget ud af, også selvom man arbejder i det private).

• AI-mapping

Skab overblik over, hvilke løsninger I allerede bruger, og hvilke der kunne skabe reel værdi for jeres virksomhed, og tag herefter stilling til, hvilke regelsæt der er relevante i de enkelte use cases. Det er mere holdbart at komme ordentligt fra start, selvom det kan tage lidt længere tid, end at forsøge at lappe på lovgivningsmæssige huller senere.

• Sæt et hold

Ledelsen skal kunne tage ansvar for brugen eller udviklingen af AI i virksomheden. Men det kan også være nødvendigt at involvere flere aktører – har I eksempelvis ansatte med særlige kompetencer eller ideer i virksomheden? Overvej, om der er brug for uddannelse eller ansættelse af nye ressourcer. Involvér folk på tværs af afdelinger for at sikre, at I udnytter muligheder og har overblik over udfordringer.

• Risikovurdering

Når man tager nye teknologier i brug, bør man altid vurdere, hvilke risici det indebærer. Ikke kun for virksomheden, men også for andres rettigheder – både i henhold til GDPR og ophavsret og lignende – altså overtræder vi andres rettigheder, når vi putter data ind i systemet, eller når vi bruger outputtet? 

Elementer man kan lægge vægt på i sin risikovurdering:

• Hvilke data kommer ind i systemet? 

• Hvad bruger vi det til – f.eks til at omformulere hjemmesideindhold, eller fodrer vi modellen med kundedata for at træne den?

• Er der følsomme oplysninger involveret?

• Hvilken betydning kan outputtet få for personer eller virksomheder - enten økonomisk eller for deres omdømme?

Der er masser af måder til at arbejde med risikovurderinger. Man kan bruge et scoring matrix eller en mere kvalitativ vurdering. Uanset hvordan man gør, bør man have en risikovurdering på skrift.

• Lav interne retningslinjer

Hvad er virksomhedens holdning til AI, og hvordan skal medarbejderne forholde sig? Selv hvis din virksomhed ikke kigger ind i hverken at udvikle eller købe AI-løsninger, kan flere af medarbejderne måske allerede være godt i gang med ChatGPT eller lignende systemer. I bør derfor have retningslinjer for medarbejdernes brug af AI-systemer for at undgå potentielle brud på lovgivningen og beskyttelse af fortrolige oplysninger.

Elementer, der kan indgå i retningslinjerne:

• Regler om input: Må man bruge kundedata, fortrolige oplysninger osv.?

• Skal AI-systemer godkendes af virksomheden, før de tages i brug?

• Hvordan bruges outputtet? Mind medarbejderne om at tage aktivt stilling til outputtet. Med andre ord “bevar den kritiske sans”

• Til hvilke arbejdsopgaver og med hvilke formål må man bruge AI i virksomheden? 

• Use cases til de forskellige typer AI eller forskellige teams - måske må marketing andre ting, end HR eller produktudvikling?

• Dokumentation
Det kan virke omfattende, men det er nødvendigt at dokumentere brugen af AI-systemer, og hvordan I sikrer compliance med både lovgivning og interne retningslinjer. Samarbejd eventuelt med jeres leverandører for at få de nødvendige oplysninger.

Der er nok ingen lette smutveje til AI-compliance. Men man bliver som virksomhed nødt til at tage ansvar for de teknologier, man benytter. AI har potentiale til at forstærke eksisterende bias, til at overtræde ophavsrettigheder og krænke vores privatliv. Derfor er vi forpligtet til at forstå og overholde de juridiske aspekter af AI, så vi forhåbentlig kan udvikle og bruge systemer på en måde, der skaber værdi for samfundet og samtidig passer på os.