Blir AI Act det nye GDPR?
Etter at EU-parlamentet vedtok AI forordningen («AI Act») i sommer har vi ventet i spenning på når forordningen endelig skulle bli vedtatt. Trilogforhandlingene pågår mellom EU-kommisjonen, EU-parlamentet og rådet, og med litt over to måneder igjen av året så er det fortsatt ikke usannsynlig at forordningen kan komme på plass innen utløpet av 2023. Deretter er det antatt å ta ytterligere to år før den endelig trer i kraft, hvilket betyr at 2026 kan bli et nytt år tilsvarende det vi fikk i 2018 med GDPR. For AI Act kan veldig fort bli et nytt «GDPR»-regime for virksomheter i Europa.
At GDPR har truffet alle brukere og virksomheter innad i EU/EØS er hevet over enhver tvil. Brukere har rettigheter og friheter for sitt personvern etter regelverket, og virksomheter som behandler personopplysninger har fått plikter etter GDPR som er viktig å følge. Konsekvensene ved brudd har vi også sett har rammet. Samtidig har GDPR gitt en form for regelverkstretthet; hvilket forteller oss at der personvern var noe for de spesielt interesserte før 2018, så er det i dag et langt større allemannseie. Kan AI Act få samme effekt når det en gang trer i kraft?
Spørsmålet om det er grunnlag for å sette noen likhetstrekk mellom AI Act og GDPR er interessant. Jeg mener det er grunn til å stille spørsmålet, og at det noen likhetstrekk vi bør merke oss. Samtidig. Så mener jeg også at det er noen viktige forskjeller som vi bør merke oss.
Begge regelverk er basert på en risikobasert tilnærming hvor virksomheter blir nødt til å gjennomføre risikovurderinger av sine IT-løsninger med AI-komponenter. Bruk av slike løsninger vil måtte bli en del av internkontrollen i virksomhetene og det innebærer at virksomhetene må ta et aktivt grep for å sikre god, etisk og riktig bruk av IT-løsninger med AI-komponenter. Det gjelder både overfor virksomheten, ansatte eller ved bruk overfor kunder som kan bli gjenstand for bruk av AI for å sikre effektivitet og bedre kvalitet. For å kunne gjennomføre risikovurderinger vil virksomhetene ha behov for innsyn og dokumentasjon av AI-løsningene, som igjen vil innebære et behov for samhandling mellom leverandører av slike løsninger og deres kunder. Dette kan samsvare med forholdet mellom databehandler og behandlingsansvarlig etter GDPR, slik som behov for bistand fra leverandøren. Ellers vil ikke kunden kunne vurdere om dennes bruk av løsningen innebærer at løsningen øker risikonivået.
Merk at jeg bruker begrepet IT-løsninger med AI-komponenter. Det er fordi min tese er at dagens IT-løsninger i stadig større grad vil bruke AI-komponenter eller AI-løsninger som en del av den totale løsningen. Det kan eksempelvis være sikkerhetskomponenter eller generative løsninger som kobles sammen med IT-løsningen eller plattformen. Dette vil den enkelte bruker, eller kunde, måtte kjenne til og kunne gjøre rede for. Derigjennom kommer også en informasjonsplikt på brukerne eller kundene, blant annet for å legge til rette for sikker bruk.
Det er også noen vesentlige skillelinjer mellom GDPR og AI Act. Den ene er naturligvis at dette er to regelverk som skal fungere i harmoni. Der den ene skal ivareta personvernet, også når personopplysningene brukes i AI-løsningen. Derigjennom blir det naturlig å gjøre vurderinger etter GDPR, slik som DPIA etter GDPR artikkel 30 eller vurderinger etter artikkel 22. Den andre, AI Act, skal derimot ivareta kontrollen og risikoen ved bruk av autonome IT-løsninger, slik at disse ikke løper løpsk. Vurderingene kan innebære at tilbyder leverer en løsning med lav-risiko AI, men løsningen ved bruk hos kunde og dennes data medfører at risikoen øker og blir til en høy-risiko-løsningen som må registreres og CE-merkes. Hvordan regelverket skal praktiseres her vil bli spennende å følge.
Og, dette leder meg til den aller vesentligste risikoen for AI Act og skillet mot GDPR. For før 2018, hadde vi i hele Europa hatt et personvernregelverk basert på personverndirektivet fra 1995. For Norges del fantes det en personopplysningslov som gav tilsvarende rettigheter og plikter som vi fikk med GDPR, dog ikke med like stor trussel om bøter. Og, før den tid var det en personregisterlov fra 1970-tallet. Ikke minst hadde vi allerede et tilsyn som ble opprettet i 1980. Kompetansen til å veilede og føre tilsyn var tilstede lenge før vi fikk GDPR i 2018, nesten 40 år senere. For AI Act vil regelverket være nytt for både offentlige myndigheter og ikke minst virksomhetene. Vi får håpe det kommer overgangsregler som gir virksomhetene tid til å tilpasse seg, samt tid for myndighetene til å etablere et godt AI-tilsyn som kan yte bistand til både virksomheter og til relevante aktører som sertifiseringsorganer. Ellers så kan AI Act komme før jul som julekvelden på kjerringa.
Hva kan du og din virksomhet allerede begynne å vurdere:
- Retningslinje for hvordan AI-løsninger skal brukes i din virksomhet av de ansatte:
Vurder om du trenger en retningslinje eller policy for hvordan virksomhetens ansatte skal kunne benytte AI-løsninger, slik som ChatGPT. Det er viktig å ha kontroll og gi informasjon til de ansatte slik at de ikke deler taushetsbelagt informasjon, immaterielle rettigheter eller personopplysninger med en tredjepart som ChatGPT uten at det er trygt.
- Retningslinje for hvordan implementere AI-løsninger i virksomheten:
Vurder om det er behov for å lage retningslinjer eller endre eksisterende retningslinjer for hvordan IT-løsninger med AI-komponenter skal tas i bruk. Hvordan skal dere vurdere risikoen med tanke på eksempelvis sikkerhet eller for å sikre etisk forsvarlig bruk av slike løsninger overfor kunder?
- Vurder hvordan bruk av AI-løsninger treffer eksisterende personvernregler i virksomheten?
Bruk av AI-løsninger vil ofte treffe bruk av personopplysninger. Sjekk at det ikke er noe som faller mellom to stoler og at personvernrisikoen er vurdert.
- Hvordan sikrer dere menneskelig overvåkning ved bruk av AI-løsninger og hvordan informeres det om bruk av slike løsninger?
Og til slutt for dere som står ansvarlig for innkjøp av slike løsninger:
- Vurder hvilke krav dere stiller til leverandører av løsninger med AI for å sikre at dere kan oppfylle AI Act.
Det er alltids vanskeligere og mer kostbart å stille kravene etter at kontrakter er inngått. Ta gjerne kontakt om du ønsker vår sjekkliste for forhold som kan være nyttig å ta med i en kravsliste for en IT-anskaffelse med AI-løsninger.
- Hvordan bør kontrakter for kjøp av AI-løsninger regulere risikoen for bruk av AI?
Her vil det måtte gjøres vurderinger knyttet til om leverandøren skal ha en risiko for at en løsning ved bruk hos kunden plutselig må sertifiseres, eller om denne risikoen skal forbli alene hos kunden.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.
Flere nyheter
