KI-forordningen er vedtatt: Vår sjekkliste til deg som leder

Kunstig intelligens (KI) revolusjonerer måten vi jobber og lever på, men hvordan kan din virksomhet dra nytte av denne teknologien samtidig som dere overholder nye regelverk? Og hvordan kan du omdanne KI til reell forretningsverdi? I dette blogginnlegget gir vi deg en praktisk sjekkliste og konkrete tiltak som hjelper deg å navigere i KI-regelverket og sikre at din virksomhet er godt forberedt på fremtidens krav. 

Forfattere: Dan Vigeland, Henning Rokling. Elise Tschudi Dahl, Drenusha Suka, Silje Bertheussen, Frida Strøm Anthonisen

Kunstig intelligens har kommet for å bli 

Kunstig intelligens (KI) har tatt verden med storm. Denne teknologien har potensiale til å transformere måten vi jobber og lever på, og bidra til økt effektivitet, produktivitet og nøyaktighet. For de fleste virksomheter er spørsmålet: hvordan kan vi omdanne denne kreative farten til reell forretningsverdi samtidig som vi ivaretar sikkerhet, personvern og nye krav til bruk med det nye KI-regelverket?   

Risiko er uunngåelig, men med riktig håndtering kan det gi muligheter til vekst. De som har innsikt i risikoene sine, vil kunne navigere bedre, ta raske og riktige beslutninger, og dermed akselerere verdiskapningen i virksomheten. I dette innlegget skal vi dykke dypere ned i kravene fra KI-regelverket og gi deg noen konkrete tiltak du som leder i en virksomhet kan ta med deg. 

Risikokategoriene fra KI-regelverket du som leder bør kjenne til 

Det har vært mye oppmerksomhet rundt EUs regelverk for KI det siste året. Det er viktig å være klar over at hvilke krav som stilles avhenger av hvilken risikokategori KI-systemet tilhører; jo høyere risiko, desto strengere krav. Risikokategoriene kan grovt deles opp slik:  

• Uakseptabel risiko: KI-systemene som utgjør en klar trussel mot sikkerheten og grunnleggende rettigheter, forbys etter KI-regelverket. Her lister regelverket opp en rekke brukstilfeller som anses å innebære slik risiko. 

• Høy risiko: Risikokategorien som medfører høy risiko gjelder KI-systemer som er omfattet av EUs produktsikkerhetslovgivning og krever tredjeparts samsvarsvurdering, f.eks. medisinsk utstyr, leker, motorvogner og luftfart. I tillegg omfatter kategorien bruk innenfor flere samfunnskritiske områder som kritisk infrastruktur som kan sette innbyggernes liv og helse i fare (eksempelvis transport), bruk av KI til utdanning som kan bestemme tilgangen til utdanning, og bruk av KI i ansettelsesprosesser for å bestemme utfallet.  Det er særlig systemene i denne kategorien hvor KI-regelverket stiller krav. Kravene innebærer blant annet: 
  • risikovurderinger
  • dokumentasjon
  • datastyring
  • menneskelig tilsyn
  • kvalitetstyring
  • samsvarsvurdering
  • CE-merking

• Begrenset risiko: KI-systemer som er ment å samhandle med mennesker, slik som chatbots, anses å utgjøre en begrenset risiko. For denne kategorien er det først og fremst krav som skal sikre åpenhet og transparens som stilles, slik som merking som tydeliggjør at informasjon er generert ved hjelp av KI, og informasjon om at det samhandles med KI. 

• Minimal risiko: Dersom bruken av KI-systemet ikke omfattes av noen av de andre risikokategoriene, anses bruken å innebære minimal risiko, og det stilles ikke krav i KI-regelverket. 
  
  

Strategisk, taktisk og operativ bruk av KI og compliance 

Når du som leder har gjort deg kjent med de ulike risikokategoriene vil et naturlig neste steg være å vurdere hvordan de ulike kravene kan implementeres i virksomheten på ulike nivåer, både strategisk, taktisk og operativt. KI treffer virksomheter og bransjer på ulike måter.  Derfor er ikke anbefalingene under uttømmende, men en start på å omdanne den kreative farten til reell forretningsverdi samtidig som dere ivaretar sikkerhet, personvernet til individer og samfunnet. 

KI på strategisk nivå som forutsetning for å lykkes 

Strategisk bruk av KI vil kreve en helhetlig tilnærming, hvor KI blir en sentral del av virksomhetens overordnede strategi. Dette innebærer å integrere teknologien i virksomhetens langsiktige mål og visjoner. Dette kan eksempelvis omfatte og identifisere markedsmuligheter, forbedre kundeopplevelser og utvikle innovative produkter og tjenester. Strategien må sikre at alle KI-systemer og prosesser er i samsvar med KI-regelverket. Dette blir spesielt viktig hvis virksomheten du leder utvikler mer spesialiserte og strategiske KI-løsninger med bruk av virksomhetens egne data, som for eksempel ulike GPT-chatboter.  

For å bruke KI strategisk, må du identifisere relevante bruksområder, sikre høy datakvalitet, og være oppmerksom på etiske problemstillinger som personvern og bias.

Det er viktig å ha overblikk over virksomhetens regulatoriske føringer som gjelder ved etableringen av KI, i KI-strategien. Øverste ledelse er som hovedregel ansvarlig for at de regulatoriske føringene overholdes. Du som leder bør være oppmerksom på at KI  på lik linje med annen teknologi, som internett, automatisering og datamaskiner, er underlagt regelverk som skal ivareta grunnleggende rettigheter og hensyn slik som opphavsrett, personvern, forbrukerrettigheter m.m. I tillegg stiller som nevnt KI-regelverket krav som gjør at du må være bevisst på hvilken rolle virksomheten har, og hva slags risikokategori KI-systemene virksomheten ønsker å utvikle eller ta i bruk vil omfattes av.   

KI på taktisk nivå – hvordan oppnår du strategien? 

Taktisk bruk av KI fokuserer på mellomlangsiktige mål og spesifikke prosjekter. På taktisk nivå kan du stille spørsmålet: hvordan oppnår vi strategien? Dette kan eksempelvis omfatte å optimalisere markedsføringskampanjer, forbedre forsyingskjedeprosesser eller automatisere kundeservice. Taktiske tiltak kjennetegnes ved at de ofte er mer konkrete og målrettede, og de støtter de strategiske målene ved å levere målbare resultater på kort sikt.

På taktisk nivå kan virksomheten din utarbeide spesifikke retningslinjer og prosedyrer for å implementere kravene fra KI-regelverket. Dette kan inkludere opplæring av ansatte, etablere nye roller, oppdatere interne policyer og retningslinjer, og etablere kontrollmekanismer for å sikre etterlevelse. 

På taktisk nivå er det viktig å ha gode prosedyrer for å vurdere hvilken risikokategori KI-systemet dere ønsker å ta i bruk tilhører, vurdere lønnsomhet og risikovilje opp mot virksomhetens strategi, og sørge for å ha på plass prosesser og retningslinjer for overholdelse av de kravene som gjelder for din virksomhet. Dere bør også vurdere om oppfyllelse av kravene kan ivaretas ved etablerte prosesser og flettes inn i virksomhetens eksisterende governance struktur. 

KI på operativt nivå som en integrert del av arbeidshverdagen  

På operativt nivå handler KI om dag-til-dag implementering og drift. Dette kan omfatte automatisering av rutineoppgaver, forbedring av interne prosesser og støtte til ansatte gjennom KI-drevne verktøy. Operativ bruk innebærer at KI-teknologien blir en integrert del av den daglige driften, og understøtter økt effektivitet, kvalitet og produktivitet. Mange virksomheter har eksempelvis hatt prosjekter hvor chatbotter integreres i kundeservicen for å spare virksomheten for manuelle ressurser, ved å la chatbotten svare ut spørsmål kunder måtte ha. 

Du må sørge for å ha personer som skal følge med på KI-systemet i det daglige, og disse må få tilstrekkelig opplæring, ha nødvendig kompetanse og få myndighet og støtte i sin oppfølging. I den daglige driften må det sørges for god dokumentasjon og rapportering, ved å blant annet  monitorere bruken av KI-systemet, håndtere avvik og sørge for god kontroll og oppbevaring av logger. Åpenhet, og transparens  kan sikres  ved å etablere rutiner og prinsipper for bruk av KI-verktøy og gi god opplæring i disse. 

 For å følge anbefalingene over på smidigst mulig måte er det viktig å ikke få panikk! Som med alle nye regelverk kommer det nye definisjoner, krav som skal forstås og implementeres, og frister å forholde seg til. Men ingen helt nye oppfinnelser heller.  

De viktigste steget å starte med er samle ledelsen og forstå hva og hvilken retning i KI-kappløpet din virksomhet ønsker å videreutvikle tjenestene og produktene mot kunder, brukere og borgere. Når beslutning på den strategiske veien er tatt blir det enklere å forstå hvilke mulige krav og risikoer du som virksomhet må forholde deg til for at bruken av KI-systemet vil være i tråd med det nye regelverket og hvor raskt du må agere i forhold til fristene som er satt for iverksettelse av kravene.  

Anbefalingene over vil være en god start på å iverksette kravene på ulike nivåer i din virksomhet, og bidra til å få fart i forventningsverdien av KI-systemene du ønsker å ta i bruk, samtidig som du ivaretar sikkerheten, personvernet og etiske prinsipper til individer og samfunnet.  

Våre neste blogginnlegg i denne minibloggserien vil fokusere på spesifikke krav fra KI-regelverket du bør kjenne nærmere til om du vurderer å benytte KI-teknologi. 

Trenger din bedrift et sikkerhetsløft?
Se hva vi kan hjelpe deg med her.