KI og produktutvikling: Dette er lovene og reglene du bør vite om
Hvilke lover og reguleringer om kunstig intelligens er relevante for produktutviklere, oppstartsbedrifter, gründere og innovatører? Vi spurte en advokat:
Kunstig intelligens har tatt arbeidslivet med storm. Mange bedrifter bruker teknologien på ulike måter for å bli mer effektive og innovative. Andre er mer usikre på hvordan man kan dra nytte av KI i hverdagen.
Hvordan er egentlig det juridiske landskapet når det kommer til produktutviklere og gründere?
Dette er et komplekst område, og dessverre finnes det få klare og enkle svar. Men for å bli litt klokere, tok vi kontakt med en ekspert, nemlig Christian Bendiksen fra Advokatfirmaet Bull.
Hva er det viktigste produktutviklere og gründere må vite om lover og reguleringer innen KI?
– Det viktigste man må vite, er at dersom man tar kunstig intelligens i bruk, så reguleres konsekvensene fullt ut av gjeldende norsk lov, sier Bendiksen.
Det vesentlige er med andre ord ikke hva slags teknologi du bruker, men hva bruken av den fører til.
For eksempel er det ikke lov å selge droner som kan fly rett inn i folkemengder, hvis det er en fare for at kameraene som styrer dronen ikke ser forskjell på mennesker og skyer. Det reguleres av produktansvarsloven.
– Og hvis du innfører en forsikringsberegningsmodell som ikke gir melaninrike forsikring, er det en overtredelse av diskrimineringsloven og muligens også straffelov – helt uavhengig av om det er et menneske eller en maskin som skaper resultatet, legger han til.
Kommer AI Act til å ramme norske produktutviklere?
Kanskje du har hørt snakk om noe som heter AI Act? Enkelt sagt er det en lov som skal regulere kunstig intelligens.
Om loven rammer norske produktutviklere, kommer enkelt helt an på hva slags produkter man produserer.
– AI Act er utformet etter en risikobasert modell: De skiller mellom uakseptabel, høy, begrenset og lav risiko. Lager man produkter som er av høy risiko, så stilles det krav til datakvalitet, dokumentasjon, sporbarhet, åpenhet, menneskelig tilsyn, nøyaktighet og robusthet.
Om produktet er av begrenset risiko stilles det kun krav om åpenhet, altså at det skal være tydelig for brukere at de kommuniserer med et KI-system.
Systemer med liten risiko er ikke underlagt spesifikke krav, men tilbydere oppfordres til å følge frivillige etiske retningslinjer. Man tror det fleste norske virksomheters bruk av KI vil havne i denne kategorien.
– Husk at AI Act, og andre fordringer og direktiver fra EU kommer i tillegg til, ikke i stedet for, gjeldende lov, poengterer Bendiksen.
Hva med GDPR?
GDPR er et lovverk som er til for å beskytte våre personopplysninger. Forordningen inneholder to begreper som er direkte relatert til kunstig intelligens. Det ene er «automatisert behandling» og det andre er «ny teknologi».
– Helt kort sier GDPR at alle har en rett til å ikke være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, dersom denne avgjørelsen «i betydelig grad påvirker vedkommende», forklarer Bendiksen.
Du skal derfor være sikker på at du har et solid rettslig grunnlag for å utvikle produkter som tar autonome beslutninger eller systematiserer og kartlegger opplysninger om enkeltpersoner, såkalt profilering.
Ifølge GDPR må det også foretas en vurdering av konsekvenser, dersom bruk av ny teknologi vil medføre en høy risiko for fysiske personers rettigheter og friheter.
Hva kan produktutviklere og oppstartsvirksomheter gjøre for å være i samsvar med gjeldende lover og reguleringer?
– Det viktigste man kan gjøre er å kartlegge hvilke retningslinjer man må forholde seg til, sier Bendiksen.
Den jobben innebærer også å forstå hvilke reguleringer du ikke trenger å tenke på. Det kan for eksempel være svært nyttig å vite om din bruk av kunstig intelligens er å anse som av lavrisiko i henhold til AI Act. Da vil ikke forordningen stå i veien for innovasjon.
Dessuten er det nyttig å vite hvilke samsvarskrav man slipper å bruke tid og ressurser på.
– Hvis man utvikler modeller og aldri kommer til å trene på persondata, er det ingen grunn til å legge opp slettingsrutiner og innebygd personvern, sier Bendiksen.
Han tipser også om å samkjøre eventuelle reguleringskrav, slik at man slipper å jobbe dobbelt:
– Hvis man planlegger å bruke personopplysninger til å trene et KI-system til bruk innen HR eller utdanning, bør man samkjøre kravene til høyrisikosystemer i AI Act med kravene til privacy by design i GDPR, slik at man gjør jobben riktig første gang, og bare én gang.
Sørg for å ha en datastrategi
Mange bedrifter har IT-strategier og stadig flere utformer strategier for hvordan de bruker kunstig intelligens.
Har man KI-ambisjoner, mener Bendiksen det er vel så viktig med en god datastrategi:
– Man må vite hva slags data som trengs for å trene systemet og hvor man skal hente dem, sier han.
– Hvis det er tredjepartsleverandører, bør man sjekke hvilke rettigheter man har til å utnytte og lagre dataene, samt hvilke ansvarsfraskrivelser leverandøren har tatt til datakvaliteten og rettighetsposisjonene.
– Videre bør man også være oppmerksom på rettighetene brukerne av systemet vil få til innsamlede data i EUs Data Act som ble vedtatt rett før jul og som vil tre i kraft i september neste år. Disse vurderingene bør inn i en helhetlig datastrategi, sier han.
