2. september la Riksrevisjonen frem sin rapport om bruk av kunstig intelligens (KI) i staten. Der kom dommen fra en lite imponert Riksrevisjon: Staten henger etter.
Tilretteleggingen for å utnytte mulighetene i offentlig sektor og ta i bruk KI på en ansvarlig måte er ikke tilfredsstillende, ifølge rapporten. Men hva med privat sektor?
Det kan virke som at private virksomheter i Norge i større grad enn offentlige ønsker å melde seg på KI-kappløpet. God kompetanse innenfor feltet er likevel mangelvare, og konsekvensen blir at virksomheter som ønsker å ta i bruk KI ofte blir overivrige og etablerer forhastede KI-løsninger uten å gjennomføre nødvendige risikovurderinger. Dette kan føre til at man implementerer løsninger som ikke tilstrekkelig hensyntar informasjonssikkerhet og etterlevelse av GDPR. Konsekvensene av dette kan være både tap av forretningshemmeligheter, sanksjoner fra myndigheter på grunn av manglende etterlevelse, samt direkte konsekvenser for den enkeltes personvern.
Riksrevisjonen påpeker også at de etiske prinsippene for ansvarlig bruk av kunstig intelligens ivaretas i ulik grad. Det er god grunn til å tro at denne konklusjonen er overførbar også til privat sektor. De etiske prinsippene revisjonen sikter til ble utarbeidet av EU-kommisjonens ekspertgruppe for kunstig intelligens og stiller krav knyttet til personvern, likebehandling, sikkerhet og teknisk robusthet, transparens og ansvarlig styring ved bruk av KI. Foreløpig er disse kravene definert som retningslinjer, men nå som EUs «AI Act» har trådt i kraft vil det etter hvert bli lovpålagt å følge krav til ansvarlig bruk av KI. Da vil virksomhetene som fra start har etablert KI-løsninger på en måte som ivaretar EU-kommisjonens etiske prinsipper og GDPR, og som er utviklet basert på grundige og helhetlige risikovurderinger, ha et enormt forsprang.
Før KI-løsninger utvikles og implementeres bør man derfor gjennomføre en risikovurdering som tar for seg de ulike konsekvensene bruken av KI vil kunne medføre. Risikovurderingen bør ta stilling til lovlighet og etiske hensyn samt legge grunnlaget for en robust plan for ansvarlig styring av teknologien.
I Agenda Risk har vi bred erfaring med personvernarbeid og risikovurderinger og kan bistå i gjennomføringen av risikovurderinger i forkant av både større og mindre KI-satsninger. Ta gjerne kontakt med oss dersom dere ønsker å melde dere på KI-racet, men er usikre på hvordan det kan gjøres på en mest mulig ansvarlig måte.
Om forfatteren: Ada Hoff er rådgiver i Agenda Risk. Hun bistår ulike prosjekter på tvers av Agenda Risk sine tjenesteområder og har opparbeidet seg bred erfaring og kunnskap innenfor sikkerhet og beredskap, helhetlig risikostyring og compliance. Ada har tidligere arbeidet med kommunikasjon i den politiske avisen Altinget og det internasjonale senteret for kontraterror i Nederland. Hun har gjennom sine erfaringer fått svært god innsikt i det stadig mer komplekse risikobildet og sikkerhetslandskapet norske virksomheter står overfor.