6 tips til retningslinjer for kunstig intelligens på arbeidsplassen 

Bør det egentlig være fritt frem å bruke ChatGPT på arbeidsplassen? Les hvorfor du bør ha på plass retningslinjer for bruk av kunstig intelligens – og seks tips til hva som bør med (Foto: Unsplash).

Har dere retningslinjer for bruk av KI på arbeidsplassen? – Fravær av slike, vil faktisk kunne anses uaktsomt, sier advokat Kristian Foss. 

🗒️ Kort oppsummert:

• Advokat Kristian Foss forteller deg hvorfor du bør ha retningslinjer for kunstig intelligens på arbeidsplassen.

• Vi har samlet seks punkter som bør med:

1. Definer klare regler om personopplysninger.

2. Gi opplæring i kildekritikk og sett kjøreregler.

3. Husk på at et menneske skal ha ansvaret: Vet dere hvem som har siste ord?

4. Dataene må kvalitetssikres før de brukes.

5. Inkluder tiltak for åpenhet og transparens.

6. Legg til rette for opptrening og kompetanse.

Selv om kunstig intelligens (KI) er en relativt ny teknologi, er det noe de aller fleste i norsk arbeidsliv bruker, om de så er klar over det eller ikke. 

Likevel: De aller færreste bedrifter har formaliserte regler eller retningslinjer for hvordan KI skal brukes på arbeidsplassen.

Bør det egentlig være helt fritt frem å bruke ChatGPT på jobb? Kan man sette grenser for hva det bør brukes til og ikke? Eller hva med digital markedsføring der KI brukes til å målrette annonsene?

Og finnes det egentlig noen juridiske rammer for KI som næringslivet må forholde seg til?

En mengde reguleringer

For å ta det siste spørsmålet først: 

– Det finnes flust av reguleringer. Og hvis det er en eller annen regel i lov eller forskrift virksomheten din bryter, så vil ledelsen faktisk fort anses, etter aksjeloven, å ha handlet uaktsomt, sier Kristian Foss, advokat og partner i Bull & Co Advokatfirma og  ekspert på personvern og teknologi-juss.

Unngå juridiske fallgruver med kunstig intelligens? Jobb med retningslinjene, er rådet fra Kristian Foss, advokat og partner i Bull & Co Advokatfirma (Foto: Bull & Co)

Han legger til: 

– Ifølge Høyesterett forutsettes uaktsomhet å foreligge ved regelbrudd, slik at styret og daglig leder kan holdes personlig ansvarlig. 

Arbeidsmiljøloven, markedsføringsloven og åndsverkloven er bare et par relevante eksempler på slike reguleringer. Også GDPR er stadig hyperaktuelt: Mange prosesser som har med kunstig intelligens å gjøre, involverer behandling av personopplysninger på en eller annen måte, inkludert profilering.  

Dessuten jobber EU med en hel rekke reguleringer, deriblant The AI Act – eller KI-forordningen på norsk. 

Det er altså mange potensielle fallgruver man som fremoverlent og nysgjerrig virksomhet kan havne i. 

– Derfor er det lurt å lage retningslinjer for bruk av KI i bedriften, råder Foss. 

Ikke bare er det lurt å gi medarbeidere en pekepinn for hva som er greit og ikke – så de kan utfolde seg og eksperimentere innenfor klare rammer. Gode retningslinjer gir også ledelsen trygghet i at virksomheten opererer på solid, juridisk grunn. 

– Fravær av slike, vil faktisk raskt kunne anses uaktsomt, legger Foss til. 

Hva må med i KI-retningslinjene? 

Under har vi samlet seks punkter det kan være lurt å inkludere når du skal utforme retningslinjer for bruk av kunstig intelligens.

Dette er ikke en universell fasit som gjelder for alle virksomheter, men noen konkrete «KI-vettregler» som kan hjelpe dere inn på riktig vei. 

For de aller fleste bedrifter vil det heller ikke være relevant å utvikle egne maskinlæringsmodeller. Derfor har vi for det meste brukt eksempler som ChatGPT og språkmodeller for å illustrere poengene. 

1. Definer klare regler om personopplysninger 

Pass på hvilke opplysninger du deler med et kunstig intelligent system. 

Det innebærer for det første at du må ivareta personvern i henhold til GDPR. Du kan for eksempel ikke behandle personopplysninger uten et behandlingsgrunnlag, og behandlingen skal begrenses til kun det som er strengt nødvendig for formålet. 

Det betyr også at det kan være ulovlig å dele personopplysninger med en tjeneste som ChatGPT.

For det andre må du også være forsiktig med hva du deler av bedriftssensitiv informasjon. 

For eksempel er det ikke sikkert det er lurt å sparre med ChatGPT om en helt ny produktidé som ikke er lansert på markedet. Du er nemlig ikke sikret mot at dette havner på avveie.

For å fortsette med ChatGPT som et eksempel, la oss se på en hypotetisk problemstilling. Her kan det tenkes at de to første punktene er godt innenfor, mens de to siste bryter med virksomhetens retningslinjer for hva de kan dele av opplysninger: 

  1. Skriv et tilbud på å utvikle en strategi for en potensiell kunde 
  2. Skriv et tilbud på å utvikle en strategi for et selskap som produserer batterier i et internasjonalt marked 
  3. Skriv et tilbud til *energiselskap*, som skal ekspandere i det tyske energimarkedet
  4. Skriv et tilbud fra *konsulenthus* til *batteriselskap* om utvikling av deres vekststrategi for å entre det tyske batterimarkedet med fokus på bilindustrien

2. Gi opplæring i kildekritikk og sett kjøreregler 

Mange er fullstendig klar over dette punktet allerede, men det kan likevel ikke poengteres godt nok: Stol aldri fullt og helt på et kunstig intelligent verktøys anbefalinger eller resultater. 

Det er særlig viktig i tilfeller hvor man tar i bruk generativ kunstig intelligens som ChatGPT for tekst og GitHub Copilot for kodeassistanse. 

Begge tjenestene er bygget på store språkmodeller, altså modeller som trent opp til å generere og forstå tekst, basert på enorme mengder datamateriale. Verktøyene er helt fantastiske til å etterligne språk, men fordi de er programmert til å vekte syntaks, retorikk og andre språklige parametere over fakta, bør de aldri brukes som en kilde til kunnskap. 

Derfor: Vær kildekritisk og etterrettelig. 

3. Husk på at et menneske skal ha ansvaret: Vet dere hvem som har siste ord? 

Når nettaviser som VG bruker en språkmodell for å generere oppsummeringer av artiklene sine, er det til syvende og sist en redaktør som har ansvaret for hva som blir publisert. 

Skulle språkmodellen finne på å spytte ut setningen «Jonas Gahr Støre deltar i Love Island UK: – Jeg er her for å finne kjærligheten», så kan ikke redaktøren peke på algoritmen og si at det var dens skyld hvis det havner på trykk. 

På samme måte bør det i en bedrift deles ut ansvarsområder for oppsyn og kontroll over kunstig intelligente systemer, selv i prosesser som i teorien kan være fullt ut automatiserte. 

Konsekvensene av en merkelig KI-generert setning i en nettavis er kanskje ikke så store. Verre kan det bli om man fullt og helt gir en maskinlæringsmodell ansvaret for å vurdere jobbsøknader. Det kan for eksempel være problemer både med datakvaliteten og instruksjonene maskinen jobber med, som gir skjeve og (straffbart) diskriminerende resultater. 

Prøv derfor å kartlegge prosessene, systemene og verktøyene dere tar i bruk som involverer KI. Hvem på arbeidsplassen har ansvaret for resultatene? I møte med nye verktøy, hvem skal sørge for at de brukes på riktig måte? 

4. Dataene må kvalitetssikres før de brukes

Et kunstig intelligent system er ikke bedre enn dataene man mater det med. Er datagrunnlaget svakt, mangelfullt, inkonsistent eller utdatert? Da vil dette også speiles i resultatet. Som man sier på engelsk: Garbage in, garbage out

For eksempel er det ikke sikkert at et amerikansk regnskapssystem – bygget på en maskinlæringsmodell, og trent på amerikanske datasett – uten videre er noe dere bør ta i bruk, når det er utviklet på et sted som ikke følger de samme retningslinjene for ansvarlig behandling av persondata. 

Det er også viktig å være obs på hvorvidt deres interne data er lagret, samlet, strukturert og klargjort for bearbeidelse på en god måte. Er historiske finansielle data justert for inflasjon? Har dere filtrert ut irrelevant innhold fra omtale i sosiale medier og ellers på nettet? 

Det er først når dataene deres er kvalitetssikret og tilgjengeliggjort at man virkelig er klare for å ta i bruk de mulighetene som finnes i skytjenester og for å tilpasse KI-verktøy for bruk i egen virksomhet. 

Dette punktet overlapper i stor grad med det som gjerne kalles for å ha en datastrategi, altså hvordan man skal ta i bruk interne og eksterne data for å skape verdi. Men fordi data er en så sentral del av hvordan kunstig intelligens fungerer, bør bevisst omgang med data også ligge til grunn for hva dere skal – og ikke skal – bruke kunstig intelligens til. 

5. Inkluder tiltak for åpenhet og transparens

Tilbake til eksempelet med VG: De er åpne om hvordan de bruker kunstig intelligens i forbindelse med journalistikk. Flere mediehus er på samme måte åpne om strategier og interne retningslinjer for hvordan de tar i bruk – eller ikke tar i bruk – språkmodeller, KI-genererte bilder og lignende. 

Dette er viktig for mediene, fordi de er avhengige av tillit. Skulle de blitt avslørt i å bruke en språkmodell, uten å på forhånd ha avklart med leserne om når og hvordan denne ble brukt, kunne det hatt store konsekvenser for medienes troverdighet. 

Tenk selv på hvordan dere jobber med åpenhet og transparens og hva det betyr for virksomheten og omdømmet deres.

Spiller dere med åpne kort? Lar dere kunder, brukere eller samarbeidspartnere være klar over i hvilken grad dere tar i bruk kunstig intelligente verktøy, og hvordan de berøres? 

Åpenhet handler også om hvordan dere snakker om kunstig intelligens internt på arbeidsplassen. Dere bør tenke på hvordan dere kan legge til rette for åpne kommunikasjonslinjer og for tilbakemeldinger og hjelp. På en arbeidsplass bør man aldri være i tvil om hvem man skal spørre, om man har et spørsmål knyttet til kunstig intelligens. 

6. Legg til rette for opptrening og kompetanse

Har dere satt av tid og ressurser til å lære om og eksperimentere med ny teknologi? Høyere kompetanse blant medarbeidere er blant de viktigste forutsetningene for ansvarlig og god bruk av kunstig intelligens. 

Dere bør også formulere et utgangspunkt for et «kompetansekrav», altså kunnskap visse medarbeidere må ha for å jobbe med spesifikke systemer eller verktøy. Kanskje det kan være hensiktsmessig å etablere grader av sertifiseringer for visse type verktøy, for eksempel at man må vise til et bestått kursbevis for å bruke ChatGPT? 

Her kan dere blant annet la dere inspirere av sjekklisten som «Future of Privacy Forum» har skrevet for retningslinjer for bruk av generativ kunstig intelligens i organisasjoner. 

Handler ikke bare om det juridiske

Som nevnt finnes det ikke en universell oppskrift på hvordan retningslinjer for bruk av kunstig intelligens på arbeidsplassen skal se ut. Dette er heller ikke på noen måte en uttømmende liste over alt det er viktig å være klar over i tilknytning til bruk av KI.

Dette er likevel en pekepinn på noen ting dere bør begynne å tenke på, og spørsmål dere bør stille underveis i en utarbeidelse av interne føringer. 

Likevel bør det ikke være slik at all eksperimentering og bruk av kunstig intelligens bør forbys eller bare behandles med silkehansker. Da vil man risikere å havne bakpå, potensielt tape terreng til konkurrenter – og ende opp med å tilby svakere produkter og tjenester. 

Å utforme retningslinjer for bruk av ny teknologi handler derfor ikke bare om juridiske spørsmål. Ideelt sett bør det også kunne fungere som en rettesnor for hvordan man best mulig kan utnytte gevinstpotensialet som kommer med automatisering og KI-verktøy. 

Klarer dere å forene juridiske og etiske spørsmål med et veikart som rigger dere for fremoverlent bruk av kunstig intelligens – så er dere på god vei!

Vil du lære mer om kunstig intelligens? Besøk vår temaside!

Tema

Kunstig intelligens

Hva er kunstig intelligens og maskinlæring, og hvordan brukes det i arbeidslivet? Her er en kort innføring og alt vårt læringsinnhold på området.