Hei og velkommen. God morgen alle sammen. Velkommen til dette foredraget om offentlig KI, kunstig intelligens i nordisk offentlig sektor. I dag har vi et spennende tema, og vi har med oss en samarbeidspartner i Kjøtt for å prate om noe hett. Det er altså det juridiske og forretningsmessige med implementasjon av KI i offentlig sektor. Vi i Implement Consulting Group mener at implementasjon med KI i offentlig sektor er noe som vi må lykkes med som en misjon, og for å fortsette å ha verdens beste offentlig sektor, også i fremtiden. Det er derfor vi er glade at Digitaliseringsminister Karjane Tom har vært tydelig med hennes mål om at 80% av norsk offentlig sektor skal bruke KI. Vi har også en oppdatert digitaliseringsstrategi som regjeringen kommer med i høst som kommer til å sette enda mer lys på dette temaet i fremtiden. Men et av de største kjepphestene med implementasjon av KI i offentlig sektor er nettopp dette med det juridiske. Vi har derfor invitert en samarbeidspartner i Kjøtt, Inge Kristian Brodersen. Velkommen. Kanskje du vil si noen ord om deg selv? Vi starter. Takk, ja det kan jeg gjøre. Hyggelig å være her. Jeg er da Inge Brodersen, partner og advokat i teknologiavdelingen i Kjøtt. Jobber mye med alt som har med teknologi å gjøre. Informasjonsteknologi, kontrakter, tvister knyttet til det. Også personverden som typisk blir et subset av informasjonsteknologi, kontrakter. Men så ser vi også at det blir mer og mer interesse knyttet til kunstig intelligens åpenbart. Så det er veldig mye knyttet til det. Ikke minst foredrag og rett og slett. Og så slett oversikt over det aktuelle regelverket knyttet til det da. I den fasen man er i nå. Ellers så er jeg en del av et team som sagt. Og vi er jo spredt over landegrensen også. Så vi har kontorer både i, ikke bare i Oslo, men også i Stockholm, i København og i London. Ja, det var kort om meg. Flott. Velkommen Inge. Takk. Med oss har vi også min kollega fra Danmark, Sofie Pedersen. Du har jobbet med flere eksempel av KI inden for dansk kostelig sektor. Velkommen. Mange takk. Jeg heter Sofie Tramp-Pedersen og jeg sitter i vores Implement Københavner kontor. Hvor jeg arbeider med at hjælpe offentlige myndigheder, kommuner, staten, regionerne med at hjælpe med at implementere og udvikle de her AI-løsninger. Jeg har også fornyelig været en del av å lave en stor analyse av det samfunnsøkonomiske potentiale av generativ AI i Norge på vegne av Google og sammen med Oscar. Flott. Velkommen til dere begge. Før jeg gi ordet videre, så vil jeg bare gi litt kontekst. Nemlig at vi har gått fra KI for analyse, det som vi tradisjonelt har sett som maskinlæring, dyplæring, som er en type kunstig intelligens som er veldig flink til å gi et spesifikt svar på et eller et svar på et ganske spesifikt problem. Som for eksempel prognoser, kategorisering eller optimering. Og da vi da i 2022 fikk en ny type KI som heter generativ KI og store språkmodeller, så har det åpnet seg opp et hav av muligheter. Vi kan ha dialoger med mennesker, vi kan skape eller revidere innhold, og vi kan gjøre analyse og research på nye måter som vi ikke har hatt muligheter til før. Det er noen av disse mulighetene som min kollega Sofie har sett på, både i Danmark, og noe jeg tror at vi i Norge kan lære av og bli inspirert av også. Vær så god Sofie. Tusind takk, Oskar. Som du sier, så har vi i Danmark lenge, lige så lenge som i Norge formentlig, arbeidet med AI i den offentlige sektor. I lang tid den her klassiske form for kunstig intelligens, hvor vi selv skulle træne modellerne, og nu i højere grad også den generative kunstig intelligens, som er noget hvor vi bruger modeller der er trænet for oss på forhånd. Vi har fornyeligt lavet en kortlægning av mer en 120 i gangverne eller i driftsatte AI projekter eller kunstig intelligens projekter i den danske offentlige sektor. Og når vi kigger ned over dem, det her landskab av alt mulig der er igang og implementeret, så ser vi særlig to ting. Det ene det er, at selvom det er myndigheder som alle sammen er dybt specialiseret og laver alle mulige forskellige ting, så er det de samme use cases, der går igen på tværs. Det er altså grundlæggende set de samme opgaver, som offentlige myndigheder igen og igen finder ud af, at vi kan bruge kunstig intelligens eller generativ kunstig intelligens til at understøtte. For eksempel sådan noget som at håndtere borgerhenvendelser eller hjælpe på de indre linjer med at optimere ressourceforbrug eller automatisere generelle administrationstrin. Det andet vi ser, det er, at AI faktisk eller kunstig intelligens spiller en rolle i hele værdikæderne. Altså helt fra den mest borgernære service, som for eksempel det at svare på henvendelser eller arbejde med sager, helt ind til de helt indre linjer i logistik, administration og politikudvikling. Og når vi tager et kig på, hvordan de her projekter fordeler sig på de her kategorier, så kan vi også se, at der hen over hele linjen er både klassisk kunstig intelligens projekter og generativ kunstig intelligens projekter i drift og endnu flere under udvikling. Faktisk har vi mere end 45 initiativer, som allerede er i driftstat, og ud af dem er en del af dem generativ kunstig intelligens. Så det er gået rigtig hurtigt taget i betragtning af, hvor længe den her teknologi har eksisteret. Jeg skal bemærke, at vi i øvrigt er ved at lave et tilsvarende overblik på baggrund af den norske overblik over AI-projekter, hvor det samme billede i det store hele tegner sig. Men hvis vi kigger på Danmark, så er det, der er i drift på den generative kunstig intelligens, som er det, vi i særdeles tid har fokus på i dag, så ligger de særligt heroppe under direkte tjenester til befolkningen og nedenunder administration. Og det er i det store hele chatbots, der kan hjælpe enten medarbejdere eller borgere med at finde frem til den relevante information enten fra en intranet eller fra en hjemmeside. Og hertil så ser vi også på udviklingssiden, altså projekter, der endnu ikke er i drift sat, en del generative AI-projekter, der ligger under sagsbehandling, hvor man afsøger muligheden for at bruge den generative AI til at understøtte sagsbehandlingen, inden der træffes afgørelse i en sag for en borger. Så i dag så tager vi lige et kig på tre af de sager, eller tre af de cases, vi har fra Danmark. Henholdsvis en intern vidensbot, en borgerrettet chatbot og en case til understøttende sagsbehandling. Hvis vi så har et kig på den første case, så er det noget, vi har lavet sammen med ATP, som er en offentlig institution, som har ansvaret for at formidle den obligatoriske danske pension. Og det ATP bøvlede med, det er, at de har en kæmpestor vidensbase med en masse interne artikler, retningslinjer og vejledninger, som er for stor, at medarbejderne brugte alt for meget tid på at finde rundt i den. Faktisk oplevede medarbejderne, at de ikke engang kunne finde de artikler, de selv havde skrevet til vidensbasen. Og derfor gik der meget tid fra sagsbehandlingen og rigtig meget tid til onboarding i den her organisationsregler. Så det, vi har lavet til ATP, som kører i drift i dag og har gjort det i et lille år, er en intern vidensbot, kalder vi det, som er en chatbot-løsning, hvor medarbejderen kan stille sit spørgsmål i almindeligt sprog til chatbotten, ligesom de ville være gået hen og have hævet en kollega i ærmet. Så chatbotten laver så søgningen ned i vidensbasen for medarbejderen, finder de relevante artikler, læser dem og omsætter det til et svar i almindeligt sprog med en henvisning til det relevante sted i vidensbasen til medarbejderen. Så på den måde har man den her almindelige chat-lignende interaktion, i stedet for at skulle søge ned i de her omfattende vidensmaterialer. Og det som ATP har oplevet at få ud af det her, det er, at tiden per forspørgsel er blevet reduceret til 30 sekunder. Der skal vi huske, at det er benchmarket op imod, at de tidligere skulle rejse sig op og gå hen og hive en kollega i ærmet. De oplever også, at rigtig mange af de her forspørgelser kan besvares af chatbotten. Altså at den er langt bedre til at finde rundt i det her interne vidensmateriale, end medarbejderne var selv. Og det vi ser jo i praksis er, at de steder, hvor den enten returnerede en forkert artikel, har det været fordi, at der har ligget noget forældremateriale i vidensbasen, så det har givet anledning til ligesom at rydde op og få fjernet det, som ikke længere var relevant, så det ikke lå at fylde i vidensbasen. Og de steder, hvor løsningen ikke kunne give et svar, der har det været fordi, der endnu ikke har eksisteret en vejledning, så det har kunnet bidrage til at målrette, hvordan vidensbasen har skulle udbygges fremadrettet. Samtidig har en af de store gevinster også været, at tiden til onboarding er blevet væsentligt reduceret, fordi at nye medarbejdere frit kan søge i den her vidensbase og få svar på alle de spørgsmål, de måske synes virker dumme og som de ikke tør at henvende sig til en kollega om. De oplever, at de meget hurtigere er op at flyve. Så det var en rigtig positiv historie fra ATP. En anden case, vi har arbejdet med, er også en vidensbot. Men den her forskel fra ATP vendt ud mod borgerne, specifikt i den her situation, ud mod patienterne på Rigshospitalet. Den her afdeling på Rigshospitalet oplevede at få rigtig mange henvendelser for patienter. Nogle af dem knyttede sig til patientens sundhedsforløb eller deres specifikke behandling. Men rigtig mange af henvendelserne drejede sig om generelle forspørgseler. Hvad er ventetiden på det her? Hvad er reglerne for det her? Alle sammen ting, som kunne findes på hjemmesiden, men som var ufremkommelige for de her patienter at få fundet frem til. Samtidig så gik der rigtig meget tid med, at de sundhedsfaglige personale, som jo er hænder, der er i stor efterspørgsel på, skulle bruge tid på at åbne de her henvendelser, læse dem og orientere sig om, hvorvidt det var noget, de selv kunne besvare, eller om det var en anden i deres afdeling eller på hospitalet, som skulle håndtere den her henvendelse. Og ofte nåede henvendelsen forbi mange personer og skrivebord, før den landede det rigtige sted. Og på den måde optog det rigtig meget af den sundhedsfaglige tid, som jo er dyr, fordi den er lige præcis det, vi mangler. Den løsning, vi lavede til Rigshospitalet, og som lige nu er en pilot, vi netop har afsluttet, er en chatbot, som fungerer som et indledende screeningslink. Så når der kommer en henvendelse ind fra en patient, læser chatbotten i første omgang den her henvendelse og vurderer, er det noget, jeg kan svare på med afsæt i den information, jeg har tilgængeligt på hjemmesiden? Og hvis det er, så skriver chatbotten et svar direkte til borgeren. Hvis ikke, at det er noget, chatbotten kan svare på, hvis det er en mere specifik henvendelse, som vedrører borgerens eget sundhedsforløb, så laver chatbotten en vurdering af, hvilken specifik person, der skal være modtager af den her henvendelse ud fra nogle retningslinjer og ud fra historiske data, der gør, at henvendelserne i langt højere grad lander på det rigtige skrivebord i første omgang og ikke skal åbnes igen og igen for at blive visiteret videre i systemet. Så det, vi ser resultaterne af den her løsning, det er, at vi bruger væsentligt mindre af den sundhedsfaglige personales tid og ressourcer, fordi de har en del henvendelser, de slet ikke skal svare på, og fordi de bruger mindre tid på at sende henvendelser videre i systemet. For borgerens perspektiv, så er ventetiden blevet væsentligt forkortet, fordi de i langt de fleste af tilfældene kan få et svar instantly fra den her løsning og ikke skal vente på, at der er et menneske, som har været i berøring med deres henvendelse. Og de henvendelser, som vedrører deres eget sundhedsforløb, når som sagt hurtigere frem til den rette person og dermed også hurtigere tilbage til patienten. Og samtidig er der en general oplevelse af, at ensartigheden og kvaliteten af de her standardsvar er blevet øget sammenlignet med de ad hoc-svar, der er blevet givet rigtig hurtigt af det sundhedsfaglige personale tidligere. Så en høj tilfredshed med løsningen både for borgersiden, men også for personalsiden. Den sidste løsning, jeg vil tage et kig på, det er en lidt anden karakter. Det er for Gældsstyrelsen, som har lavet en pilot, der skal afsøge muligheden for at anvende generativ AI som en del af den forberedende sagsbehandling. Så det vil sige ikke det her dialogbaserede værktøj som de andre to løsninger, men en løsning, som i højere grad beriger materiale til sagsbehandlerne. Den situation, Gældsstyrelsen står i, specifikt i håndteringen af konkursbegæringer, som er genstandsfeltet for den her løsning, er, at de modtager meget omfattende, ofte flere hundredes siders dokumentation på en konkursbegæring, som har den her meget ustruktureret form, og hvor sagsbehandlerne skal lede efter bestemte oplysninger, som de kan trække ud og putte ind i et fagsystem. Så de bruger lang tid på at orientere sig i det her materiale, og først sent bliver de ofte opmærksomme på, at der er afgørende oplysninger, der mangler, som skal til vejbringes, før de kan gennemføre sagsbehandlingen, og som derfor gør, at materialet skal sendes tilbage til borgeren. Det, denne her løsning gør, er derfor, at den tager det her ustruktureret materiale, læser det igennem, udtrækker de relevante informationer på baggrund af de retningslinjer, som forretningen har givet for løsningen, og fremstiller det i et lækkert lille format, som bliver forelagt for sagsbehandlerne, når de åbner materialet. Så i stedet for at læse mange hundredesiders materiale igennem, så får de i første omgang en kort notis om, at her er de oplysninger, du skal bruge for at komme videre med din sagsbehandling. Og det gjorde i praksis, at sagsbehandlingstiden for det enkelte materiale blev reduceret fra op til en time til ned til fem sekunder. Samtidig fik løsningen mulighed for at sende besked direkte tilbage til borgeren i de tilfælde, hvor der var afgørende mangler i materialet, der gjorde, at sagsbehandlinger, ikke ville kunne blive gennemført. Derfor oplevede borgeren også at få meget hurtigere behandling, og meget hurtigere at kunne få sin sag frem i systemet, fordi de ikke var afhængige af at vente på et menneske, der kunne vurdere, at sagen var nødt til at løbe tilbage til borgeren. Så samlet set vurderede både borger og personale i den her løsning, at kvaliteten og sagsbehandlingstiden begge to har taget et døk, kvaliteten har taget et løft. Og det er her en løsning, man kigger ind i og sætter i drift nu. Og man kan sige, at det, der karakteriserer alle de tre sager her, det er, at det er cases, hvor den generative AI kun i meget begrænset omfang taber ind i at skulle træffe afgørelser. Der er faktisk ingen afgørelser involveret i nogle af de tre sager. Det er alene oplysning og informationsfremsøgning. Og det gør det nemmere at sluge for en offentlig myndighed i første omgang. Dertil så er det løsninger, som alle tre kun i meget begrænset omfang berører personfølsomme oplysninger. Og de her to kriterier er noget af det, der gør, at det er nemmere at komme i gang. Det er også nogle af de ting, vi skal snakke mere om, og som Inge vil kaste mere lys over. Hvad er det egentlig for juridiske ting, vi skal holde i minde, når vi arbejder med generativ AI, både i Danmark, men også i Norge? Og jeg tror, det var det for mig, Oscar. Så bra, Sofie. Tusen takk for den sammenstillingen. Inge, vi har deg også på tråden. Det er bare å kjøre i gang. Yes, skal vi se. Der, skal vi se. Ja, da skal jeg på relativt kort tid redegjøre for regelverket for KI. Dette er jo litt sånn streiftog gjennom bestemmelsene på såpass kort tid, men vi prøver. Så agendaen, som jeg hadde tenkt, er først se kort på ulike regulatoriske tilnærminger til KI i verden. Så nærmer om KI-forordningen, eller AI-act, som den også går for. Så litt om personverden i KI-løsninger, som er litt sånn kjeppest for meg selv, men også fordi det er veldig viktig i KI-løsninger. Dernest en kort sjekkliste ved kjøp av KI, og til slutt nærmere om risikovurderinger ved kjøp av KI. Så, i verden, så er det jo slik at KI er et, man kan kalle det et litt sånn nytt beist på horisonten, og reglene har jo vært preget av å ikke helt catche opp med utviklingen. Og det har i hvert fall til nå vært veldig fragmentert regelverk, både nasjonalt og internasjonalt for KI. Men man ser jo på en måte spor av reguleringer av KI, for eksempel i GDPR, i EU-forordningen for personverden, som dermed er inntatt i det norske personopplysningsloven av 2018. Tilsvarende så finnes det regler som er relevant for KI i ulike regelverk om informasjonssikkerhet, og særlovgivning som pensier inn på informasjonssikkerhet. Immaterialrett er også åpenbart relevant for KI. For eksempel, hvem eier egentlig det som kommer ut av disse KI-modellene? Er det den som har utviklet KI? Er det den som promter? Er det KI-systemet selv? Det er ganske mange interessante rettsaker, særlig i USA, på disse temaene der. Jeg kommer ikke inn på det her. Kontraktsretslig forhold vil åpenbart være relevant hvis kontraktene regulerer KI. Hvem er erstatningsansvarlig for skader som påføres mennesker av KI-systemer? Det er også et veldig interessant spørsmål. Der kommer det også noe regelverk fra EU. EU AI Liability Directive er på horisonten. Det er som sagt særlovgivning som kan være relevant. Men så har det blitt litt mer direkte KI-reguleringer i verden etter hvert. Først ut var faktisk Kina med såkalt vertikal regulering, det vil si sektorspesifikke reguleringer av ulike AI-systemer. Det er en litt annen lovgivningsteknikk enn man typisk velger i EU, hvor man velger horisontale reguleringer. Som altså er brede og som ikke er teknologibestemte, og som heller ikke er sektorspesifikke. Men jeg synes det er litt interessant og kanskje litt kontraintuitivt at Kina har vært fram på med reguleringer av KI. I USA er det for tiden ingen federal KI-lovgivning, og det er også fragmentert på statnivået. Det er også situasjonen innenfor personverden for øvrig. Ganske komplekst i USA. Man må vel kunne si at det er mer business -orientert tilnærming i USA i forhold til EU, med tanke på at det er mindre beskyttelse av individene, og kanskje mer muligheter for virksomhetene. Kom litt tilbake til det også. I EU har vi da fått denne KI-forordningen, eller AI-act. Jeg kaller det noen ganger også AIA. Litt sånn begrepsmiks der. Og den er også inspirert av den horisontale GDPR. Den ble vedtatt i EU i 12. juli, denne KI-forordningen. På grunn av EUS vil det komme litt senere i Norge, men arbeidet med implementere skjer for fullt. Det er jo viktig at det er ikke trådt i kraft i Norge enda, men det kommer, og det er greit å bare innrette seg etter det allerede nå, tenker jeg. Når det gjelder en litt sånn nøtteskallstilnærming til selve KI-forordningen, så har den som formål å fremme et menneskesentrert, og tillitvekkende KI. Men skal også sikre at KI beskytte helse, sikkerhet, grunnleggende rettigheter, demokrati, rettssikkerhet og miljø. Miljø har kommet inn litt sent, men det ser vi mer og mer i EU-reguleringer, at miljø blir et eget poeng. Så de to første er litt sånn beskyttende for de som skal bruke det, og individene, og disse formålene som vi har nettet. Men formålet nummer tre er å støtte innovasjon innen KI og EU-sindre markedet. Her er det en spenning mellom beskyttelse av individer og stimulering av økonomi og innovasjon. Den spenningen har vi også sett innenfor GDPR, som har akkurat samme todeling av formål, og vi ser i praksis at myndighetene fokuserer veldig på beskyttelse av individformålet, hvis vi kan kalle det det, og kanskje ikke fullt så mye på det økonomiske aspektet, det med fri flyt av personopplysning og så videre. Dette er litt sånn politisk, og i hvert fall personlig, så synes jeg at det er i overkant mye fokus på det første formålet. Så har EU-AI-act en klassifisering av KI-systemet basert på risiko, og den skal jeg kort gå gjennom her nå. Det er altså da egentlig i praksis fem kategorier. Først er det forbudt KI, eller KI med uakseptabel risiko. Et eksempel er da sånn sosial skåring basert på adferd. Det er rett og slett ikke lov å bruke KI til det. Det er det i Kina, vet vi, så her er det litt forskjeller da i verden. Så har du den største kategorien, altså den som er mest regulert i KI-forordningen, KI med høy risiko. Hvor det er en rekke forpliktelser for hele verdikjeden. Man knytter det høy risiko blant annet opp til noen produkttyper, sånn som leker og luftfart. Der som man bruker KI i disse produktene, så er det et eget regelverk, eller innenfor AI-act, knyttet til det, som samsvarer mye med produktlovgivning ellers. Også sånn, gjelder medisinsk utstyr og sånn, også er det omfattet av det. Men det er også andre typer KI -systemer som er ansett å ha høy risiko. Her har jeg bare tatt med ett eksempel, dette med rekrutteringssystemer. Der har man sett i praksis, blant annet i USA, Amazon, for noen år tilbake, brukte et rekrutteringssystem som hadde indata som var sånn galt biased, eller diskriminerende, og det ledde til rett og slett kjønnsdiskriminering som resultat. Og det er altså da ansett som KI med høy risiko. Så er det enkelte typer KI som krever at de gir særlig informasjon til berørte. De har en egen regulering, sånn som deepfake-løsninger og chatbots, kom tilbake til det. KI med generelle formål, sånn chat, GPT, Co-Pilot, Gemini, de har også spesifikke reguleringer og forpliktelser. Så er det KI med lav risiko, er i utgangspunktet utenfor AI-akt. Helt sånne enkle kalenderløsninger. KI i spill, for eksempel, det vil kunne anses som lav risiko å være ut for. Så er det kommet inn på tampen i utarbeidelsesprosessen av KI-forordning, så kom det inn et ganske omfattende unntak som jeg er veldig spennende på fra et akademisk-juridisk perspektiv. Skal ikke plage dere alt for mye med det. Men det er altså da mange skjønnsmessige begreper som tilsier at man kan unnta det som i utgangspunktet er å være høy risiko. Men da må man jo kunne dokumentere at det faller innenfor disse unntakene. Altså at det er ikke high risk if they do not pose a significant risk of harm to the health, safety and fundamental rights of natural persons. Og her ser man jo åpenbart at her vil det komme mye diskusjoner og akademisk debatt og kanskje også rettspraksis. Det er et strengt sanksjonsregime i KI-forordningen, akkurat som i GDPR som vi er kjent med. Så man har en sånn mekanisme med en terskel på en høy eurosum. Forbudt KI er 35 millioner euro, eller 7 prosent av total worldwide annual turnover. Også er det 15 millioner euro for høy risiko og generativ AI. Det er også en sammenheng med GDPR-bøter. Hvis det er gitt GDPR-bøter for samme forhold, så skal det fratrekkes bøter under KI-forordningen. Så det er en slags samkjøring av regelverkene der. Innenfor AI er det noen nøkkelroller, litt tilsvarende som GDPR, som har behandlingsansvarlig og databanner. Men her er det altså provider og deployer. Det er ikke norske begreper for dette enda. Man kan kanskje si utvikler og bruke virksomhet. Og da er det en provider, en fysisk eller juridisk person, det kan være offentlig myndighet og så videre, som utvikler selv et KI-system. Eller som får det utviklet for seg og selger det på markedet. Eller setter systemet i drift i sitt eget navn eller varemerke. En deployer eller bruker, det er kanskje det man typisk vil være. Og det er da en en virksomhet som bruker et KI-system som er utviklet av en provider. Dersom en deployer gjør vesentlige endringer til KI-systemet, så kan man bli en provider selv. Det er greit å merke seg. I det lille personverden i KI-systemet, så er det åpenbare, overlappende problemstillinger. Og hvis man samler inn treningsdata, for eksempel da, som inkluderer personopplysninger, så er det en behandling av personopplysninger. Det kan være en nettskraping eller gjenbruk av dataset, som et eksempel. Og dersom man videre raffinerer den type dataset, så vil det også være en behandling av personopplysninger. Prompts kan også inkludere personopplysninger. Alt dette er da inn-data som man får inn i KI-løsningen. Utdata kan også være behandling av personopplysninger. Man kan generere informasjon om enkeltpersoner gjennom å bruke KI-systemer. Man kan bruke AI for å... Man kan se for seg at man setter sammen mange opplysninger på bakgrunn av det som er i KI-systemet. Og det blir så presist at man til slutt er i stand til å identifisere enkeltpersoner, og da er det plutselig såkalt indirekte personopplysninger man får som utdata. Og som jeg var inne på, automatiserte beslutninger om enkeltpersoner, for eksempel i rekrutteringssystemer, er også en behandling av personopplysninger. Så her får man en del... Altså, når man skal... Hvis man skal implementere et KI-system, så vil man egentlig komme opp i de samme problemstillinger som ellers når man implementerer et hvilket som helst system, da, som behandler personopplysninger. Og etter GDPR, så er det noen grunnleggende prinsipper man skal overholde. For eksempel dette med åpenhet, å sikre innsyn for individene. Hvordan gjør man det egentlig i et KI-system? Det kan være ganske tricky problemstillinger der. Hvordan sikrer man lagringsbegrensning, for eksempel? Og hvordan sikrer man at algoritmene og modellene er objektive? Det har med rettferdighetsprinsippet i GDPR å gjøre. Man må sikre behandlingsgrunnlag. Er det tilstrekkelig med en kontrakt med KI-brukeren? Eller må man ha samtykke eller berettiget interesse? Man må sikre individuets rettigheter, som jeg sa, til innsyn, men også til sletting, korrigering, og så videre. Informasjonssikkerhet er også et prinsipp som man må sikre. Og risikovurdering etter artikkel 24 og artikkel 35, denne DPI-a som mange kjenner til, eller Data Protection Impact Assessment, må også vurderes. Og det kommer jeg også nærlig tilbake til. Konkret i KI-forordningen ser vi at det er direkte eller eksplisitte linker til GDPR. Det står helt konkret i artikkel 2, nummer 7, at KI-forordningen ikke skal berøre eller gjøre inngrep i GDPR. Det er også mange fortalepunkter som adresserer GDPR og personverden konkret. Jeg går ikke nærmere inn på det. Det kan dere få lese på egenhånd senere. Høy risiko, KI, har mange forpliktelser, eller innebærer mange forpliktelser på både provider og deployer. På provider-siden, som dere ser her i tabellen, så er det da forpliktelser om risikostyringssystem. Man skal sikre integritet, konferensialitet, korrekthet, altså informasjonssikkerhetsforpliktelser. Og informasjon til deployer, logging av hendelser, bistav i tilsyn. Alt dette er forpliktelser man kjenner for behandlingsansvarlig etter GDPR. Og selvfølgelig, dette gjelder jo ikke bare personopplysning, men det er relevant for personopplysninger i KI-løsningen. På deployer-siden, så er det på mange måter tilsvarende. Man skal oppbevare logger. Man skal sikre tekniske og organisatoriske tiltak. Man har varslingsplikt ved avviktshåndtering, og så videre. Og mot slutten her, så ser det, vurdere behov for DPI-er etter GDPR. Det skal man jo under GDPR også, uavhengig av KI-forordningen. Og det er også noe som kalles Fundamental Rights Impact Assessment, fria for offentlige virksomheter. Kommer tilbake til det. For visse KI-systemer, så er det som sagt noen særforpliktelser. En provider skal informere personer om at de sammenhender med et KI-system. Og man skal merke ut data, sånn som lyr, bilder, videotekst, som kunstig generert. En deployer av følelsesgjenkjenning, eller biometisk kategoriseringssystem, skal informere sluttbrukeren om det. Og sammen med, hvis man er en deployer av deepfake-løsninger, som man kanskje overraskende nok ser at er lovlig, da. Må informere sluttbrukeren om at det er deepfake-løsninger. Helt overordnet sjekkliste. Nå skal jeg gjerne ha et annet view her på akkurat den sjekklisten. Kunne dere hjelpe meg med det? Jeg tenkte å gi dere en overordnet sjekkliste for anskaffelse av anskaffelse av KI-løsninger. Skal vi se. Ja, der kommer det. Og selvfølgelig må man definere en strategi for anskaffelsene. Dette her gjelder jo for alle anskaffelser. Dette er dere antagelig mer kjent med hvordan det gjøres i praksis, mange av dere, enn meg. Men man må definere use case, small, budget. Det er jo egentlig ganske åpenbart et business case og strategi. Man må identifisere hvilket dataset som skal brukes med KI. Og herunder da personopplysninger. Man må ha disse aspektene i bakhodet og vurdere det. Og så kartlegge og vurdere relevante regelverk. Og herunder inkludere KI som en faktor i risikovurdering, som jeg kommer straks tilbake til. Og så er det litt IP-vurderinger. Kan man bruke KI sammen med andre programvare? Har man andre lisensvirker som begrenser dette? Hvis alt dette er på plass, så burde det være mulig å velge en KI-leverandør. Etter selvfølgelig offentlige anskaffelsesregler og så videre. Og så lage kjøreregler for ansattes bruk av AI. Både infopersonverden opppasserett med videre. Og til slutt lære opp ansatte i bruk av KI-verktøy. Nå skal jeg helt til slutt si litt om risikovurderinger. Det er forskjellige regelverk som krever risikovurderinger. Vi har allerede vært inne på KI-forordningen. Helt konkret her så er det bestemmelser i artikker 9 og 27. Den første, den er helt generell at man skal etablere, implementere, dokumentere ved likevel risikostyringssystem for høy risiko-KI. For fria, det gjelder for deployers i offentlig sektor og er vel særlig interessant for dere. Og her skal man vurdere prosesser som man bruker i KI-systemet. Man skal vurdere periode for bruken av KI-systemet. Hvilke individer som er berørt. Mulige konsekvenser for individer. Og man skal ha et menneskelig tilsyn. Og her ser man at det overlapper veldig med DPI-a. Og det kommer jeg til. For etter GDPR artikkel 24 så er det en generell risikovurderingsforpliktelse. All behandling skal risikovurderes. Så man skal dimensjonere det etter risikoen. Men DPI-a, det kreves ved høy risiko for fysiske personers rettigheter og friheter. Og særlig ved bruk av ny teknologi. Og KI-systemet vil typisk være ny teknologi da. Og dette skal altså valideres av ledelsen. Jeg nevner også at NIS 2 artikkel 21.2.D har en egen risikovurderingsforpliktelse. NIS 2 handler om informasjonssikkerhet og nettverkssikkerhet. Og for de som er omfatt av det. Det tror jeg vil være en del av offentlige virksomheter. Så skal man også vurdere helt konkret cyber security practices av suppliers. Altså i leverandørskjeden. Det er også en risikovurdering som overlapper tildels med både DPI-a og FRIA. Og da vil jeg bare helt til slutt nå si at myndighetene skryter i gåsegene av at det er mulig å konsolidere mange av disse risikovurderingene under de ulike regelverkene. Og fremstiller det nærmest hvertfall data til sine. Fremstiller det som det er ganske enkelt å gjøre. Men jeg tror kanskje det er litt mer komplisert enn man skulle tro. Men tanken er god da. At man skal liksom få litt avlasting ved at man kanskje har gjennomført noen risikovurderinger under et regelverk. For eksempel en DPI-a. Så kan man gjenbruke mye i denne frihanten. Det står eksplisitt i fri artikkel 27.4 som dere ser der. Andre ting som også er overlappende er jo risikostyringssystem generelt. Informasjons- og åpenhetsforpliktelser og avviktsrutiner. Her også vil det være mulighet for å konsolidere. Da har jeg gått litt over tiden. Men der var jeg ferdig også. Takk skal du ha. Tusen takk Inge. Jeg tror vi kan få alle opp på skjermen her også. Vi har forfra fått et spørsmål. Og dere kan gjerne stille flere spørsmål til panelet her. Fredrik spør. Og det er vel til Inge primært. Om det er sannsynlig å bruke personlig data med store språkmodeller. Hvordan gjør man det? Og når får man da vite om dette er OK eller ikke OK? Eller hvordan går man fram for at det skal være OK? Det tok jeg sånn også. Jeg tror det er sannsynlig. Jeg tror svaret er ja på det. Og det har faktisk kommet noen positive signaler fra EUs personvernråd. Hva gjelder dette? Hvor de blant annet... Det fremstår som de mener at man kan gjøre litt tilpassninger for den type løsninger som gjør det litt enklere å bruke personopplysninger. De har nedsatt en sånn arbeidsgruppe som kom med en rapport knyttet til chat GPT konkret. hvor de påpekte dette med at berettiget interesse kan være et behandlingsgrunnlag for den type løsninger. Og det gikk ganske langt der egentlig vil jeg si. Og kanskje litt overraskende i å være fleksibel i tilærmingen. Så vet vi også at det har kommet reaksjoner. Ikke minst fra denne NOIB-organisasjonen til Schrems. Max Schrems som sikkert mange har hørt om. Så dette er nok litt i spill hvordan man adresserer det. Og dette er jo på et ferskt regulatorisk område. Og ting vil sikkert sette seg litt mer etter hvert. Og når det gjelder spørsmålet når man får vite om dette er OK eller ikke OK. Det tør jeg ikke å svare på. Men jeg tror nok at spørsmålet vil tvinge seg frem. Og man vil få et behov for å få en avklag på dette relativt snart. For dette er jo aktuelt for veldig mange virksomheter. Og Sofie, du nevnte litt tidligere at det var en grunn til at flere av aktørene i Danmark hadde sett på interne løsninger og eller kun testet. Hvorfor gjør man dette hvis man ikke vet om man kan bruke dette enda? Har du noen tanker? Jeg tror at i Danmark er vi også lige nu ved at finde ud af hvordan vi skal vurdere de her retningslinjer. Altså må vi bruge personoplysninger som en del af sprogmodeller som kører på cloud løsninger. Det er et spørgsmål som der ikke er helt klart svar på fra den danske side endnu. Og derfor tror jeg at mange kigger til de interne løsninger som ikke kræver personoplysninger. For å få succeserne og for å få erfaringerne på de løsninger som ikke kommer i kambulasje med lovgivningen. Så det er et mulighetsrom her hvor vi kan eksperimentere. Hvor vi kan se på interne løsninger og skaffe erfaring med disse systemene før vi går over på kanskje mer risikofulle i forhold til lovgivningen. Løsninger som inkluderer personvær og eksterne. Tar beslutninger på våre vegne osv. Der er flere løsninger der som er interne og som ikke kræver personoplysninger enn de fleste nok går og tror. Så der er et rett stort potensiale for å gå i gang. Også uden å komme inn i denne her høje risikosåne. Også vil jeg også si en ting til. Typisk ved ny teknologi så er det i hvert fall i Norge så har datatilsynet ganske god praksis for å bistå virksomheter som er interesserte og er tilgjengelige for møter, for avklaringer og så videre. Og det er ofte en veldig god tilnærming for å sikre at man har datatilsynetstolkning på sin side før man kanskje kommer langt i utviklingen og finner ut at de setter bremsen på og foten ned. Det er altså å anbefale. Flott. Så for å oppsummere, det er en del muligheter man kan gjøre allerede i dag. Man trenger ikke å starte på høy risiko. Og man kan få støtte hvis man er usikker, blant annet, fra datatilsynet og andre aktører. Ok. Jeg ser at tiden vår er ute for dagens webinar. Gi oss gjerne tilbakemeldinger om hva dere synes om dette webinaret. Om vi skal fortsette å dykke ned i dette temaet, for eksempel i et fysisk webinar. Det er også en mulighet som vi ser på. Og så vil jeg etter en stor takk til Sofie og Inge som satt av tid og deler kunnskapen og erfaringen som dere har, både fra Danmark og fra det juridiske perspektivet. Takk.