Kunstig intelligens

Kvales eksperter på teknologi hjelper deg med å ta i bruk kunstig intelligens.

Anvendelsen av kunstig intelligens er nå blitt en integrert del av vår daglige livsførsel, og bedrifter anerkjenner i økende grad verdien av å investere i utviklingen av KI-baserte løsninger. Selv om hovedmålet med kunstig intelligens og digitale løsninger er å stimulere innovasjon, øke konkurranseevnen, forbedre effektiviteten og bedre sikkerheten, er det uunngåelig at det oppstår en rekke juridiske utfordringer i kjølvannet av denne teknologiske utviklingen.

Anskaffelse og bruk av KI-verktøy

Vi har erfaringer med praktisk håndtering av KI-systemer gjennom anskaffelsesprosesser og bruk både i vår egen virksomhet og fra å bistå våre klienter. Ved anskaffelser er det viktig å gjennomføre en vurdering av både leverandører og systemer opp mot gjeldende og fremtidige lovkrav for å sikre virksomhetens mulighet for å oppfylle dagens krav og utvikle en god KI-strategi. Vårt fokus er derfor både kommersielt og teknisk samtidig som vi vurderer hvordan KI systemer kan brukes på en sikker måte og hvordan virksomheter kan oppfylle sine eksisterende forpliktelser (avtaler, lov og standarder). Vi kan bistå med å utforme retningslinjer for ansattes bruk av generativ KI i virksomheten, slik som ChatGPT, Bard og Bing Chat, eller anskaffelse av KI-verktøy.

Vårt team kan bistå virksomheter i å gjennomføre risikoanalyser og sikre åpenhet om bruk av KI-systemer for å vurdere handlingsrommet for å bruke resultatet fra bruk av KI-systemer og rådgivning som gjelder kvaliteten og lovligheten av data som brukes av virksomheten.

AI er nært knyttet til store mengder data, og derfor er hendelseshåndtering av avvik et særlig viktig felt for virksomheten å ha kontroll over for å oppfylle eksisterende og kommende lovkrav. Avvik kan ta form av feil i produkter eller tjenester som skyldes bruk av KI-systemer, brudd på personvern eller fortrolighet, ivaretagelse av virksomhetens immaterielle rettigheter og klager fra personer som blir berørt av virksomhetenes bruk av KI.

Eksisterende regler gjelder for bruk av KI

KI virker ikke i et vakuum, og mye av teknologien reguleres allerede av eksisterende lovgivning.

Når virksomheten tar i bruk KI kan dagens regler innebære nye eller endrede krav til virksomheten. Dette kan være krav til menneskelig kontroll og forklaring ved automatiserte beslutninger og bruk av personopplysninger, personbaserte ratinger m.m.. (GDPR art 22). EU-domstolens avgjørelse fra 7. desember 2023 (C-634/21 Schufa) innebærer at flere virksomheter må vurdere om de må endre måten å bruke kredittrating for å overholde dagens regler. Åpenhetsloven kan innebære at du må gjøre en ny aktsomhetsvurdering hvis virksomheten tar i bruk KI som kan ha potensielt diskriminerende virkning. Inngåtte kontrakter om bruk av data kan også innebære nye eller endrede forpliktelser når virksomheten skal bruke data for å trene, utvikle eller tilpasse KI-systemer.

Nye regler fra EU om kunstig intelligens, produktansvar m.m.

Vi vet at det kommer en rekke nye regler fra EU som spesifikt gjelder utvikling og bruk av KI-systemer (eks. transparenskrav, menneskelig kontroll m.m (AI Forordningen) og ansvar for bruk av KI-systemer (AI Ansvarsdirektivet og Produktansvarsdirektivet). I tillegg må virksomheter forholde seg til generelle krav (eks. klima- og bærekrafts rapportering) som vil omfatte bruk av KI-systemer.

Vårt team har lenge fulgt EUs digitale agenda tett og er oppdatert på regelutviklingen både i EU og i Norge. Den nylig vedtatte EU Artificial Intelligence Act (AI Act) har fått stor oppmerksomhet, men er en del av EUs systematiske regulering av produktansvar og EUs digitale agenda. AI Act må derfor sees i sammenheng med AI Liability Directive, Data Governance Act, Data Act, Cyber Resilience Act og Plattformdirektivet.

EU har allerede etablert ikke-bindende retningslinjer for ansvarlig KI og arbeider med en AI Pact for å forberede aktører til AI Act trer i kraft (antatt 2026). De siste 10 årene har vårt team fulgt regelutviklingen i EUs digitale agenda tett. Vi er derfor godt forberedt på hvordan EUs regler om data, kunstig intelligens og sikkerhet vil påvirke norske virksomheter som tar i bruk kunstig intelligens. Våre blikk er rettet mot regulatoriske krav som forventes å komme i løpet av de neste 3-5 årene.

Hva betyr de nye reglene for din virksomhet?

De nye reglene vil treffe ulike aktører på ulik måte, avhengig av hvilken plass aktørene har i verdikjeden, formålene med bruk av KI-systemer og hvordan KI-systemer implementeres av de ulike aktørene. For noen vil disse reglene manifestere seg tidligere gjennom leverandørkrav fra kunder eller krav fra aksjonærer. Vi anbefaler derfor at virksomhetene skaffer seg oversikt over reglene slik at man kan vurdere hvilke regler som vil gjelde. Tilpasning til fremtidige regler er for mange virksomheter en naturlig del av risikovurderinger og forretningsutvikling for å identifisere risiko og treffe riktige tiltak, enten gjennom organisatoriske tiltak eller gjennom kontrakter.

Vårt fokus er både på operativ rådgivning i forhold til dagens regulatoriske krav, og strategisk rådgivning om morgendagens regler. Vi har god oversikt over morgendagens regler og har utviklet flere veiledere som vil hjelpe din virksomhet til å forstå og vurdere disse. Dette vil bidra til å overholdelse av regelverket, inkludert produktansvar, personvern, opphavsrett, sikkerhetslovgivning og plikter og rettigheter i inngåtte kontrakter.

Vi kan bistå din virksomhet med blant annet:

  • oversikt og innføring i hva du må tenke på før du kjøper inn og ruller ut KI-systemer i virksomheten,
    å lage retningslinjer for ansattes bruk av ChatGPT og annen generativ KI i virksomheten,

  • rådgivning om anskaffelse av KI-verktøy (Hvordan vurdere leverandør og system opp mot gjeldende/fremtidige lovkrav for å sikre virksomhetens mulighet for å oppfylle gjeldende krav?).

  • rådgivning om hvordan kan virksomheten møte krav til risikoanalyser og åpenhet om bruk av KI-systemer?

  • gjennomføring av risikovurderinger ved virksomhetens bruk av kunstig intelligens (personvernkonsekvensvurdering/DPIA samt risikovurdering knyttet til informasjonssikkerhet)

  • hvordan virksomheten kan bruke kredittrating eller annen KI-assistert rating av personer i lys av EU-domstolens dom (SCHUFA) for å oppfylle kravene i GDPR Art 22.

  • arbeidsrettslige spørsmål knyttet til innføring og bruk av KI, herunder om det er et lovlig kontrolltiltak, bruk av KI til rekrutteringsformål osv.

  • håndtering og beskyttelse av immaterielle rettigheter ved bruk av KI,

  • produktansvar for KI-systemer

  • hendelses-/avvikshåndtering (f.eks. hvis virksomheten oppdager feil i produkter, tjenester som skyldes bruk av KI-systemer, klage fra personer som blir berørt av virksomhetens bruk av KI-systemer)

  • etablering av virksomhetsstyring (governance) for å sikre lovlig og ansvarlig bruk av KI-systemer, f.eks. organisering av virksomhetens bruk av KI-systemer, styringsdokumenter (styreinstrukser, retningslinjer for utviklere, dataanalyser m.m. og ansatte som bruker KI-systemer), rapporteringsrutiner, bærekraftvurderinger (f.eks. energiforbruk)

Advokatene i Kvale bistår privat og offentlig sektor med rådgivning innen bruk av kunstig intelligens (KI).

Per-Kaare Svendsen

Partner

pks@kvale.no
+47 915 54 245

Jens Christian Gjesti

Partner

jcg@kvale.no
+47 902 02 072

Lars Trygve Jenssen

Partner

ltj@kvale.no
+47 994 86 767