Blir AI forordningen en tvangstrøye eller et nødvendig verktøy?

Dette innlegget er skrevet av Drenusha Suka og Elise Tschudi Dahl.

Det er ingen tvil om at årets “snakkis” har vært AI. Under sensommerens Arendalsuke hev vi fra Knowit Cybersecurity & Law oss også ut på dypet med å arrangere en paneldebatt sammen med Microsoft, Ruter, Aschehoug og Forbrukerrådet. AI toppet Arendalsukas som det mest diskuterte tema, og dekket alt fra det grunnleggende om AI, til samfunnsgevinster og cybersecurity utfordringer- og mye mer. Vår vinkling var å spørre om AI-forordningen vil bli en tvangstrøye eller et nødvendig verktøy?   

Kort om formål/bakgrunn, krav og risiko skalaen fra AI Forordningen  

AI forordningen er et verktøy som EU har foreslått som en del av deres Digital Decade strategi. Formålet med strategien er å skape felles og stabile rammeverk som kan legge til rette for teknologisk fremgang og gjøre europeiske virksomheter i stand til å være innovative og konkurransedyktige, uten at dette skal gå på bekostning av europeiske kjerneverdier. AI forordningen introduserer krav basert på hvilken risiko bruken av kunstig intelligens innebærer for liv og helse, sikkerhet og fundamentale rettigheter, og skiller mellom minimal, begrenset, høy og uakseptabel risiko.   

For all bruk av AI-systemer som anses å overstige begrenset risiko vil det stilles krav om åpenhet og transparens. Formålet med dette kravet er at brukerne skal forstå at de samhandler med et AI-system.  

Dette er et behov flere av paneldeltagerne trakk frem som sentralt. Vi må forstå hvordan kunstig intelligensen trenes, brukes og hvilket kildemateriale det bygger på for at vi skal kunne stole på resultatet.  Utfordringer knyttet til at det ofte benyttes datasett fra USA kan føre til output som ikke er egnet for norske forbrukere. Flere av paneldeltagerne nevnte behovet for norske språkmodeller for å bevare norsk kultur og verdier, men det ble også trukket frem at dette er kostbart og ressurskrevende. Uansett vil det være sentralt og velkomment med krav om åpenhet og transparens om hvordan resultatene (output) har blitt til.  

Et sentralt budskap fra forbrukerrådet var at vi ikke må glemme gjeldende regler og at vi allerede nå må begynne å jobbe med utfordringene etter gjeldende regelverk. På den andre siden ble det nevnt at omfattende regelverk kan gjøre det vanskelig for europeiske virksomheter å konkurrere med utenlandske virksomheter som ikke er underlagt like strenge krav.   

Til tross for disse utfordringen var paneldeltagerne enig om at selv om det ikke er et lovtomt område og vi har flere verktøy i verktøykassen, er det ønskelig og nødvendig med AI forordningen.  

Ett av de viktigste kravene i forordningen er at virksomheter skal vite hva som skjer i sitt “eget hjem” før de tar i bruk AI. Med dette krever forordningen at virksomheter risiko-vurderer sin bruk av AI på skalen uakseptabel, høy, begrenset eller minimal risiko med tanke på skade på innbyggere, bedrifter og/eller samfunnet.   

• I den ene enden av skalaen vil det bli forbud mot bruk av AI som anses å innebære en uakseptabel risiko.   
• I den andre enden av skalaen vil forordningen stille krav om åpenhet og transparens for bruk av AI som overstiger begrenset risiko. Formålet med dette kravet er at brukerne skal forstå at de samhandler med et AI-system.   

Hovedfokuset og de fleste kravene som forordningen setter, slik som krav til risikovurderinger, dokumentasjon, datastyring og kvalitetsstyring, gjelder AI systemer som anses å innebære høy risiko. Eksempler på høy risiko er AI som benyttes innenfor kritisk infrastruktur som kan sette innbyggernes liv og helse i fare, slik som transport, bruk av AI til utdanning som kan bestemme tilgangen til utdanning og bruk av AI i ansettelsesprosesser.  

EU kommisjonen skal også komme tilbake med tydeligere retningslinjer på hva slags bruk av AI som vil utgjøre høy risiko og hvordan man konkret måler dette.

Praktiske tips ved implementering av AI, med nåværende rammeverk   

I påvente av den nye reguleringen, ble det trukket frem i paneldebatten at det er det viktig å ikke glemme at vi allerede har regler som vil gjelde for utvikling og bruk av AI modeller/ og systemer. Med utgangspunkt i gjeldende regler kan vi allerede nå foreta noen vurderinger og starte prosessen mot forsvarlig bruk av AI i virksomheten. Derfor anbefaler vi å bruke nåværende rammeverk fra for eksempel GDPR (personvernforordningen) til å vurdere AI modeller og systemer- da disse i stor grad vil inkluderer store mengder data som kan direkte eller indirekte handle om et individ. I noen korte steg under:

1. Ledelsesbeslutning: på hvor AI satsningen skal være i organisasjonen, hvilken type formål satsningen skal oppnå og hvem som skal levere AI modellen (intern utvikling eller av en leverandør).
2. Personvernkonsekvens vurdering (DPIA): om AI tas i bruk revurder tiltakene som har blitt oppført og om de er tilstrekkelige. Om AI ikke tas i bruk, kan vurderingen brukes som et rammeverk til å detalj beskrive prosessen og AI-modellen. 
3. Behandlingsprotokollen: AI prosessene brukt kan også oppføres i en egen eller eksisterende behandlingsprotokoll for internt eller eksternt tilsynsformål.   
4. Erklæringer: avhengig av omfanget av bruken av AI vurder om beskrivelsene, risikoene og tiltakene skal bli oppført i en egen erklæring eller inkludert i den eksisterende personvernerklæringen.  
5. Uavhengig AI styret: avhengig av omfanget av AI satsningen og bruk i organisasjonen vurder om det er nødvendig med et eget styre eller ressurser til å være ansvarlige for etisk bruk og implementering av AI.  

Selv om det fortsatt er litt tid igjen, kan man ikke ligge på latsiden med tanke på å gjøre vurderinger av AI. Implementering og utvikling av AI-modeller er store prosjekter som tar mange år. Dermed vil kritiske vurderinger av AI i design fasen nå være avgjørende for å ikke gjøre store endringer om noen år når AI-forordningen blir iverksatt. Følger du nåværende regelverk som personvernregelverket, produktansvarslovgivning, forbrukerloven, menneskerettigheter og diskrimineringslover og vurderinger (som listet over) er du på god vei til å ikke bli overasket av de endelige kravene som kommer med AI-forordningen om noen år.