Utvalgte hurtiglenker

    Veiledninger og brosjyrer

    KI-assistenter i arbeidslivet– en praktisk guide

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    10 Vedlegg C – Mer inngående om juridiske rammebetingelser

    10.1 Innledning

    I tillegg til kravene det er redegjort for i hoveddelen, er det flere detaljer i de omtale lovene og også flere lover og reguleringer som vil ha betydning når man skal innføre en KI-assistent. Under redegjøres det for ytterligere forhold virksomheten bør vurdere for ikke å bryte gjeldende lover og regler.

    10.2 KI-forordningen (EU AI ACT)

    I hoveddelen har vi overordnet beskrevet de særlige kravene som KI-forordningen stiller til bruk av KI-assistenter og hva man særlig må vurdere når det gjelder risikoklasser, hvilken rolle og ansvar virksomheten har mv.

    I det følgende vil vi gå nærmere inn på enkelte spesifikke aspekter ved KI-forordningen, inkludert hvordan den påvirker bruk av KI-modeller til generelle formål og samspillet mellom KI-forordningen og eksisterende produktsikkerhetsregelverk.

    10.2.1 Bruk av KI-modeller til generelle formål: Dette bør du ha i bakhodet

    I det følgende ser vi nærmere på de vurderingene virksomheter må gjøre når man tar i bruk generelle KI-modeller, med vekt på individuell vurdering av teknisk dokumentasjon, databehandling, personvern, og sikkerhet, samt hvordan virksomheter kan sikre ansvarlig bruk av KI-modeller til generelle formål.

    Hvis én eller flere generelle KI-modeller er en del av en KI-løsning som virksomheten ønsker å ta i bruk, må virksomheten blant annet vurdere hvilke(n) slik(e) modell(er) som faktisk benyttes, hvordan de(n) er implementert i virksomhetens systemer og datagrunnlaget som benyttes.

    For virksomheter som tar slike modeller i bruk, finnes det ingen universell løsning for å sikre lovlig og ansvarlig bruk. Hver implementering krever en individuell vurdering, og det er avgjørende at virksomheten foretar en grundig gjennomgang av den tiltenkte bruken. Dette innebærer blant annet å sette seg inn i teknisk dokumentasjon og informasjon fra leverandøren, kontrollere hvilke formelle forpliktelser og ansvarsforhold som følger av inngåtte avtaler, og vurdere hvorvidt løsningen behandler personopplysninger, virksomhetssensitiv informasjon eller annen informasjon som må vurderes særlig. I slike tilfeller må det gjennomføres en risikovurdering, ofte omtalt som ROS, og eventuelt en vurdering av personvernkonsekvenser. Videre må virksomheten stille relevante spørsmål knyttet til datasikkerhet, datakvalitet, etterrettelighet og muligheten for menneskelig kontroll over systemets beslutninger.

    Dette er i tråd med anbefalinger fra både det europeiske personvernrådet, det norske Datatilsynet og EUs ekspertrapporter til AI Act 7 , som fremhever behovet for ansvarlig bruk også når virksomheter ikke selv utvikler eller tilbyr KI-løsningene. Erfaringsvis vil man få svar på en rekke relevante spørsmål og sikre at man gjør nødvendige avklaringer og sikrer etterlevelse dersom man gjennomfører en god ROS og i tillegg foretar en personvernkonsekvensvurdering.

    Noe annet er der ansatte tar i bruk generelle KI-modeller på åpen plattform (nivå 1 i figur 1, se punkt 2.5.5.) i eller utenfor arbeidssammenheng. Her har ikke virksomheten like god kontroll, men bør likevel forstå og ivareta implikasjoner slik bruk kan ha for virksomheten og for enkeltpersoner. Ansattes bruk av generelle KI-modeller som ChatGPT, Claude og Gemini reguleres gjerne i virksomhetens egne retningslinjer for slik bruk. Retningslinjene varierer fra forbud til ulike betingelser for bruk, som f.eks. å kun bruke privat e-post og/eller å kun bruke åpent tilgjengelige data når du instruerer KI-modellen (prompter).

    Rask sjekkliste for forsvarlig og lovlig bruk av generelle KI-modeller:

    • Hvilke(n) versjon(er) av KI-modellen(e) skal tas i bruk (med eller uten lisens).
    • Hvordan skal KI- modellen integreres i eksisterende systemer og applikasjoner.
    • Hvilke spesifikke formål skal KI-systemet brukes til, og er de formålene forenlige med opprinnelige innsamlingsformål for data som inngår.
    • Hvilke data skal KI- modellen ha tilgang til og hvordan kan det konfigureres for begrensning av uønsket datatilgang.
    • Hvordan er KI-modellen trent og testet og hva er resultatet av evalueringen (dette skal stå i den obligatoriske tekniske dokumentasjonen).
    • Hvilke funksjonaliteter og tilleggstjenester skal aktiveres, er de nødvendige og forholdsmessige.
    • Hvordan kan du sike at enkeltpersoners personvernkrav ivaretas, inkludert innsyn og sletting.
    • Hvordan vil data bli håndtert, og er det gyldig overføringsgrunnlag for personopplysninger.
    • Hvilke spesifikke avtaler gjelder, er databehandleravtalen lovlig, og bekreftelse av rollefordelingen mellom kunden og leverandøren.

    10.2.2 Samspillet mellom KI-forordningen og eksisterende produktsikkerhetsregelverk/CE-merking

    I det følgende beskrives hvordan KI-forordningen integreres med eksisterende regelverk, spesielt innen helsesektoren. Vi fokuserer på hvordan KI-systemer kan klassifiseres som medisinsk utstyr og hvilke krav som gjelder for høyrisikosystemer, inkludert behovet for CE-merking og risikovurdering av fundamentale menneskerettigheter.

    KI-forordningen er et horisontalt regelverk som skal fungere sammen med en rekke eksisterende produktregelverk og sektorlover, både for å sikre teknisk sikkerhet og for å unngå overlappende eller motstridende krav. Ett av disse er regelverket for medisinsk utstyr. I det følgende viser vi hvordan en slik prosess vil se ut i helsesektoren.

    Hva KI-systemet skal brukes til, vil være bestemmende for hvilke(t) regelverk som gjelder. KI-systemer er medisinsk utstyr etter lov om medisinsk utstyr dersom det er ment å skulle brukes på mennesker i den hensikt å bidra til diagnostisering, forebygging, overvåking, prediksjon, prognostisering, behandling eller lindring av sykdom. Andre KI-systemer, som for eksempel logistikksystemer og systemer for vaktplanlegging, er i utgangspunktet ikke medisinsk utstyr. KI-systemer som for eksempel journalsystemer, kan imidlertid ha tilleggsfunksjoner som kan medføre at de klassifiseres som medisinsk utstyr.

    Hvis det tiltenkte formålet er medisinsk, må KI-systemet betraktes som medisinsk utstyr og virksomheten må bruke et CE-merket utstyr. KI-systemet vil i utgangspunktet betraktes som et høyrisikosystem i henhold til KI-forordningen og må oppfylle kravene som stilles til disse systemene når den trer i kraft.

    Hvis det tiltenkte formålet derimot ikke er medisinsk må KI-systemet likevel betraktes som høyrisikosystem i henhold til KI-forordningen dersom formålet er listet i forordningens vedlegg III, og må oppfylle kravene i denne når den trer i kraft. Det kan for eksempel være tilfelle hvis bruk av KI-systemet vil påvirke noens rett til å motta ytelser eller helsetjenester. I dette tilfellet må offentlige tjenestetilbydere også utføre en risikovurdering av fundamentale menneskerettigheter (Fundamental Rights Impact Assessment (FRIA)).

    Hvis KI-systemet er ment å samhandle direkte med fysiske personer, må KI-systemet være designet og utviklet slik at berørte personer informeres om at de samhandler med et KI-system.

    10.3 Personvernforordningen

    Bruk av KI-assistenter i virksomheten kan gi inntrykk av å utløse helt nye og ukjente krav til etterlevelse, men i realiteten er mange av vurderingene sammenfallende med dem som allerede følger av personvernforordningen.

    Dersom virksomheten allerede har etablerte rutiner for vurdering og håndtering av personopplysninger, vil disse i stor grad kunne gjenbrukes og tilpasses ved innføring av KI-verktøy. Dette betyr at det ikke nødvendigvis er behov for helt nye prosesser, men at eksisterende personverntiltak og rutiner må utvides til også å omfatte KI-assistentens funksjon, rolle og behandlingsaktiviteter. Dersom den konkrete bruken av en KI-assistent innebærer behandling av personopplysninger må virksomheten sørge for at behandlingen skjer i samsvar med kravene i personvernforordningen.

    Dette kapittelet gir en utdypende beskrivelse av personvernkravene som gjelder ved bruk av KI-assistenter, og hvordan virksomheter kan tilpasse sine eksisterende rutiner for å sikre etterlevelse. Vi ser nærmere på krav til databehandleravtaler, kontroll av dataflyt, bruk av data til modelltrening, og når det er nødvendig å gjennomføre en personvernkonsekvensvurdering (DPIA).

    10.3.1 Nærmere om krav til databehandleravtale

    Når en tredjepart (for eksempel leverandøren av KI-assistent) opptrer som databehandler, skal det inngås en databehandleravtale. Denne må blant annet beskrive:

    • Formålet med behandlingen.
    • Hvilke typer data som behandles.
    • Hvilke sikkerhetstiltak som er på plass.
    • Leverandørens plikter og eventuelle underleverandører.
    • Hva som skjer med dataene ved avslutning av samarbeidet.

    De fleste KI-leverandører tilbyr egne standard databehandleravtaler, men det er virksomheten – som behandlingsansvarlig – som har ansvaret for å sikre at avtalen oppfyller kravene i personvernlovgivningen og er tilpasset virksomhetens behov og forventninger. Det finnes også tilgjengelige maler for databehandleravtaler fra offentlige myndigheter, som for eksempel Datatilsynet. 8

    10.3.2 Kontroller dataflyt og eventuelle overføringer ut av EØS

    Mange leverandører av KI-tjenester er etablert utenfor EØS. Hvis personopplysninger overføres til slike tredjeland, må overføringen ha et lovlig grunnlag (f.eks. standard personvernbestemmelser/SCC, bindende virksomhetsregler eller unntak etter art. 49). Det må også vurderes om det trengs supplerende sikkerhetstiltak – for eksempel kryptering – for å oppfylle kravene etter Schrems II-dommen. 9 For å avklare lovligheten kan det være behov for nærmere overføringsvurderinger, ofte omtalt som Transfer Impact Assessment (TIA).

    10.3.3 Bruk av data til modelltrening

    Virksomheten må undersøke om leverandøren bruker innsendt data til å trene KI-modellen videre. Dette gjelder både personopplysninger og andre forretningskritiske data. Hvis slik videre bruk skjer, kan det:

    • Skape uklarheter om behandlingsansvar og formål.
    • Medføre risiko for formålsutglidning.
    • Kreve eksplisitt rettslig grunnlag (som samtykke).

    10.3.4 Krav til rettslig grunnlag og formålsbegrensning

    Datatilsynet har i flere sammenhenger, herunder i sine «sandkasseprosjekter» 10 understreket at mange virksomheter sliter med å ha “orden i eget hus” når de tar i bruk KI. Det innebærer at:

    • De ikke alltid vet hvilke opplysninger de gir KI-assistenten tilgang til.
    • Det ofte ikke er klart om det finnes et gyldig rettslig grunnlag for behandlingen.
    • Det er fare for formålsutglidning, altså at personopplysninger brukt til ett formål (for eksempel HR eller kundeservice), brukes til noe helt annet i KI-assistenten.

    Datatilsynet har fremhevet behovet for strenge tilgangsstyringer og tekniske tiltak som begrenser hvilke data som faktisk behandles, særlig når KI-assistenten integreres mot interne systemer.

    Virksomheter bør derfor etablere interne retningslinjer og kontrollmekanismer som sikrer at automatiserte vurderinger enten unngås – eller håndteres i tråd med lovens krav. Dette er særlig viktig der assistenten integreres med saksbehandlingssystemer eller beslutningsstøtte.

    10.3.5 Nærmere om forbudet mot automatiserte avgjørelser

    Personer har som hovedregel rett til ikke å bli underlagt avgjørelser som utelukkende er basert på automatisert behandling – inkludert profilering – dersom avgjørelsen har rettsvirkning eller i vesentlig grad påvirker dem.

    Det gjelder likevel noen unntak til dette forbudet:

    • avgjørelsen er nødvendig for å inngå eller oppfylle en avtale,
    • det finnes rettslig hjemmel i EU- eller nasjonal rett, eller
    • den registrerte har gitt uttrykkelig samtykke.

    I slike tilfeller må virksomheten sikre tilstrekkelige garantier for individets rettigheter, blant annet retten til menneskelig inngripen, til å gi egne synspunkter og til å bestride avgjørelsen. Bruk av særlige kategorier personopplysninger (som helseopplysninger) krever i tillegg særskilt rettsgrunnlag og ytterligere beskyttelsestiltak.

    Kort sagt: Hvis et KI-system brukes til å fatte avgjørelser som har stor betydning for enkeltpersoner, må avgjørelsene være forklarbare, ha rettslig grunnlag og kunne overprøves av et menneske.

    Forbudet i GDPR artikkel 22 gjelder ved fullt automatiserte avgjørelser uten menneskelig mellomledd, som har rettslige eller tilsvarende betydelige virkninger for den registrerte. Anbefalinger fra en KI-assistent vil normalt ikke omfattes, dersom en person vurderer og fatter den endelige avgjørelsen.

    10.3.6 DPIA ved bruk av KI – når er det nødvendig og hva må den inneholde?

    10.3.6.1 Når kreves en DPIA?

    En personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA) er et verktøy for å identifisere og redusere personvernrisiko før man setter i gang behandling av personopplysninger – særlig når ny teknologi tas i bruk. Kravet følger av artikkel 35 i personvernforordningen, og gjelder der det er sannsynlig at behandlingen vil medføre høy risiko for enkeltpersoners rettigheter og friheter.

    Kjernen i vurderingen er om teknologien, sammen med behandlingens art, omfang, formål og kontekst, samlet sett tilsier at risikoen er høy. Det er altså ikke teknologien i seg selv, men hvordan den brukes, som avgjør om en DPIA må gjennomføres.

    Personvernforordningen lister tre typetilfeller som ofte vil innebære høy risiko og kreve en personvernkonsekvensvurdering:

    • profilering eller automatisert vurdering av individer
    • behandling av særlige kategorier av opplysninger (f.eks. helse, etnisitet og politisk ståsted)
    • overvåking i stor skala av offentlig tilgjengelige områder

    I tillegg har Datatilsynet (og andre tilsyn i Europa) utarbeidet egne lister over behandlingstyper som alltid krever DPIA 11 . For eksempel nevner Datatilsynet behandling av personopplysninger ved bruk av innovativ teknologi (for eksempel KI), kombinert med minst ett annet risikokriterium. Dette innebærer at bruk av KI alene ikke nødvendigvis utløser krav om DPIA – det kommer an på hvordan KI-systemet brukes og om det behandles personopplysninger i stor skala eller på særlig følsomme måter.

    10.3.6.2 Når trengs det trolig ikke en DPIA?

    Hvis punktene under gjør seg gjeldende kan det tenkes at risikoen ikke er høy, og at en personvernkonsekvensvurdering ikke er nødvendig:

    • Det behandles personopplysninger i liten skala og det behandles ikke særlige kategorier personopplysninger.
    • Det er menneskelig kontroll over alle avgjørelser som påvirker personer.
    • KI-en kun støtter interne prosesser uten å fatte beslutninger.
    • Det ikke er snakk om “ny teknologi” i betydningen uprøvd eller lite moden.

    Det norske Datatilsynet har gitt uttrykk for at KI som hovedregel anses som ny teknologi. Flere europeiske datatilsyn har imidlertid understreket at ikke all KI regnes som ny teknologi - det avgjørende er bruksområdet og skalaen. Vurderingen av om personvernrisikoen er høy, og om DPIA derfor er nødvendig, må uansett alltid være konkret.

    10.3.6.3 Hva skal en DPIA inneholde?

    1.  En systematisk beskrivelse av behandlingen og formålet.
    2.  En vurdering av nødvendighet og proporsjonalitet – er tiltaket egnet, og går det lenger enn nødvendig?
    3.  En vurdering av risiko for de registrertes rettigheter og friheter.
    4.  Planlagte tiltak for å redusere risiko og sikre etterlevelse av regelverket.

    Ved bruk av KI bør man i tillegg:

    • forklare hvordan og hvor data hentes fra, og hvordan KI-modellen behandler disse
    • beskrive eventuelle automatiserte avgjørelser og graden av menneskelig kontroll
    • vurdere særskilt dataminimering og riktighet, som er utfordrende for mange KI-systemer
    • sørge for at formålet med bruken er klart og forståelig – særlig når det er sluttbrukeren som styrer bruken
    • legge vekt på retten til informasjon og innsyn, og hvordan dette skal ivaretas
    • planlegge for regelmessig revisjon og testing av KI-verktøyet, fordi systemene endres over tid

    Flere europeiske datatilsyn, herunder det danske datatilsynet, har utarbeidet egne veiledere for personvernkonsekvensvurdering som også kan benyttes ved bruk av KI. 12

    10.3.6.4 Oppdater virksomhetens personverndokumentasjon

    Ved bruk av KI-assistenter som behandler personopplysninger, må følgende dokumentasjon oppdateres:

    • Personvernerklæringen for kunder, ansatte eller andre berørte
    • Protokollen over behandlingsaktiviteter (art. 30)
    • Intern dokumentasjon og rutiner for hvordan behandlingen skjer
    • Eventuell avvikshåndtering og revisjon av databehandlerforhold

    10.3.7 Oppsummert: GDPR- sjekkliste

    • Avklare roller og ansvar - hvem er behandlingsansvarlig/databehandler?
    • Har vi gyldig databehandleravtale?
    • Skjer det overføring ut av EØS, og er vilkårene oppfylt?
    • Treningsdata – brukes våre data videre?
    • Hvilke opplysninger behandles - har vi rettslig grunnlag og sikret formålsbegrensning?
    • Treffes det avgjørelser ved bruk av KI-assistent, og er evt. automatiserte avgjørelser lovlige?
    • Trenger vi å gjennomføre en DPIA?
    • Er personverndokumentasjonen oppdatert?

    10.4 Andre relevante regelverk?

    I tillegg til KI-forordningen og personvernforordningen, må virksomheter også være oppmerksomme på andre regelverk som kan være relevante ved bruk av KI-assistenter, avhengig av sektor, bruksområde og type behandling. Særlig gjelder dette for offentlige virksomheter eller aktører innen samfunnskritisk infrastruktur. I det følgende gis noen ikke uttømmende eksempler på lovgivning som gjelder for visse typer virksomheter i visse tilfeller og som må vurderes også i bruken av KI-systemer:

    10.4.1 Helselovgivningen

    Enhver virksomhet innen helse- og omsorg er pålagt å tilby faglig forsvarlige helse- og omsorgstjenester og god pasientsikkerhet. 13 For mer informasjon om validering og regelverk for tilgang til data til validering vises til Rapport om kvalitetssikring hos Helsedirektoratet. 14

    Helseopplysninger er etter norsk rett underlagt taushetsplikt og for all behandling av personopplysninger stilles det krav om behandlingsgrunnlag etter artikkel 6 og artikkel 9 i personvernforordningen for behandling av helseopplysninger. 15 Den dataansvarlige har ansvaret for at behandlingen av person- og helseopplysninger er i samsvar med gjeldende regelverk, blant annet å sørge for at helseopplysningene behandles lovlig og for tilfredsstillende informasjonssikkerhet og internkontroll.

    Bestemmelser om automatiserte avgjørelser finnes i også i pasientjournalloven og folketrygdloven, og åpner også opp for at det kan gis forskrift om at mer inngripende avgjørelser kan treffes automatisert. 16

    Lov om medisinsk utstyr gjennomfører forordningene om medisinsk utstyr (MDR og IVDR). Dersom et KI-system skal benyttes til et medisinsk formål må det anskaffes et medisinsk utstyr. 17 Se også vedlegg C avsnitt 10.2.2.

    Innføring av KI-systemer kan påvirke bruk av det strålegivende utstyret eller andre forhold relevant for strålevern, for eksempel beslutningsstøtte for vurdering av berettigelse av en radiologisk undersøkelse. Strålevern-regelverket stiller strenge krav til blant annet risikovurderinger, kvalitetskontroll av systemene og kompetanse til å bruke disse. 18

    10.4.2 Forvaltningsloven

    Forvaltningsloven stiller generelle krav til saksbehandling i offentlig sektor, blant annet om innsyn, begrunnelse og habilitet. Dette gjelder også når KI brukes i forvaltningens oppgaveløsning, enten som støtteverktøy eller ved automatisert behandling av saker som påvirker borgernes rettigheter. Selv om KI ikke er særskilt regulert i forvaltningsloven, er loven teknologinøytral og kommer til anvendelse uavhengig av hvilken teknologi som benyttes.

    Ny forvaltningslov som forventes å tre i kraft innen utgangen av 2025 inneholder en egen bestemmelse (§ 11) om automatisert saksbehandling. Denne tydeliggjør rettslige rammer for bruk av automatiserte beslutningssystemer – herunder bruk av KI – og presiserer at automatisering bare er tillatt dersom kravene til forsvarlig saksbehandling overholdes. Det innebærer at forvaltningsorganet blant annet må sørge for at partene får forhåndsvarsel, at nye opplysninger gjøres kjent, og at saken er tilstrekkelig opplyst før vedtak treffes.

    Bruk av KI i saksbehandling kan gi gevinster i form av økt effektivitet, likebehandling og kapasitet, men reiser også betydelige rettslige og etiske spørsmål. Kravene til begrunnelse, forsvarlig skjønnsutøvelse og kontradiksjon gjelder fullt ut også ved delvis eller fullt automatisert saksbehandling. Når KI brukes ved behandling av søknader, tildeling av rettigheter eller fastsettelse av plikter, skjerpes oppmerksomheten rundt kravene til rettssikkerhet og åpenhet.

    Etter ny forvaltningslov § 11 kan automatiserte avgjørelser bare fattes dersom det rettslige grunnlaget ikke forutsetter en individuell menneskelig vurdering. Der avgjørelsen bygger på rettsanvendelse eller skjønn, må det vurderes konkret om vurderingen kan systematiseres på en måte som er forenlig med rettskildene. I noen tilfeller vil det være nødvendig å gi forskrift for å klargjøre hvordan slike vurderinger skal forstås, og da kreves særskilt forskriftshjemmel. Grensene for hva som kan automatiseres vil kunne endres over tid i takt med teknologiutviklingen og kvaliteten på tilgjengelige data. Bestemmelsen tydeliggjør også at avgjørelser som omfattes av personvernforordningen – det vil si at fullt automatiserte avgjørelser med rettsvirkning for enkeltpersoner – ikke kan fattes uten særskilt hjemmel. Dette forbudet har særlig betydning i møte med KI-systemer som kan fatte vedtak automatisk.

    Offentlige virksomheter som vurderer å bruke KI i beslutningsprosesser, bør som et minimum:

    • sikre innsyn i hvordan beslutningen er fattet,
    • gi den registrerte mulighet til å komme med forklaring og be om ny vurdering,
    • forebygge diskriminering og urettferdig behandling.

    10.4.3 Sikkerhetsloven

    Sikkerhetsloven og annet regelverk for virksomheter som håndterer sikkerhetsgradert informasjon eller kritisk infrastruktur og informasjon, stiller krav til hvordan slik informasjon og teknologi skal beskyttes for å ivareta sikkerhet og samfunnets funksjonalitet. Når KI-løsninger benyttes, må virksomheten sikre at alle krav til konfidensialitet, integritet og tilgjengelighet opprettholdes.

    Virksomheten må gjennomføre grundige risikovurderinger som inkluderer trusler og sårbarheter knyttet til informasjon, IT-systemer og KI-teknologi. Videre skal virksomheten etablere et sikkerhetsstyringssystem som regulerer tilgang, håndtering av informasjon og rapportering av sikkerhetshendelser. Ansatte med tilgang til sikkerhetsgradert informasjon skal være sikkerhetsklarerte for å hindre uautorisert tilgang.

    For å sikre etterlevelse av sikkerhetslovens krav ved bruk av KI, bør virksomheten som et minimum:

    • vurdere risiko knyttet til bruk av KI, spesielt ved bruk av eksterne tjenester
    • stille strenge krav til leverandører og sikre forsvarlig behandling, lagring og overføring av data
    • dokumentere bruken av KI-verktøy og sikre sporbarhet i beslutningsprosesser
    • etablere beredskapsrutiner for å oppdage og håndtere sikkerhetsbrudd relatert til KI-løsninger.

    10.4.4 Arkivloven

    Arkivloven pålegger de fleste offentlige virksomheter å dokumentere og bevare saksbehandlingsprosesser på en forsvarlig måte. Dette kravet gjelder uavhengig av hvilken teknologi som benyttes, inkludert bruk av KI i saksbehandling og kommunikasjon. Når KI-systemer tas i bruk, må virksomhetene sikre at all dokumentasjon som er relevant for saksbehandlingen, blir korrekt journalført og arkivert i tråd med lovens krav. Arkivlovens krav om etterrettelighet og sporbarhet må også opprettholdes når KI benyttes i forvaltningen. Dette innebærer at beslutningsprosesser og grunnlaget for disse må kunne etterprøves.

    For å sikre at bruken av KI er i samsvar med arkivlovens krav, bør virksomheter som et minimum:

    • vurdere hvordan KI-systemer påvirker dokumentasjonsplikten
    • sikre at alle relevante dokumenter og beslutninger blir journalført og arkivert
    • opprettholde nødvendig menneskelig kontroll over arkiveringsprosessen.

    10.4.5 Åndsverkloven

    Åndsverkloven gir enerett til skaperen av et verk til å råde over det, inkludert retten til å fremstille eksemplar og gjøre verket tilgjengelig for allmennheten. Store språkmodeller og KI-assistenter reiser spørsmål knyttet til åndsverk og opphavsrett. Mange slike systemer er trent på innhold som i utgangspunktet er skapt av mennesker – tekster, bilder, musikk og annet materiale som kan være beskyttet av åndsverkloven. Når virksomheter legger inn opphavsrettsbeskyttet materiale som input i KI-systemer, kan det skape juridiske spørsmål knyttet til kopiering, bearbeiding og viderebruk. Det kan også oppstå spørsmål om brudd på eneretten til rettighetshaverne, særlig hvis KI-genererte output ligner for mye på opprinnelig beskyttet materiale. Videre kan det reises spørsmål om hvem som har retten til et verk som er skapt ved bruk av KI.

    For å håndtere disse utfordringene anbefales virksomheter å være bevisste på følgende:

    • KI-assistenter er ikke kreative i seg selv – de bygger på eksisterende materiale, inkludert verk som er laget av forfattere, designere, kunstnere, journalister og andre skapende yrkesgrupper.
    • Det som genereres, kan ligne på eller etterligne åndsverk, uten at det alltid er åpenbart hvor inspirasjonen kommer fra.
    • Kritisk bruk av slikt innhold kan undergrave rettighetshavernes verdiskaping, særlig i kreative og kunnskapsbaserte bransjer.

    Praktiske anbefalinger for bruk av KI i lys av åndsverkloven:

    • Ikke bruk KI til å erstatte åndsverk uten vurdering.
    • Vurder om det som genereres, i realiteten fungerer som en kopi eller erstatning for et verk som normalt ville vært lisensiert, kjøpt eller bestilt.
    • Bruk kun egne eller klarerte data og input.
    • Unngå å mate KI-assistenter med tekst, bilder eller annet materiale dere ikke har rettigheter til.
    • Ikke anta at dere eier det som kommer ut. Output fra KI-modeller er ikke nødvendigvis “frie til bruk”, selv om de er automatisk generert. Sjekk betingelsene i verktøyet, og vær forsiktig med gjenbruk i kommersiell eller offentlig sammenheng.

    Særlig om «Text and Data Mining» (TDM) og opphavsrett i KI-bruk

    Det såkalte “TDM-unntaket” (text and data mining) stammer fra EU-direktiv 2019/790 (DSM-direktivet). TDM er en teknikk for automatisk analyse og bearbeiding av store mengder tekst og data. Etter direktivet gjelder det unntak i opphavsretten som tillater slik bruk under visse betingelser, blant annet for forskningsformål og – i begrenset grad – kommersiell bruk, så lenge rettighetshavere ikke har reservert seg. Dette unntaket kan ha betydning for trening av store språkmodeller og KI-systemer, som benytter store datamengder til å lære. Det er imidlertid ikke avklart om dette unntaket faktisk gir rett til å bruke beskyttet innhold til modelltrening i kommersiell sammenheng.

    I Norge er ikke unntaket per i dag implementert i loven, og det finnes ikke noe klart juridisk grunnlag for å bruke opphavsrettslig beskyttet materiale til TDM eller modelltrening uten tillatelse. Virksomheter bør derfor være forsiktige og ikke basere seg på TDM-unntaket i dag, men heller sikre seg nødvendige rettigheter og klarhet i datagrunnlaget ved bruk av KI-assistenter.

    Virksomheter bør i stedet:

    • Se på KI-tjenester med åpenhet rundt hvilke data som brukes og hvordan rettigheter håndteres.
    • Ikke bruke beskyttet innhold uten nærmere vurdering, avtale eller tillatelse.
    • Vurdere KI-leverandørens dokumentasjon for hvordan modellen er trent og hvilke rettigheter som gjelder.

    Fotnoter

    7  General-Purpose AI Code of Practice | Shaping Europe’s digital future
    13  Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten: https://lovdata.no/dokument/SF/forskrift/2016-10-28-1250
    15  Les mer om dette på Helsedirektoratets nettsider om kunstig intelligens: https://www.helsedirektoratet.no/rundskriv/regelverket-for-utvikling-av-kunstig-intelligens
    17  Direktoratet for medisinske produkter (DMP) er fag- og tilsynsmyndighet for medisinsk utstyr i Norge og forvalter produktregelverket for medisinsk utstyr. Utfyllende informasjon finnes på DMP’s nettsider: https://www.dmp.no/medisinsk-utstyr/
    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen