get_queried_object(); $id = $cu->ID; ?>

Verdens første KI-lov til Norge: Hvilke utfordringer vil reglene løse?

Dette innlegget, signert direktør Line Coll og seksjonssjef Tobias Judin, sto på trykk i Aftenposten 29. januar 2024.

EU finpusser verdens første kunstig intelligens(KI)-lov, og en lekket versjon begynte å sirkulere på nett denne uken. Hvilke utfordringer vil reglene løse, og hvilke gjenstår?

Førsteamanuensis og Aftenposten-spaltist Inga Strümke skriver med rette at vi trenger EUs KI-forordning for å regulere KI. Samtidig er vi ikke helt enige i at reglene rydder opp i paragrafjungelen.

Forordningen samler ikke KI-regler på ett sted, men kommer i tillegg til andre lover som regulerer KI, slik som GDPR (personvernforordningen). Det er også mange KI-systemer som ikke er omfattet av forordningen.

Strümke har også rett i at Norge må jobbe godt med å få reglene inn i norsk rett. Utfordringen er å innføre reglene på en måte som tar ned kompleksiteten for virksomheter og samtidig ivaretar verdiene i samfunnet.

Forbud og samspill

Forordningen inneholder flere forbud og vil tilrettelegge for KI som vi kan stole på, og som ivaretar menneskerettigheter og demokrati. For eksempel forbys manipulativ KI som forårsaker vesentlig skade.

Imidlertid forbys ikke KI som bare fører til medium skade. Det skaper uklarhet og rom for omgåelse. Spørsmålet er da hvor effektive reglene vil være. Dette er et av mange eksempler på at forordningen må suppleres, helst av klare nasjonale regler. I det minste av etikk og fornuft.

Reglene oppstiller også plikter for høyrisiko-KI. Eksempler er KI som brukes til rekruttering eller avgjørelser om trygdeytelser. Det stilles krav til risikovurdering, gode treningsdata, testing, dokumentasjon og involvering av mennesker. Algoritmene må være nøyaktige og sikre nok.

Mange av pliktene overlapper med GDPR. Det er derfor både viktig og ressursbesparende å se de to lovene i sammenheng, av hensyn til gode helhetsvurderinger og for å unngå dobbeltarbeid.

De fleste av de nye pliktene gjelder tilbyderne. Samtidig reguleres hele verdikjeden, også de som skal bruke KI, som får en huskeliste: Følg bruksanvisningen, husk opplæring, bruk representative data og meld avvik.

Generativ KI

Forordningen vil også regulere KI-modeller som kan brukes til ulike formål, som generativ KI.

Tilbyderne må dokumentere modellenes evner og begrensninger, tenke opphavsrett samt publisere oversikt over treningsdata. De mest kompliserte modellene må ha risikoreduserende tiltak.

Det blir EU-kommisjonen som skal håndheve akkurat disse reglene.

Tilsyn

Hva gjelder tilsyn med de øvrige reglene, peker forordningen i ulike retninger: til datatilsynene for justissektoren og til finanstilsynene for finanssektoren. Ut over det må hvert land velge sin(e) tilsynsmyndighet(er).

Spørsmålet nå er om vi ønsker å legge mest mulig ett sted, eller om vi ønsker en sektorvis og fragmentert tilnærming.

Tilsynsmyndighetene skal imidlertid ikke bare sanksjonere, men også støtte ansvarlig innovasjon gjennom regulatoriske sandkasser, slik Datatilsynet tilbyr.

KI-forordningen løser ikke alt. Det er smutthull, mange former for KI er ikke omfattet, vi må unngå dobbeltarbeid, og vi må lage et godt system for tilsyn.

Hvordan vi løser dette, vil avgjøre om Norge lykkes med KI.

GDPR feirer tre år. Er vi i rute?

Det er nå tre år siden GDPR begynte å gjelde i EU. Mye spennende har skjedd, og vi har enda mer i vente. Nå spør Europa seg selv: Var GDPR riktig medisin? GDPR, eller personvernforordningen som det heter på norsk, trådte egentlig i kraft i EU den 24. mai 2016. Det var...

les mer

Testing for dummies

Første gang jeg fikk spørsmål om å snakke for det vi litt upresist kan kalle testmiljøet, måtte jeg tenke meg grundig om. Jeg takket selvsagt ja, men jeg grunnet på hva i all verden jeg skulle si. Min første refleksjon var at testing var mindre utfordrende enn vanlig...

les mer

En trygg digital oppvekst

Dette innlegget ble holdt på oppstartsmøtet til Barne- og familiedepartementets strategi for trygg digital oppvekst 13. april 2021 En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i...

les mer

Jeg – en personvernets paternalist

Dette innlegget står på trykk i Morgenbladet 16. april 2021, og er et svar til Kyrre Wathnes kommentar «Personvernentusiastene må tøyles» i samme avis 9. april. Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er...

les mer

Kredittvurderinger til besvær

Datatilsynet har den siste tiden ilagt og varslet flere overtredelsesgebyrer for ulovlige kredittvurderinger. Ulovlige kredittvurderinger kan få store økonomiske konsekvenser, og gebyrene varierer i størrelsesordenen 100 000 kroner til 1 000 000,...

les mer

Glemmeboken som forsvant

Da jeg gikk på barne- og ungdomskolen, ja på videregående med, både sa og gjorde mine medelever og jeg ukloke, merkelige og dumme ting. For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper,...

les mer

To see or not to see?

Pandemisituasjonen i Norge og verden har med sjumilssteg tvunget fram en evolusjon som har forvandlet oss til digitale samfunnsdeltakere. Møter med mennesker utenfor den nærmeste familien skjer i stor grad i et blålig lys via kamera og skjerm. Mange av oss har slutta...

les mer

Foreldrenes rolle i barnas digitale liv

Dette innlegget ble hold på NorSIS (Norsk senter for informasjonssikring) sin markering av Safer Internet Day 2021: Takk for at jeg fikk muligheten til å snakke om foreldrenes rolle som digitale grensesetter og støttespiller. Det jeg kan om dette er todelt. Jeg kan...

les mer

Arkiv