Bildet over er laget med Midjourney. Denne saken er ment å være informativ og gir ikke juridiske råd.
Steg 1: Få en oversikt over risikoene
Før du implementerer kunstig intelligens i virksomheten, må du kjenne til risikoene.
AI lærer fra dataene dine
Det du skriver eller limer inn i chatboter brukes til å trene opp AI. Hvis tjenesten eies av et eksternt selskap, kan det by på problemer.
AI-en kan gi informasjonen videre til andre brukere.
Chatboter kan lekke:
- Bedriftshemmeligheter.
- Immaterielle rettigheter.
- Personopplysninger og kundedata.
Derfor er det viktig å understreke at chatboter kan være en risiko for bedriften. Er man uheldig kan man bryte personopplysningsloven og GDPR.
Dette har blant annet Datatilsynet advart mot.1 Datatilsynet
Diskriminering og bias
Alle AI-systemer har bias.
De analyserer og lærer fra dataene du laster opp. Om dataene har fordommer, vil AI-en lære de samme fordommene.
Den vil foretrekke mannlige leger og kvinnelige lærere.
I 2023 undersøkte Bloomberg hvordan AI kobler kjønn til ulike yrker.2 Bloomberg
Som du kan se hadde AI-en klare preferanser:
Innen HR er det spesielt viktig at AI-systemene er etiske. De kan i teorien brukes til å vurdere jobbsøkere.
Dette stiller enda høyere krav til personvern, bias og etikk. Risikoen for diskriminering er mye høyere.
Opphavsrett: Eier dere egentlig innholdet?
Ifølge åndsverkloven kan ikke en maskin få eller gi opphavsrett. Bare mennesker som har lagt inn en original, skapende innsats kan få opphavsrett til et verk.
Dette understøttes av Patentstyret, opphavsrettsorganisasjonen BONO, flere norske advokater og amerikansk rettspraksis.
Hvorfor er opphavsrett en risiko?
La oss si at bedriften deres produserer tekst eller bilder med generativ AI.
Selv om dere får kommersielle rettigheter fra tjenesten, vil dere ikke kunne stoppe andre fra å kopiere innholdet.
Faktafeil og hallusinasjoner
Chatboter som ChatGPT, Bing og Gemini har en tendens til å dikte opp svar.
Dette gjør de ofte når de mangler kunnskap om noe. Da fyller de inn tomrommet med det de tror passer.
Det er også kjent som en AI-hallusinasjon. Om man er uheldig kan det skape problemer for dere hvis dere bruker innhold med faktafeil.
Omdømme
Når vi først er inne på AI-hallusinasjoner, er det flaut å legge ut innhold med feil på sosiale medier eller på nettsiden deres.
Da er vi inne på omdømmerisiko.
Bruker dere virkelighetsnære AI-bilder eller tekster som åpenbart er skrevet med AI? Det kan trekke ned troverdigheten blant deres målgrupper.
Søksmål
Søksmål er en risiko fordi mange AI-verktøy er trent på vernede åndsverk.
Eksempelvis har OpenAI og Microsoft flere pågående søksmål mot seg.3 Reuters 1 / Reuters 2
AI-verktøy kan i teorien bryte opphavsretten når de produserer tekst, video, bilder, stemmer, og lignende.
Derfor burde dere gjennomføre en risikovurdering for hvert AI-verktøy.
Les mer om temaet: 7 risikoer ved å ta i bruk AI på jobb.
Steg 2: Kjenn til lover, regler og retningslinjer
Før dere skriver AI-retningslinjene er det nødvendig å sette seg inn i relevante lover, regler og retningslinjer.
Norske lover
I Norge finnes det foreløpig ingen AI-lov, men den kommer snart.4 Digi
I mellomtiden finnes det flere relevante lover og forskrifter som legger føringer for hva dere kan gjøre.
For å nevne noen: åndsverkloven, arbeidsmiljøloven, markedsføringsloven og personopplysningsloven.
Europeiske lover
GDPR («personvernforordningen»)
GDPR stiller krav til behandling av personopplysninger og ivaretakelse av personvernet.5 EU-kommisjonen
Dersom AI skal håndtere sensitive data, må man sørge for at dette skjer på en sikker og lovlig måte.
GDPR stiller også krav til hvor data kan lagres, rent geografisk.
Datatilsynet melder at databehandleravtaler er nødvendige om man bruker underleverandører.6 Datatilsynet
AI Act («KI-forordningen»)
Den europeiske KI-forordningen er rett rundt hjørnet.
Denne loven innfører blant annet forbud mot visse former for «høyrisiko-AI», for eksempel ansiktsgjenkjenning. Videre pålegges det strenge krav til menneskelig tilsyn.
Ifølge Europaparlamentet må generativ AI som ChatGPT oppfylle flere krav.7 EU
Et av kravene er at innhold som lages med generativ AI, må merkes.
Men det stilles også krav til at AI-systemer kategoriseres etter risiko. Alt dette må din bedrift følge med på.
Retningslinjene til AI-tjenestene
Som en del av risikovurderingen, anbefales det å lese retningslinjene til AI-tjenestene.
Se etter hvor dataene lagres, hva de brukes til, hvem de deles med, og hvorvidt AI-en kan lære fra de.
De fleste AI-tjenestene bruker dataene dine til å forbedre tjenesten eller lære opp AI-en. Det skriver de også i retningslinjene sine.
«We can use your Content worldwide to provide, maintain, develop, and improve our Services (…)»
– OpenAI / ChatGPT8 European Terms of Use
Steg 3: Kartlegg behov, policyer og kompetanse
Hvilke behov har dere?
Start med å kartlegge hvilke behov dere har som AI-løsninger kan dekke.
Dette kan for eksempel være:
- Automatisering av repetitive oppgaver
- Bedre og raskere kundeservice
- Mer presise analyser
Snakk med avdelingsledere og ansatte for å få innsikt i hvilke muligheter som finnes.
Hvilke policyer har dere?
Deretter må du undersøke hvilke retningslinjer og policyer dere har.
Sjekk for eksempel data-, personvern- og IP-policyer. Etiske retningslinjer er også relevante.
Noen spørsmål å stille:
- Hvordan påvirker policyene innsamling og bruk av data?
- Hvilke muligheter og begrensninger medfører retningslinjene?
- Hvordan godkjenner vi AI-systemer i henhold til retningslinjene?
Gjennomgangen vil vise om noe må oppdateres før AI kan implementeres.
Hvilke kompetanse har dere?
For å lykkes med AI trenger man riktig kompetanse.
Derfor er det viktig å finne ut hva slags kunnskap som allerede finnes internt, og hva som mangler.
Noen spørsmål å stille seg:
- Har noen erfaring med å jobbe med AI?
- Er noen interessert i å lære mer om temaet?
- Kan man sette ned en arbeidsgruppe?
Om man har motiverte ansatte med IT- eller juridisk kompetanse, kan de danne en arbeidsgruppe som legger frem forslag til nye retningslinjer.
Steg 4: Skriv retningslinjer for AI
Her er forslag til punkter som kan inngå i AI-retningslinjene:
Krav til kompetanse og kunnskap:
For å bruke AI-verktøy, bør brukerne ha kunnskap om risikoene nevnt i starten av artikkelen.
Sensitiv informasjon:
Gjør rede for hva som er sensitiv informasjon og hvordan den (ikke) kan brukes. Tenk på personopplysninger, IPR og forretningshemmeligheter.
En hovedregel kan være at bare ikke-sensitiv, offentlig tilgjengelig informasjon kan mates inn i chatboter.
En annen løsning er å bruke Enterprise-chatboter med egne databehandleravtaler.
Da brukes ikke dataene til å trene opp AI-en. Hvis man gjør det, kan man i teorien legge inn sensitiv informasjon. Men les alltid retningslinjene og avtalene nøye. Forhold dere til gjeldende lovverk.
Merking av innhold:
AI-innhold bør merkes:
- Fotorealistiske bilder
- Tekst som er skrevet med AI
- Annet
Faktasjekk og kildekritikk:
AI hallusinerer og bør derfor faktasjekkes før bruk.
Kvalitetssikring:
Utover rene fakta, bør innholdet kvalitetssjekkes opp mot standardene dere har for godt innhold.
Følg bedriftens policyer:
Det kan være nyttig å spesifisere at all bruk av AI må foregå i henhold til bedriftens retningslinjer.
Kopiering og liming:
Spesifiser om det er lov å kopiere og lime tekster fra AI. Vær spesielt obs på juridiske dokumenter.
Lisensiert innhold:
Noen aviser, som E24, skriver at de «publiserer kun AI-genererte bilder og/eller videoer fra modeller som er trent på lisensiert innhold, materiale uten opphavsrett og/eller som ellers kan brukes fritt.» – E249 E24 AI-retningslinjer
Her bør dere ta en runde internt på hvilken linje dere vil legge dere på. Hvis man skal unngå tjenester som er i gråsonen, så er helt klart ChatGPT uaktuelt. Det er også Midjourney, og alle de andre modellene som er trent på vernede verk.
Snart vil NorwAI offentliggjøre NorLLM som er åpne og trygge modeller. De skal ikke være trent på innhold som er beskyttet av opphavsrett.
Risikovurdering:
Det burde stå noen ord hvordan dere skal gjennomføre en risikovurdering.
Risikovurderingen ligger til grunn for hvilke AI-verktøy og plugins dere kan bruke.
Lag gjerne en sjekkliste for hva som må være på plass. For eksempel:
- Er det mulig å få på plass databehandleravtaler?
- Overholder tjenesten GDPR?
- Hva står i tjenestens retningslinjer?
- Er det sikkerhetsrisikoer knyttet til tjenesten eller selskapet?
- Har vi tillit til leverandøren? Er selskapet troverdig?
Steg 5: Gi opplæring og følg opp
Alle ansatte som bruker eller påvirkes av AI bør få opplæring. Involver gjerne de ansatte i et tidlig stadie.
Opplæringen bør tilpasses ulike roller og avdelinger. Ledere trenger forståelse for AI på et strategisk nivå. Utviklere må kunne det tekniske. Ansatte flest bør få innsikt i hvordan chatboter fungerer.
Det som er felles for alle, er at de bør kjenne til risikoene.
Opplæringen kan eksempelvis dekke:
- Hva er AI og hvordan fungerer det?
- Hvordan vil vi bruke AI i vår bedrift?
- Risikoer med AI.
- Kritisk tenkning og kildekritikk
- Om bedriftens nye retningslinjer for kunstig intelligens.