Skal du ta i bruk KI i dine IT-systemer?

I 2018 ble mange virksomheter overrasket over de strenge kravene stilt i personvernforordningen (GDPR). Selv om mange av kravene var relativt like de som var i den gamle personopplysningsloven og roller som behandlingsansvarlig og databehandler var relativt uendret, var det mange som gikk på en GDPR-smell. Er din virksomhet klar for det neste GDPR-øyeblikket?

Decisive kan hjelpe!

Vi kan bidra med støtte i:

• Kartlegging og risikovurdering av IT-systemet – før du tar KI i bruk
• Bistå i konsekvensvurdering for grunnleggende rettigheter (FRIA – Fundamental Rights Impact Assessment).
• Veiledning i den kommende lovgivning og annen lovgivning som kan påvirke systemene
• Bistå med å oppdatere internkontrollsystemet
• Opplæring i KI, KI-forordningen, risikovurderinger og etterlevelse

 

Hvilken rolle har din virksomhet?

Et av de vanskeligere spørsmålene å svare på i sammenheng med personvernforordningen (GDPR) er «hvem er hvem”. Hvem er behandlingsansvarlig og er en leverandør databehandler eller kun en leverandør? Hvis rollene ikke er åpenbare fra start kan vurderingen bli svært komplisert.

Denne kompleksiteten vil speile seg i den kommende KI-forordningen (AI Act). I forordningen finner vi nemlig et nytt sett med roller virksomheter må forholde seg til, og måten ansvaret fordeler seg på minner lite om ansvarsfordelingen i GDPR.

En vesentlig forskjell er at KI-forordningen er et produktsikkerhetsregelverk, som gir ansvar til produsenter av produkter og andre i leverandørkjeden. Forordningen gir ingen nye rettigheter til individer og har ikke definert begrep for sluttbruker eller en rolle som minner om «den registrerte» i GDPR. De som allerede er kjent med annen europeisk produktsikkerhetslovgivning vil være kjent med de fleste rollene som er definert her, men noe vil være nytt.

Roller i forordningen:

Tilbyder: Den som utvikler eller får utviklet et KI-system eller en KI-modell til allmenn eller egen bruk.

Idriftsetter* (eng. Deployer): Den som anvender et KI-system til ikke-private formål. Annen produktsikkerhetslovgivning referer ofte til forbrukere (consumers). At idriftsettere, som ofte er brukere, av KI-systemer gis plikter etter dette produktsikkerhetsregelverket er nytt.

Autorisert representant: Den som befinner seg eller er etablert i EU/EØS som har et skriftlig mandat fra tilbyder til å oppfylle krav og forpliktelser i forordningen på deres vegne.

Importør: Den som befinner seg eller er etablert i EU/EØS og gjør et KI-system, produsert av en virksomhet som hører til i et tredjeland, tilgjengelig på markedet.

Distributør: Noen i leverandørkjeden, andre enn tilbyder eller importør, som gjør et KI-system tilgjengelig på markedet. Skillet mellom importør og distributør er noe uklart.

Operatør: Fellesbegrep som omfatter alle pliktsubjektene nevnt i listen over i tillegg til produsent.

 

Etter hvert som stadig flere virksomheter tar i bruk KI-systemer som arbeidsverktøy, vil de aller fleste på et eller annet tidspunkt være idriftsetter av et KI-system. Av rollene legger forordningen klart flest plikter på tilbyderen.

Per i dag finnes det ingen norsk oversettelse av KI-forordningen og vi kan dermed ikke si med sikkerhet at de begrepene vi har valgt er de som kommer til å dukke opp i en norsk versjon. Vi har valgt å benytte begreper fra annen produktsikkerhetslovgivning, som forordning om medisinsk utstyr (MDR) og forskrift om elektrisk utstyr, der det har vært mulig.

 

Flere av rollene kan også få rollen tilbyder

Det er tilfeller der en idriftsetter, importør eller distributør av et høy-risikosystem skal anses som tilbyder, se art. 25. I disse tilfellene må virksomheten overholde kravene til høy-risikosystemer slik som beskrevet i artikkel 16. Dette gjelder i følgende tilfeller:

• De setter sitt eget navn eller varemerke på et system som allerede er på markedet eller i bruk, med mindre det allerede eksisterer en avtale om at forpliktelsene skal fordeles på en annen måte.
• De gjør betydelige endringer på et KI-system som allerede er på markedet eller tatt i bruk, og KI-systemet fremdeles anses som høyrisiko etter endringene.
• De tilpasser formålet med et KI-system, som ikke ble klassifisert som høyrisiko da det opprinnelig ble gjort tilgjengelig på markedet eller tatt i bruk, på en slik måte at KI-systemet anses som høyrisiko.

For eksempel kan en virksomhet selv få tilbyderansvar for blant annet samsvarsvurderinger, CE-merking og å sørge for tilstrekkelig, forståelig informasjon om systemet m.m. Det kan gjelde hvis en virksomhet anskaffer og tar i bruk et KI-system, som originalt har et mer generelt formål, til å fatte beslutninger relatert til sitt virke, når virket faller innenfor en av sektorene i Annex III (e.g. essensielle private og offentlige tjenester og ytelser, kritisk infrastruktur, ansettelser, utdannelse og yrkesfag og rettshåndhevelse).

I disse tilfellene vil den opprinnelige tilbyderen ikke lenger bli ansett som tilbyder av det spesifikke systemet. De må fortsatt samarbeide med den nye tilbyderen og gi tilstrekkelig informasjon.

Rollen til en virksomhet vil også kunne endre seg over tid ettersom bruken av systemet eller systemet i seg selv blir endret av virksomheten. Samme virksomhet kan ha flere KI-systemer og ha forskjellige roller knyttet til de forskjellige systemene. Rollen virksomheten har i forhold til hvert enkelt KI-system vil avgjøre hvilke krav og plikter den må overholde.

 

Hva kan virksomheten gjøre nå?

For å unngå et nytt GDPR-øyeblikk, der virksomheter ikke er klare innen en varslet lov trer i kraft, mener vi det er lurt å forberede seg tidlig. Mange av kravene og pliktene i den nye KI-forordningen er gjenkjennelige fra eksisterende krav i for eksempel GDPR. For høy-risiko systemer stilles det for eksempel krav til internkontroll, risikovurderinger, cybersikkerhet og å ha gjennomført en DPIA!

Hva dere burde gjøre allerede nå:

1. Kartlegge og skape oversikt over hvilke KI-systemer virksomheten benytter eller tilbyr
   • Undersøk om virksomheten allerede benytter verktøy som faller innenfor definisjonen av KI-systemer i forordningens artikkel 3 nr. 1. Kanskje definisjonen gjør at uventede systemer regnes som KI-systemer, eller kanskje et system virksomheten har sett på som KI ikke faller innenfor definisjonen?
2. Avklare hvilken klassifisering KI-systemene faller inn under.
   • Brorparten av plikter og krav i forordningen er rettet mot høy-risiko KI-systemer. Dette betyr imidlertid ikke at forordningen er uvesentlig dersom virksomheten ikke benytter høy-risiko KI-systemer. Virksomheten må fremdeles sørge for åpenhet etter art. 50 hvis relevant og følge med på om egen bruk endrer klassifiseringen, eller om det blir gjort endringer i klassifiseringene fra lovgivers side.
3. Avklare roller virksomheten har i forhold til systemene, og dermed hvilke krav som må ivaretas.
   • Så lenge virksomheten utvikler eller tar i bruk et eller flere KI-systemer vil den falle innenfor en av KI-forordningens definerte roller. Systemets klassifisering kan påvirke hvilken rolle virksomheten får i forhold til KI-systemet og det er derfor viktig at virksomheten definerer sin egen rolle knyttet til hvert enkelt system tidlig.
4. Oppdater internkontrollsystem i tråd med krav i KI-forordningen.
   • Flere av rollene i KI-forordningen har plikt til å dokumentere både KI-systemer og prosesser på en måte som minner om krav til dokumentasjon i GDPR. Virksomheten bør sørge for å ta KI-systemene inn i internkontrollen tidlig.
5. Gi opplæring til egne ansatte om KI og bruk av KI-systemene.
   • Både tilbydere og idriftsettere må sørge for tilstrekkelig kunnskap om KI internt i virksomheten uavhengig av systemets klassifisering, jf. KI-forordningen art. 4. Denne kunnskapen vil også være til stor hjelp når virksomheten gjennomfører risikovurderinger.

Vi kan ikke si med sikkerhet når KI-forordningen blir innlemmet i norsk lov, men vi kan regne med at forordningen senest innlemmes i løpet av høsten 2026. I EU trår forordningen også gradvis i kraft, noe som kan påvirke virksomheter som leverer tjenester til andre europeiske land.

 

* Mange virksomheter, for eksempel Datatilsynet og Digdir, har valgt å oversette «Deployer» til «bruker». Vi har forhørt oss med Språkrådet som, gjennom kommunikasjon med DSS som har ansvar for oversettelsen, sier at idriftsetter mest sannsynlig blir den offisielle norske oversettelsen.