Applikasjoner med innskudd av kunstig intelligens (AI) har blitt vanlig i våre liv. Flere bedrifter satser på utvikling av AI-løsninger. Selv om kunstig intelligens og digitale løsninger skal bidra til økt innovasjon og konkurransekraft, effektivisering og sikkerhet, er det er mange juridiske fallgruver.
I en verden hvor teknologi utvikler seg raskere enn noen gang, er det viktig å holde seg oppdatert på regelverket. Våre spesialiserte advokater forstår kompleksiteten i EU sin AI-forordning og tilbyr ekspertise for å navigere i dette landskapet, identifisere risiki slik at dere har kontroll på disse når dere tar i bruk teknologien eller utvikler nye digitale systemer.
Advokatfirmaet Halvorsen & Co bistår både utviklere, leverandører og virksomheter som bruker eller ønsker å ta i bruk kunstig intelligens og annen digital teknologi. Vi har god kunnskap om risikoelementer dere kan utsettes for, noe som kommer til dere til nytte, enten det gjelder bistand i forbindelse med utarbeidelse av kontrakter, i forhandlinger om salg eller kjøp av AI-applikasjoner eller ved implementering av AI-produkter i deres virksomhet.
AI-forordningen er vedtatt
EU-parlamentet vedtok 13. mars 2024 unionens nye kunstig intelligens-lov (AI Act). Loven må gjennom en formell godkjenning i EUs ministerråd før den kan tre i kraft i EU. Den formelle vedtakelsen av AI Act forventes å skje i løpet av kort tid, og loven vil da tre i kraft 20 dager etter publisering i den europeiske unions tidende.
Regjeringen har høsten 2023 hatt en arbeidsgruppe som har vurdert EØS-relevans, og denne gruppen har konkludert med at rettsakten er EØS-relevant. Når forordningen blir formelt vedtatt, vil den måtte tas direkte inn i norsk lov. Fordi Norge har hatt en aktiv tilnærming og vært en bidragsyter til EU-regelverket, forventer vi at Norge implementerer dette EU-regelverket i norsk rett relativt raskt etter at loven har trådt i kraft i EU.
Om AI Act
Loven bygger på en risikobasert tilnærming, med inndeling i risikokategorier. Dette innebærer at jo høyere risiko bruken av kunstig intelligens utgjør, desto strengere reguleres bruken. De foreslåtte reglene regulerer derfor først og fremst «høyrisiko-bruk» av AI, som utgjør en stor potensiell trussel mot samfunnet og enkeltpersoner. Målet er å gjøre EU best i verden når det gjelder utvikling og bruk av sikker, pålitelig og menneskesentrert kunstig intelligens, fordi tillit til AI-systemer er viktig og nødvendig for at for at det sosiale og økonomiske potensialet i kunstig intelligens kan utnyttes fullt ut.
I AI Act deles bruk av kunstig intelligens i fire kategorier:
1 Uakseptabel risiko – forbud
Dette omfatter AI-systemer som anses å være uakseptabelt fordi de strider med grunnleggende
verdier i EU, for eksempel brudd på grunnleggende rettigheter. Forbudet omfatter blant annet:
- AI-systemer som har et betydelig potensial for manipulere personer gjennom subliminale teknikker utenfor deres bevissthet, og dermed påvirke oppførselen deres på en måte som det er sannsynlig at kan forårsake psykisk eller fysisk skade
- Utnytting av sårbarheter hos en gruppe på grunn av alder eller psykiske eller fysiske funksjonsnedsettelse for å påvirke oppførselen deres på en måte som det er sannsynlig at kan forårsake psykisk eller fysisk skade
- AI-baserte systemer brukt av offentlige myndigheter for å vurdere troverdigheten til personer på grunnlag av sosial oppførsel i ulike sammenhenger, eller ved bruk av kjente eller predikerte personlighetstrekk, og som kan føre til skadelig eller ufordelaktig behandling av denne personen eller gruppen av personer i sammenhenger som ikke er relatert til de sammenhengene dataene opprinnelig ble generert eller samlet inn for, skadelig eller ufordelaktig behandling av visse fysiske personer eller hele grupper, som er uforholdsmessig sammenlignet med alvorlighetsgraden av deres sosiale oppførsel
- bruk av sanntids biometriske identifikasjonssystemer plassert i offentlig tilgjengelige rom (masseovervåkning) til bruk for rettshåndhevelse.
2 Høyrisiko
Denne kategorien vil omfatte AI-systemer som innebærer høy risiko for personers helse, sikkerhet
eller grunnleggende rettigheter. Disse AI-systemene vil være lovlige forutsatt at:
- systemene er underlagt et risikostyringssystem
- dataene som systemene bygges på har høy kvalitet for å sikre at resultatene er upartiske og ikke diskriminerer
- det gis detaljert dokumentasjon om hvordan AI-systemene fungerer, slik at myndighetene kan vurdere om reglene er overholdt
- leverandører deler informasjon med brukerne for å hjelpe dem med å forstå og bruke AI-systemer på riktig måte
- det må være menneskelig tilsyn både ved utformingen og implementeringen av kunstig intelligens
3 Begrenset risiko
Enkelte AI-systemer er underlagt visse transparensforpliktelser. Dette gjelder systemer som skal samhandle med fysiske personer. Disse systemene må være innrettet slik at personen blir informert om at de samhandler med et AI-system, hvis ikke dette framgår av sammenhengen av bruken. Denne informasjonsplikten gjelder ikke AI-systemer regulert i lov som har til formål å avsløre, lokalisere, identifisere eller reise tiltale etter en straffbar handling, hvis ikke det gjelder systemer som er offentlig tilgjengelige og etablert for å rapportere straffbare handlinger.
4 Minimal risiko
Størsteparten av AI-systemene som er i bruk, representerer minimal risiko for enkeltpersoner og samfunnet som helhet. De AI-systemene som ikke er omfattet av de tre første kategoriene, anses som systemer med minimal risiko, og er derfor ikke underlagt særskilte forpliktelser.
Det antas at hovedtyngden av AI-systemer vil falle inn under kategori 3 og 4.
Tilsyn/sanksjoner
Det skal opprettes utnevnes en nasjonal tilsynsmyndighet for kunstig intelligens tilsynsorganer som skal overvåke om loven etterleves. Tilsynet gis myndighet til å kunne ilegge gebyrer ved brudd på regelverket.
Gebyrenes størrelse avhenger av hvilke artikler det foreligger brudd på. De alvorligste bruddene kan gi gebyrer på inntil 1,5% av global omsetning opp til 35 millioner euro eller 7% av global omsetning, avhengig av overtredelsen og selskapets størrelse.
Andre lover
Utover AI-loven er det flere andre lovreguleringer på trappene innen den digitale sektoren, deriblant
AI Liability Directive som skal regulere ikke-kontraktuelt sivilt erstatningsansvar for skade forårsaket av
et AI-system, Data Governance Act, Data Act, Cyber Resiliance Act, Plattformdirektivet.
Hva kan bistå med?
Vi kan hjelpe deg med å sikre at du etterlever regelverket, i vurderinger om du har rett til å bruke og
dele data, holdt opp mot tilgrensede områder som personvern (GDPR), opphavsrett, kontraktuelle
rettigheter og forpliktelser, konfidensialitet/forretningshemmeligheter, sikkerhetslovgningen mv.
Vi kan også bistå med
- personvernvurderinger, herunder
- om virksomheten har tilstrekkelig grunnlag for å behandle personopplysningene for de
planlagte formål på lovlig måte, - hvilke personopplysninger som behandles,
- hvilke personvernfunksjoner har verktøyet og hvilke formål vil personopplysningene
behandles for.
- om virksomheten har tilstrekkelig grunnlag for å behandle personopplysningene for de
- personvernkonsekvensutredninger
- utforming og forhandlinger om kontrakter for salg og kjøp av AI-applikasjoner
- risikovurderinger
- interne retningslinjer for bruk av kunstig intelligens
- arbeidsrettslige krav ved implementering, herunder
- krav til drøfting etter arbeidsmiljøloven og eventuell tariffavtale
- krav til opplæring og veiledning av ansatte
- bruk av AI i oppsigelsessaker og ved nedbemanning