Ifølge Grete Funderud Stillum, advokat MNA og partner i Advokatfirma Dehn DA, er ansvarlig KI-bruk et spørsmål om mer enn teknologi – det handler om struktur, risiko og juridisk etterlevelse.
1. Hva opplever du som de største juridiske utfordringene norske virksomheter møter i digitaliserings- og KI-prosjekter?
KI er i ferd med å bli standard arbeidsverktøy – samtidig som virksomheter møter et omfattende og lagdelt regelverk med flere lover som setter selvstendige krav. Det gjelder blant annet GDPR, arbeidsmiljøloven, NIS2 og kommende KI-lov. Lovene er dessuten i stor grad basert på EU-forordninger, som er vanskelig tilgjengelige og i endring.
Mange virksomheter undervurderer samtidig sin eksponering, og tror at leverandøren har kontroll. Det er avgjørende å forstå at risikoen og kravene ikke bestemmes av hva leverandøren kaller systemet, men av hva det faktisk brukes til. KI-loven er bygget på en risikobasert modell basert på bruk, med strengere krav ved økt risiko. GDPR-etterlevelsen er dessuten mangelfull hos mange.
2. Hvordan kan juridisk bistand bidra til å sikre ansvarlig og lønnsom implementering og bruk av ny teknologi og KI?
En god tilnærming følger tre faser – anskaffelse, implementering og vedlikehold: I anskaffelsen handler det om å klassifisere risiko gjennom riktige spørsmål og avklaringer, og forhandle leverandørkontrakter med regulering av ansvar, databruk og lagring, rettigheter og exit. I implementeringen sikres risikovurderinger, rollefordeling, interne retningslinjer, involvering av ansatte og opplæring, blant annet for å forebygge hallusinering, bias og brudd på konfidensialitetsplikter. I vedlikeholdsfasen bør juridisk bistand sikre at løsningen forblir oppdatert og ansvarlig.
3. Hvordan bør virksomheter jobbe med juridiske vurderinger og etterlevelse når bruken av KI stadig utvikler seg og endrer seg over tid?
Det som gjør dette særlig krevende, er at tre ting endrer seg parallelt: systemet selv, hvordan virksomheten bruker systemet og regelverket. Svaret er å tidlig bygge gode strukturer som omfatter juridiske vurderinger: et KI-register med risikoklasser, plan for kompetansesikring, avviksrapportering, sikring av åpenhet, og periodisk gjennomgang. En slik struktur kan samtidig ivareta GDPR-kravene til protokoll og dokumentasjon.
Parallelt er aktsomhetsnormene i alle bransjer i bevegelse. Når KI-verktøy blir standard, endres krav og forventninger til hva som er en god og forsvarlig leveranse. Det forplikter både dem som bruker KI, og dem som ikke gjør det.
Vi tilbyr spesialisert juridisk bistand til bedrifter, privatpersoner og det offentlige. Våre advokater har bred erfaring innen både forretningsjus og privatjus.
Les mer på dehn.no