Nedenfor følger en kort gjennomgang over noen nyttige hjelpemidler og viktig informasjon som gir innsikt i reglene i forordningen.
Oversikt over KI-forordningen
På https://artificialintelligenceact.eu/ finnes den endelige forordningsteksten oversatt til alle EU-landenes språk, inkludert engelsk, dansk og svensk. Dette er nyttig etter som forordningen enda ikke er oversatt til norsk. Denne nettressursen inneholder samtidig et kort og lettfattelig sammendrag av forordningen. Den vil være til hjelp for de som ikke har behov for å sette seg inn i detaljene i regelverket, men som ønsker en oversikt over hovedlinjene i forordningen og en innføring i de viktige bestemmelsene.
Her er det også funksjonalitet som gjør at du kan søke i forordningen på nøkkelord. Søkefunksjonaliteten går under navnet «AI Act Explorer». Hvis du for eksempel lurer på hva forordningen sier om cybersikkerhet eller GDPR, og hvilke krav som gjelder for sikkerhet og personvern, vil verktøyet finne de delene av regelverket som omtaler dette.
På https://artificialintelligenceact.eu/ får du dessuten hjelp til å finne ut om forordningen gjelder for din bruk av KI og hvilke regler du i så fall må forholde deg til. Dette er en spesielt nyttig funksjonalitet etter som det kan være utfordrende å navigere i forordningsteksten for å finne ut hvilke regler som gjelder i ulike situasjoner. Reglene varierer nemlig ut ifra bruksområde (hva et KI-system er tenkt brukt til), og om du anvender et KI-system utviklet av andre eller om du utvikler det selv. Her er det særlig viktig å være oppmerksom på anvendelser av KI som er forbudt, for eksempel systemer som klassifiserer enkeltpersoner eller grupper basert på atferd eller personlige egenskaper, og anvendelser av KI som defineres som høy risiko. Det siste inkluderer blant annet KI-systemer som benyttes til fordeling av offentlige ytelser og tjenester, og til vurdering av elevers ferdigheter, kompetanse og utvikling.
Ved å benytte verktøyet «Compliance Checker» får du en vurdering av og oversikt over hvilke regler som vil gjelde for din KI-bruk. Det får du ved å svare på avkryssingsspørsmål (multiple choice) om din planlagte KI-bruk. Tilbakemeldingen du får fra verktøyet gir en første indikasjon på hva du må gjøre for å etterleve regelverket. Dette vil gjøre etterlevelsen enklere, men det er likevel lurt å kvalitetssikre tilbakemeldingen du får.
På https://articifialintelligenceact.eu får du i tillegg annen relevante informasjon og nyheter om KI-forordningen og implementeringen av den.
KI og personvernregelverket
Når kommunen benytter KI-systemer som behandler informasjon om enkeltpersoner (egne ansatte, tjenestebrukere, elever, osv.), vil reglene i den norske personopplysningsloven og EUs personvernforordning (GDPR) gjelde. Personvernregelverket er derfor relevant også ved bruk av KI-systemer, og gjelder dermed i tillegg til de særskilte reglene om KI i KI-forordningen. Spørsmålet er imidlertid hvordan personvernregelverket faktisk kommer til anvendelse: hva må kommunen gjøre for at bruken av KI-systemer skal være i tråd med personopplysningsloven og GDPR?
Det franske datatilsynet – CNIL – har nylig publisert sine anbefalinger om KI og GDPR som adresserer dette spørsmålet. Anbefalingene er tilgjengelige på CNIL sine hjemmesider i engelsk oversettelse (https://www.cnil.fr/en/ai-system-development-cnils-recommendations-comply-gdpr?utm_source=substack&utm_medium=email). Alle som er interessert i hvordan GDPR er relevant for KI, bør ta en titt på anbefalingene.
Det franske datatilsynet inndeler arbeidet med etterlevelse av GDPR ved bruk av KI i sju hovedsteg. Under hvert hovedsteg gis mer detaljerte anbefalinger om hva som kreves for at KI-bruken skal overholde reglene om behandling av personopplysninger. Her drøftes blant annet behandlingsgrunnlag og hvilke momenter som bør vektlegges ved personvernkonsekvensvurderinger (DPIA) av KI-systemer.
For særlig interesserte
I slutten av mai publiserte en arbeidsgruppe opprettet av Det europeiske personvernrådet (EDPB) sine foreløpige vurderinger av hvorvidt ChatGPT overholder sentrale regler i GDPR (https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf).
Drøftelsene i denne korte rapporten – og de vurderingene som arbeidsgruppen gjøre av behandlingsgrunnlag, åpenhet, datakvalitet og ivaretakelse av de registrertes rettigheter – er nyttig å kjenne til for personvernombudene i kommunesektoren og ansatte med særlig ansvar for personvernarbeidet.
NB: legg spesielt merke til siste del av rapporten. Den inneholder spørsmålene som arbeidsgruppen stilte til OpenAI om behandling av personopplysninger i ChatGPT. Spørsmålene gir viktige informasjon om hvilke forhold europeiske datatilsynsmyndigheter, inkludert det norske datatilsynet, trolig vil være interessert i å få svar på fra utviklere, tilbydere eller brukere av KI-systemer.