11 tips til bruk ved utforming av retningslinjer og rutiner for bruk av KI
Publisert: 15. February 2024
av Heidi Lill M. Oppegaard
nb-2024-02-15:

11 tips til bruk ved utforming av retningslinjer og rutiner for bruk av KI baserte verktøy på arbeidsplassen med særlig vekt på personvern, sikkerhet og kontinuerlig opplæring. AI og KI (Kunstig Intelligens), økt datakraft, big data, Internett, cloud computing, nye algoritmer innen maskinlæring, automatiske beslutninger, ChatGPT, Microsoft Copilot og Google Bardi er buzzord vi har hørt i 2023. De er ikke er mindre aktuelle i 2024. Få tema er i disse dager like mye diskutert som Kunstig Intelligens (heretter kalt KI). Det er ikke så rart, da KI er en teknologi som allerede er en del av manges arbeidshverdag. Allikevel råder vi arbeidsgivere til å utforme retningslinjer og rutiner for å sikre god bruk og utvikling av KI på arbeidsplassen. Først og fremst for å beskytte personvernet og redusere risikoen for at uønsket informasjon kommer på avveie i tillegg til å bidra til å styre utviklingen i etisk og ansvarlig retning. Det er ikke bare skoler og universitet som trenger dette..  KI - baserte verktøy byr på utfordringer og problemstillinger innen både arbeidsrett, personvern og immaterialrett. Gode vurderinger og grep i tidlig fase kan legge til rette for å skape verdi, og minimere risiko forbundet med implementeringen og eventuell omstilling på bakgrunn av den. Hva som bør reguleres i retningslinjene vil kunne variere en del fra virksomhet til virksomhet. Generelt bør retningslinjene være korte og lettfattelige, og utarbeides i dialog med de ansatte. Sistnevnte vil kunne styrke legitimiteten til regelverket.  11 tips til innhold i retningslinjer for bruk og utvikling av KI

  1. Definer formålet med retningslinjene og virksomhetens behov

    Hva skal løses med KI, Sky og digitale tjenester i virksomheten?  KI-systemer skal utvikles og brukes på en rettferdig måte. De skal respektere grunnleggende menneskerettigheter og understøtte virksomhetens etiske retningslinjer.

  2. Personvernforordningen møter kunstig intelligens - definer klare regler om personopplysninger Du må ivareta personvern iht. personvernforordningen. Det betyr f.eks. at du må ha et behandlingsgrunnlag for å behandle personopplysninger og behandlingen skal begrenses.  Ikke del (sensitive) personopplysninger, f.eks. fra ansatte, kunder eller leverandører med eksterne KI løsninger. Vis varsomhet. Dersom du bruker kunstig intelligens på personopplysninger, stiller personvernforordningen krav til åpenhet og rettferdighet. Det betyr at du må informere om bruk av persondata i kunstig intelligens. Kravene tar ikke bare for seg hva du må informere om, men også når og hvordan. Det kan derfor være en fordel å ta stilling til hvordan du løser dette tidlig i prosessen, når du skal utvikle eller gå til innkjøp av et KI-verktøy.   Personvernforordningen har som nevnt overfor bestemmelser om den behandlingsansvarliges plikter og de registrerte sine rettigheter når det behandles personopplysninger. Forordningen vil derfor gjelde både når kunstig intelligens utvikles ved hjelp av personopplysninger, og når kunstig intelligens brukes for å analysere eller ta avgjørelser om enkeltpersoner. 

  3. Dokumenter hvordan kravene i lovverket oppfylles Dokumenter hvordan kravene i bl.a. personvernregelverket oppfylles. Ansatte, kunder og styret i virksomheten vil etterspørre dette.

  4. Ikke del taushetsbelagt eller konfidensiell informasjon med eksterne KI løsninger 

    Vær forsiktig med å dele bedriftssensitiv informasjon f.eks. forslag til et nytt produkt. Det er kjent at KI kan behandle store mengder informasjon og tekst, hvilket kan gjøre en del arbeidsoppgaver enklere. Det kan for eksempel være fristende å be verktøyet sammenfatte et stort dokument med informasjon om kunder for å strukturere informasjonen, men gitt usikkerheten rundt teknologien er dette noe du ikke burde gjøre. Ei heller kundeoppdrag.

  5. Informasjon og veiledning til kunder

    Gi kundene veiledning i hvordan ulike valgte løsninger ivaretar f.eks. personvernet, for eksempel om løsningen kan bidra til å oppfylle informasjonsplikten og hvordan kunden kan teste eller revidere løsningen for å sikre at den etterlever regelverket og interne krav.

  6. Digitale drypp, kontinuerlig opplæring og veiledning av ansatte

    Det er ikke lenger slik at data kun håndteres av et sentralt IT-system. I dag er alle ansatte delaktige i bruken av data. Det betyr at det er nødvendig med bred datakompetanse. Alle må med! God opplæring om hva data er og hvordan det bør håndteres er med andre ord en viktig del av implementeringen av nye KI baserte verktøy. Mangel på kompetanse utgjør den største barrieren for å realisere det fulle potensialet i KI og utgjør en betydelig sikkerhetsrisiko.

  7. Dataene bør kvalitetssikres av menneskelig intelligens før de brukes; Hvem har det siste ordet?

    KI er som kjent optimalisert for samtaleinteraksjoner. Det er lett å tro at svarene kommer fra et menneske da chatboten er opplært til å kunne svare på spørsmål, delta i samtaler og generere relevant tekst ut ifra informasjonen den har tilgjengelig. Den gir tilsynelatende gode svar, men kan også som vi har sett en del eksempler på, gi villedende og feil svar. Påse at det er et menneske som har det siste ordet!

  8. Bruken av kunstig intelligens medfører risiko. Bruk av KI på arbeidsplassen kan føre til ny eller endret risiko. Beslutningen om å benytte KI i en virksomhet avhenger av en balanse mellom risikonivået og nye muligheter. Når du vurderer implementering av et KI-system er det avgjørende risikonivået, virksomhetens risikotoleranse og den forventede gevinsten. 

  9. Bygg en kultur for innovasjon

    Bruk av KI-baserte verktøy åpner for nye muligheter og bidrar til økt produktivitet og kvalitet på arbeidsplassene i de fleste sektorer. Bygg en kultur for innovasjon der ansatte oppfordres til å utforske nye teknologier, under trygge rammer ved å ha tydelige og klare retningslinjer for KI. Vær nysgjerrig og ikke glem «Good enough for now, safe enough to try.»

  10. Ansvar og rapportering Bygg en kultur med forståelse for ansvar. Vær bevisst på at forespørsler som sendes tjenestetilbyder og respons på disse kan kunne lagres i tjenestetilbyders egen historikk eller benyttes av tjenestetilbyder for "videreutviklingsformål".

  11. Videreutvikling av retningslinjene

    Fremtidige reguleringer vil få betydning for det fremtidige innholdet i retningslinjene, men teknologien løper som kjent raskere enn både byråkrater og lovgivere. Hold deg oppdatert.

I Norge har regjeringen startet arbeidet med en ny digitaliseringsstrategi hvor KI skal inkluderes. I EU er det nå politisk enighet om AI Act, oversatt til KI-forordningen. Les forslag til innhold i Rådets pressemelding: KI-forordningen om europeisk regelverk for kunstig intelligens | europalov. Formålet med KI forordningen er å legge til rette for trygg, tillitsvekkende og etisk bruk av kunstig intelligens, samtidig som reglene skal fremme innovasjon og konkurranseevne i EU. For næringslivet i Europa innebærer AI Act at det nå blir mer forutsigbart hvilke krav som vil gjelde. Regelverket vil raskt være aktuelt for det norske næringslivet, da det legger plikter også på parter utenfor EU, f.eks. dersom det brukes KI i tjenesteytelser rettet mot EU borgere. Regelverket vil bli innlemmet i EØS.  Kort om immaterialrettslige og arbeidsrettslige problemstillinger Bruk av KI reiser flere immaterialrettslige problemstillinger, særlig innenfor opphavsrettens område. Opphavsrett til åndsverk gir rettighetshavere en enerett til å fremstille eksemplar av verket og til å gjøre verket tilgjengelig for allmennheten, jfr. Åndsverkloven § 3. I en digital sammenheng betyr dette blant annet at rettighetshaver har enerett til å fremstille digitale kopier av sitt verk og laste det opp på internett. Ved bruken av KI-systemer utfordres rettighetshavernes enerett til åndsverk på flere måter, både i forbindelse med trening av KI og ved bruk av resultater som genereres av KI. Det er arbeidsrettslige problemstillinger knyttet til innføring og bruk av KI. Når digitale løsninger og nye teknologier tas i bruk på arbeidsplassen har digitaliseringen fordeler både for virksomhetene og de ansatte. Samtidig kan den føre til mer inngripende kontroll og overvåking. Arbeidsmiljøloven og hovedavtalene gir tillitsvalgte og verneombud rett til medvirkning ved innføring og bruk av ny teknologi f.eks. ved rekruttering og nye kontrolltiltak i virksomhetene. Innledningsvis presiseres det at det er viktig å hensynta personvern ved bruk og utvikling av KI. Vi har spesialregler om personvern i arbeidslivet. Disse spesialreglene er gitt i forskrifter til Arbeidsmiljøloven. Den aktuelle forskriften for Secure Practice, er forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale av 2. juli 2018 og blir populært kalt «e-postforskriften». E-postforskriften gjelder arbeidsgiveres innsyn i alt elektronisk utstyr arbeidstakere bruker i jobbsammenheng og er ment å beskytte arbeidstakere mot unødvendig inngripende overvåking eller kontroll. E-postforskriften § 2, andre ledd forbyr overvåkning av de ansattes bruk av elektronisk utstyr. Ønsker du bistand med utforming av retningslinjer for bruk og utvikling av KI på din arbeidsplass, ta gjerne kontakt med oss.