Hvordan sikre AI-compliance?
AI er en mulig game-changer for mange virksomheter. På liknende vis som GDPR, vil kommende AI forordning kunne få betydning for enkelte virksomheters handlingsrom. Dette gjelder særlig anvendelser av AI som innebærer særlig risiko (høy risiko) og anvendelser av generative AI. I mellomtiden må vi forholde oss til eksisterenderegelverk som setter skranker for hvordan teknologien kan implementeres og brukes. Blant skrankene finner vi for eksempel GDPR, regler om diskriminering, og avtalte handlingsregler, for eksempel konfidensialitetsavtaler.
Dersom AI brukes riktig og i tråd med regelverket, ligger alt til rette for at teknologien skal bidra til både verdiskaping, innovasjon og besparelser. Hvis man derimot kommer for sent i gang med å kartlegge de rettslige skrankene for bruk av AI, kan investeringer vise seg å være forspilte. I verste fall kan manglende AI-compliance også føre til omdømmetap, erstatningskrav og sanksjoner.
Alle virksomheter som i bruk AI bør allerede gjøre følgende:
- Kartlegge: Kartlegg virksomhetens behov for/ bruk av AI og undersøk regulatoriske krav
- Kartlegg virksomhetens områder der AI tas i bruk.
- Sørg for å dokumentere bruken av AI
- Undersøk eventuelle nåværende og kommende rettslige skranker for og krav som stilles til AI som virksomheten ønsker å benytte
- Dokumentere: Kartlegge regulatoriske risikoer i bruken av AI
- Gjør gode personvernvurderinger og sørg for GDPR-etterlevelse (eks. foreta DPIA, TIA eller informasjonssikkerhetsvurderinger og etablere nødvendige avtaler og annen dokumentasjon)
- Kartlegge om trening av AI-systemer ved bruk av eksisterende verk vil innebære en krenkelse av opphavsretten til disse verkene, eller om resultater/innhold generert ved bruk av AI krenker opphavsretten til eksisterende verk.
- Implementering: Sørg for gode rutiner og retningslinjer for AI
- Etabler klare roller og ansvar knyttet til AI-løsninger.
- Sørg for at det er på plass interne rutiner og retningslinjer som setter tydelige rammer for hvilke AI-systemer som er tillatt og under hvilke forutsetninger. Hvis AI skal brukes i tilknytning til ansatte og arbeidsliv er det grunn til særlig aktsomhet
- Oppdatere og vedlikeholde Følg med på utviklingen og gjør løpende tilpasninger
- Som med annet compliance-arbeid må virksomheten sørge for å følge med regelverksutviklingen, og sikre kontinuerlige vurderinger og forbedringer, herunder vurdere om det er behov for nye eller endrede tiltak eller rutiner.