Overvejer I at anvende kunstig intelligens til at understøtte løsning af konkrete opgaver eller til generel varetagelse af jeres arbejdsprocesser? I så fald bør I allerede nu overveje mulige konsekvenser af det aktuelle forslag til den kommende forordning om kunstig intelligens, som er fremsat af EU-Kommissionen – uanset at forslaget endnu ikke er færdigbehandlet eller vedtaget i EU.

Forslaget er en del af strategien ‘Shaping Europe’s digital future’, som med fokus på en balanceret tilgang til digitalisering har det overordnede formål at sikre borgernes rettigheder og tillid til ny teknologi.

Det er endnu ikke afklaret, hvilken betydning den kommende regulering vil have på eksisterende it-løsninger med kunstig intelligens, men det er stadig en god ide at forberede sig på mulige konsekvenser. Vi kommer med fem råd til, hvordan I på nuværende tidspunkt bedst forbereder jer på den kommende regulering af kunstig intelligens.

1. Vurdér, hvilken kategori it-løsningen falder ind under

Forslaget inddeler it-løsninger med kunstig intelligens i fire kategorier med hver deres tilhørende krav: uacceptabel risiko, høj risiko, begrænset risiko og lav risiko. Hvilken kategori it-løsningen tilhører og dermed, hvilke krav der skal overholdes, afhænger af en konkret vurdering af den kunstige intelligens og den it-løsning, hvori den indgår. Hvis din virksomhed eller den myndighed, du er ansat i, over­vejer at implementere it-løsninger med kunstig intelligens, bør I derfor allerede nu undersøge, hvilken kategori den pågældende it-løsning vil tilhøre, og hvilke krav der skal adresseres. Bemærk, at det desuden er væsentligt, om I selv har udviklet it-løsningen eller har købt den af en it-leverandør. Kravene retter sig dels mod selve it-løsningen, dels mod den konkrete rolle I har i forhold til it-løsningen (udvikler/leverandør, importør, distributør eller bruger).

Efterleves kravene ikke, kan det i henhold det nuværende forslag medføre sanktioner i form af bl.a. væsentlige bøder.

Herunder gennemgår vi de fire kategorier af kunstig intelligens.

  • Uacceptabel risiko

    Udvikling og brug af kunstig intelligens, der falder i denne kategori, er ikke tilladt. Kategorien omfatter bl.a. typer af kunstig intelligens, der indebærer manipulation af individer, evaluering af individer med henblik på kategorisering efter social adfærd (social scoring) eller særlige former for person og/eller ansigtsgenkendelse i forbindelse med realtidsovervågning.

  • Høj risiko

    Denne kategori omfatter bl.a. kunstig intelligens til understøttelse af retshåndhævelse, myndigheds­udøvelse på asylområdet, kredit­vurderinger og biometrisk identifikation af personer. Der stilles en række særlige krav for typer af kunstig intelligens i denne kategori, herunder om implementering af risiko­håndterings­system og kvalitetssikringssystem samt krav om bl.a. logning, dokumentation, oplysning om brug af AI, tilsyn, overens­stemmelseserklæring, CE-mærkning, central registrering af it-løsningen og sikkerhed.

  • Begrænset risiko

    Denne kategori omfatter alene krav til at oplyse brugerne om den konkrete brug af kunstig intelligens, herunder fx ved chatbots.

  • Minimal risiko

    Kategorien omfatter ikke konkrete krav til it-løsningerne. Dog kan man frivilligt vælge at over­holde de kodekser for god brug af kunstig intelligens, der er omfattet af forordningen. It-leverandører kan så anvende disse som et konkurrence­parameter.

Ved opdateringer eller ændringer til it-løsningen og den kunstige intelligens skal man genvurdere kategoriseringen i henhold til ovenstående.

2. Udarbejd en detaljeret konsekvensanalyse

Det er vigtigt at få udarbejdet en detaljeret konsekvensanalyse med udgangspunkt i potentielle risici ved brugen af den type kunstig intelligens, der ønskes anvendt sammenholdt med formålet, den konkrete opgave og risiciene for den enkelte person, der bruger eller indgår i den kunstige intelligens’ behandling, i forhold til relevant lovgivning.

Når det er kortlagt, er der basis for at ændre i relevante parametre, der indgår i den kunstige intelligens’ behandling, så brugen af den kunstige intelligens bliver mindre risikofyldt. Det er desuden en god idé at tænke andre relevante retsområder ind, fx persondata og forvaltningsret, når du overvejer risiciene. Det er her nødvendigt at inddrage relevante, juridiske kompetencer til at bidrage til konsekvensanalysen. Konsekvensanalysen understøtter bl.a. overholdelse af kravene til data og dokumentation.

3. Overvej datakilder, datakvalitet og datamængde

Datakvaliteten skal både kvantitets- og kvalitetsmæssigt være tilstrækkelig; data skal være relevante og til rådighed. Data er grundlaget for opbygning af den matematiske model – algoritmen – der udgør den kunstige intelligens. Dermed er data fundamentet for den kunstige intelligens og afgørende for den behandling, den kunstige intelligens foretager samt dens resultater. Vigtigheden af datakvaliteten kommer også til udtryk ved, at forslaget til forordningen stiller særlige krav til data og datastyring.

Sørg for at have de relevante data­kompetencer til rådighed, som kan understøtte, at den påtænkte kunstige intelligens trænes og baseres på de rette data, herunder historiske, geografiske og fagrelevante data. I den forbindelse skal der foretages en kortlægning af eventuelle datamangler eller data­utilstrækkeligheder, og hvordan de udbedres.

Sæt fra start rammerne for og overvej brugen af datasæt til løbende træning af den kunstige intelligens og validering af træningen.

4. Dokumentér løbende den kunstige intelligens

I forslaget til forordningen fremgår det, at it-leverandøren skal udarbejde dokumentation af it-løsningen, inden den tages i brug. Denne dokumentation skal løbende opdateres.

Dokumentationen skal indeholde oplysninger om opbygningen af den kunstige intelligens, og hvordan den fungerer. Det kræver, at der løbende stilles opdateret teknisk dokumentation til rådighed. Derudover skal dokumenta­tionen være tilstrækkelig til at vurdere it-løsningens overens­stemmelse med relevante krav. Den bør bl.a. omfatte it-løsningens generelle egenskaber, kapacitet og begrænsninger samt data, trænings-, prøvnings- og validerings­processer.

Det anbefales at implementere en proces for dokumentation af it-løsningen, særligt ved opdateringer og ændringer. Processen for dokumentation kan eventuelt automatiseres. Det er dog samtidig en god idé at kontrollere, at dokumentationen bliver genereret som forudsat, fx ved et årshjul med angivelse af ansvarsområder, ansvarshavende medarbejder og tidspunkter for kontrol af dokumentationen.

En proces for dokumentation under­støtter samtidig, at det forvaltnings­retlige dokumentationskrav overholdes.

5. Benyt eksisterende ordninger og redskaber

Der gælder allerede i dag anden regulering, som i et vist omfang adresserer krav om datakvalitet, data­sikkerhed mv. Der kan derfor være synergier at hente ved særligt at skele til reguleringen af persondata.

Desuden bør I allerede nu overveje dataetik ved udviklingen af kunstig intelligens. Her kan I bruge Dataetisk Råd’s vurderingsskema og konsekvens­analyse, som kan findes på Dataetisk Råds hjemmeside. I kan også blive certificeret med det dataetiske mærke (D-mærket), hvilket ruster din virksomhed eller den myndighed, du er ansat i, endnu bedre til at udvikle kunstig intelligens, der kan overholde kravene til fremtidens regulering.

Forfattere

Jens Grønkjær Sjølander Pihl

Partner

Emilie Loiborg

Director, advokat